El grupo cibernético relacionado con China, rastreado como APT41, se atribuye a una nueva campaña dirigida a los servicios de TI del gobierno en la región africana.
«Los atacantes utilizaron servicios internos, direcciones IP y nombres de codificación dura para servidores proxy integrados dentro del malware», dijeron los investigadores de Kaspersky, Denis Kulik y Daniil Pogorelov. «Uno de los C2 (comando y servidor de control) fue un servidor de SharePoint restringido dentro de la infraestructura de la víctima».
APT41 es un apodo asignado al Grupo de piratería de estado-estado de China conocido por atacar a las organizaciones en múltiples sectores, incluidas telecomunicaciones y proveedores de energía, instituciones educativas, organizaciones de atención médica y más de tres docenas de compañías de energía.
Lo que es notable sobre la campaña es que, como han señalado los proveedores de ciberseguridad rusos, se centra en África, que ha «experimentado el más activo» de este actor de amenaza particular. Dicho esto, los hallazgos se alinean con observaciones anteriores de Trend Micro que el continente ha descubierto en su mira desde finales de 2022.
Kaspersky dijo que la investigación comenzó después de que se encontraron «actividades de sospecha» en varias estaciones de trabajo asociadas con la infraestructura de TI de la organización no identificada.
«Resulta que la causa de la actividad sospechosa es un anfitrión comprometido y sin supervisión», señalaron los investigadores. «Los inpackets se ejecutaron en el contexto de la cuenta de servicio. Después de que los módulos Atexec y WMIEXEC terminaron de funcionar, el atacante detuvo temporalmente la operación».
Poco después, según los informes, el atacante cosechó las calificaciones asociadas con la cuenta privilegiada para promover la escalada de privilegios y el movimiento lateral, y finalmente desplegó una huelga de cobalto para la comunicación C2 utilizando la respuesta lateral de DLL.
Las DLL maliciosas incluyen cheques para verificar los paquetes de idiomas instalados en el host y continuar con la ejecución solo si no se detectan los siguientes paquetes de idiomas: Japón, Corea (Corea), China (China continental), China (Taiwán).
Este ataque también se caracteriza por el uso de un servidor de SharePoint pirateado para fines C2, que usa enviar comandos ejecutados por malware basado en C#cargado al host de víctima.
«Comunicaron y distribuyeron archivos nombrados agentes.exe y agentex.exe a través del protocolo SMB con el servidor», explicó Kaspersky. «Cada uno de estos archivos es en realidad C# Trojan, cuya característica principal es ejecutar comandos que se reciben de un shell web llamado CommandHandler.aspx instalado en un servidor de SharePoint».
Este método combina la implementación tradicional de malware con tácticas de estadía en las que los servicios confiables como SharePoint se transforman en canales de control secreto. Estos comportamientos dificultan el uso de solo herramientas basadas en la firma, en línea con las técnicas clasificadas en Mitre ATT & CK, incluidos T1071.001 (Protocolo web) y T1047 (WMI).
Además, se descubrió que los actores de amenaza llevaban a cabo actividades posteriores en máquinas que se consideraron valiosas después del reconocimiento inicial. Esto se hace ejecutando el comando cmd.exe para descargar desde un recurso externo, descargando un archivo de aplicación HTML maliciosa (HTA) que contiene JavaScript integrado y usando mshta.exe.
La naturaleza exacta de las cargas útiles entregadas a través de URL externas es actualmente desconocida para evitar la detección, que es un dominio que se hace pasar por GitHub («GitHub.githubassets (.)»). Sin embargo, un análisis de los scripts previamente distribuidos muestra que está diseñado para generar capas inversas, dando al atacante la capacidad de ejecutar comandos en el sistema infectado.
También se utiliza en el ataque una utilidad de cosecha Steeler y Calificación que recopila datos confidenciales y elimina los detalles a través de un servidor de SharePoint. Algunas de las herramientas desplegadas por el enemigo se enumeran a continuación –
Pilandas, aunque en una versión modificada, roba credenciales de utilidades de gestión como navegador, bases de datos y mobaxter. Código fuente. Capturas de pantalla; Sesiones de chat y datos. Mensajes de correo electrónico; Sesiones SSH y FTP. Una lista de aplicaciones instaladas. Salida de los comandos de SystemInfo y Lista de tareas. Consulte la información de su cuenta de las aplicaciones de chat y los clientes de correo electrónico para robar información sobre archivos descargados y datos de tarjeta de crédito almacenados en navegadores web como Yandex, Opera, Opera, Vivaldi, Google Chrome, Brave, CốCCốC. credenciales de archivo de registro sin procesar y volcado de la copia sin procesar a Mimikatz
«Los atacantes están equipados con una amplia gama de herramientas públicas construidas y personalizadas», dice Kaspersky. «Específicamente, utilizamos herramientas de prueba de penetración como huelgas de cobalto en varias etapas del ataque».
«Los atacantes pueden adaptarse rápidamente a la infraestructura objetivo, actualizar herramientas maliciosas para explicar ciertas características. También pueden aprovechar los servicios internos para la comunicación C2 y la eliminación de datos».
Esta manipulación también destaca las líneas borrosas entre la herramienta del equipo rojo y la simulación enemiga del mundo real. Los actores de amenazas usan marcos públicos como Inpacket, Mimikatz y Cobalt junto con implantes personalizados. Estas superposiciones plantean desafíos para los equipos de detección que se centran en el movimiento lateral, el acceso a las calificaciones y la evasión de defensa en el entorno de la ventana.
Source link
