Los atacantes de amenazas persistentes avanzadas (APT) vinculados a China han estado apuntando a infraestructuras de comunicaciones críticas en América del Sur desde 2024, apuntando a sistemas Windows y Linux y dispositivos de borde con tres implantes diferentes.
Esta actividad está siendo rastreada por Cisco Talos como UAT-9244 y se describe como estrechamente relacionada con otro grupo conocido como FamousSparrow.
Es de destacar que se considera que FamousSparrow tiene una superposición táctica con Salt Typhoon, un grupo de espías alineado con China conocido por atacar a proveedores de servicios de telecomunicaciones. A pesar de las huellas similares de UAT-9244 y Salt Typhoon, no hay evidencia concluyente que vincule los dos grupos.
La campaña, analizada por una empresa de ciberseguridad, encontró que la cadena de ataque distribuyó tres implantes previamente indocumentados. TernDoor está dirigido a Windows, PeerTime (también conocido como Angrypeer) está dirigido a Linux y BruteEntry se instala en dispositivos de borde de red.
Aunque se desconoce el método de acceso inicial exacto utilizado en este ataque, los atacantes anteriormente se han dirigido a sistemas que ejecutan versiones anteriores de Windows Server y Microsoft Exchange Server para eliminar shells web para actividades posteriores.
TernDoor se implementa mediante descarga de DLL, aprovechando un archivo ejecutable legítimo, ‘wsprint.exe’, para iniciar una DLL maliciosa (‘BugSplatRc64.dll’), que descifra y ejecuta la carga útil final en la memoria. Se dice que esta puerta trasera, una variante de Crowdoor (que a su vez es una variante de SparrowDoor), ha sido utilizada por UAT-9244 desde al menos noviembre de 2024.
Establezca persistencia en el host mediante una tarea programada o la clave Ejecutar del registro. También se diferencia de CrowDoor al utilizar un conjunto diferente de códigos de comando e incorporar un controlador de Windows para pausar, reanudar y finalizar procesos. Además, solo se admite un modificador de línea de comando (‘-u’) para desinstalarse del host y eliminar todos los artefactos asociados.
Una vez iniciado, realiza una verificación para garantizar que se haya inyectado en ‘msiexec.exe’ y luego decodifica la configuración y extrae los parámetros de comando y control (C2). Luego establece comunicación con el servidor C2, lo que le permite crear procesos, ejecutar comandos arbitrarios, leer/escribir archivos, recopilar información del sistema e implementar controladores que ocultan componentes maliciosos y administran procesos.
Un análisis más detallado de la infraestructura de UAT-9244 reveló una puerta trasera de igual a igual (P2P) de Linux conocida como PeerTime. Ha sido compilado para varias arquitecturas (es decir, ARM, AARCH, PPC, MIPS) para infectar varios sistemas integrados. Las puertas traseras ELF se implementan mediante scripts de shell junto con archivos binarios de instrumentación.
«El binario Instrumenter ELF utiliza docker y el comando docker –q para verificar la presencia de Docker en el host comprometido», dijeron los investigadores de Talos Asheer Malhotra y Brandon White. «Si se encuentra Docker, se ejecuta el cargador PeerTime. El instalador consta de una cadena de depuración en chino simplificado, que indica que es un binario personalizado creado e implementado por un atacante de habla china».
El objetivo principal del cargador es descifrar y descomprimir la carga útil final de PeerTime y ejecutarla directamente en la memoria. Hay dos tipos de PeerTime. Una versión escrita en C/C++ y una nueva versión programada en Rust. Además de tener la capacidad de cambiarse el nombre a sí mismo como un proceso benigno para evitar la detección, la puerta trasera utiliza el protocolo BitTorrent para obtener información C2, descargar archivos de sus pares y ejecutarlos en el sistema comprometido.
También se almacenan una serie de scripts de shell y cargas útiles en los servidores del actor de la amenaza. Esto incluye un escáner de fuerza bruta con nombre en código BruteEntry que se instala en dispositivos perimetrales para convertir el dispositivo en un nodo proxy de escaneo masivo en una caja de retransmisión operativa (ORB) capaz de realizar ataques de fuerza bruta contra servidores Postgres, SSH y Tomcat.
Esto se logra mediante un script de shell que elimina dos componentes basados en Golang. Uno es un orquestador que proporciona BruteEntry, que luego se conecta al servidor C2 para obtener una lista de direcciones IP sobre las cuales realizar un ataque de fuerza bruta. La puerta trasera finalmente informa un inicio de sesión exitoso al servidor C2.
«El ‘éxito’ indica si la fuerza bruta tuvo éxito (verdadero o falso), y las ‘notas’ proporcionan información específica sobre si la fuerza bruta tuvo éxito», dijo Talos. «Si el inicio de sesión falla, la nota dirá ‘Se han probado todas las credenciales’. «
Source link
