Investigadores de ciberseguridad han revelado detalles de un grupo de amenazas persistentes avanzadas (APT) llamado Silver Dragon que ha estado vinculado a ciberataques dirigidos a organizaciones en Europa y el sudeste asiático desde al menos mediados de 2024.
«Silver Dragon obtiene acceso inicial explotando servidores públicos de Internet y enviando correos electrónicos de phishing que contienen archivos adjuntos maliciosos», dijo Check Point en un informe técnico. «Para mantener la persistencia, el grupo secuestra servicios legítimos de Windows, permitiendo que el proceso de malware se mezcle con la actividad normal del sistema».
Se cree que Silver Dragon opera bajo el paraguas de APT41. APT41 es el nombre en clave asignado a un prolífico grupo de hackers chino conocido por atacar los sectores de salud, comunicaciones, alta tecnología, educación, servicios de viajes y medios de comunicación con ciberespionaje ya en 2012. También se cree que potencialmente lleva a cabo actividades con motivación financiera fuera del control estatal.
Los ataques de Silver Dragon se dirigen principalmente a agencias gubernamentales, y se ha descubierto que los adversarios utilizan balizas Cobalt Strike para persistir en los hosts comprometidos. También se sabe que utilizan técnicas como la tunelización DNS para comunicaciones de comando y control (C2) para evitar la detección.
Check Point dijo que ha identificado tres cadenas de infección diferentes que resultan en Cobalt Strike: secuestro de AppDomain, DLL de servicios y phishing basado en correo electrónico.
«Las dos primeras cadenas de infección, el secuestro de AppDomain y las DLL de servicio, demuestran claramente una superposición operativa», dijo la firma de ciberseguridad. «Ambas se entregan a través de archivos comprimidos, lo que sugiere su uso en escenarios posteriores a la explotación. En algunos casos, estas cadenas se implementaron después del compromiso de servidores vulnerables expuestos públicamente».
Dos cadenas utilizan un archivo RAR que contiene un script por lotes, y la primera cadena lo usa para eliminar MonikerLoader. MonikerLoader es un cargador basado en NET responsable de descifrar y ejecutar la segunda etapa directamente en la memoria. La segunda etapa imita el comportamiento de MonikerLoader y actúa como un conducto para cargar la carga útil final de la baliza Cobalt Strike.
La cadena de DLL de servicio, por otro lado, utiliza un script por lotes para entregar un cargador de DLL de código shell llamado BamboLoader que está registrado como un servicio de Windows. Un malware C++ altamente ofuscado que se utiliza para descifrar y descomprimir código shell preparado en el disco e inyectarlo en procesos legítimos de Windows como ‘taskhost.exe’. Los binarios destinados a la inyección se pueden configurar dentro de BamboLoader.
La tercera cadena de infección se dirige principalmente a Uzbekistán e implica una campaña de phishing que utiliza accesos directos maliciosos de Windows (LNK) como archivos adjuntos. El archivo LNK armado está diseñado para iniciar código PowerShell a través de ‘cmd.exe’, lo que lleva a la siguiente etapa de extracción y ejecución de la carga útil. Contiene 4 archivos diferentes:
DLL de documento señuelo Archivo ejecutable legítimo vulnerable a la descarga (“GameHook.exe”) DLL malicioso también conocido como BamboLoader (“graphics-hook-filter64.dll”) Carga útil cifrada de Cobalt Strike (“simhei.dat”)
Como parte de esta campaña, se muestra un documento señuelo a la víctima, mientras que en segundo plano se descarga una DLL maliciosa a través de GameHook.exe, lo que finalmente inicia Cobalt Strike. Este ataque también se caracteriza por el despliegue de diversas herramientas posteriores a la explotación.
SilverScreen es una herramienta de monitoreo de pantalla .NET que se utiliza para capturar capturas de pantalla periódicas de la actividad del usuario, incluida la posición precisa del cursor. SSHcmd es una utilidad SSH de línea de comandos .NET que proporciona ejecución remota de comandos y funcionalidad de transferencia de archivos a través de SSH. GearDoor es una puerta trasera NET que comparte similitudes con MonikerLoader y se comunica con la infraestructura C2 a través de Google Drive.
Una vez ejecutada, la puerta trasera se autentica en una cuenta de Google Drive controlada por el atacante y carga un archivo de latido que contiene información básica del sistema. Curiosamente, las puertas traseras utilizan diferentes extensiones de archivo para indicar la naturaleza de la tarea que realizan en el host infectado. Los resultados de la ejecución de la tarea se capturan y cargan en Drive.
*.png, envía el archivo de latidos. *.pdf, recibe y ejecuta comandos, enumera el contenido del directorio, crea nuevos directorios y elimina todos los archivos en el directorio especificado. Los resultados de la operación se envían al servidor en forma de archivos *.db. *.cab recibe y ejecuta comandos que recopilan información del host y una lista de procesos en ejecución, enumeran archivos y directorios, ejecutan comandos a través de «cmd.exe» o tareas programadas, cargan archivos en Google Drive y finalizan el implante. El estado de ejecución se carga como un archivo .bak. *.rar, recibe la carga útil y la ejecuta. Si el archivo RAR se llama «wiatrace.bak», la puerta trasera lo trata como un paquete que se actualiza automáticamente. Los resultados se cargan como archivos .bak. *.7z, recibe y ejecuta complementos en la memoria. Los resultados se cargan como archivos .bak.
La conexión entre Silver Dragon y APT41 surge de la superposición en los scripts de instalación posteriores al exploit y el arte comercial previamente atribuido a este último, así como el hecho de que el mecanismo de descifrado utilizado por BamboLoader se ha observado en cargadores de shellcode asociados con operaciones APT alineadas con China.
«El grupo está continuamente evolucionando sus herramientas y tecnología, probando e introduciendo activamente nuevas funciones en una variedad de campañas», dijo Check Point. «El uso de diversos exploits de vulnerabilidad, cargadores personalizados y sofisticadas comunicaciones C2 basadas en archivos refleja un grupo de amenazas adaptable y rico en recursos».
Source link
