Las organizaciones gubernamentales en el sudeste asiático están apuntando a nuevas campañas destinadas a recopilar información confidencial utilizando puertas de ventanas previamente indocumentadas.
Esta actividad es rastreada por Palo Alto Networks Unit 42, donde «Cl» representa «clúster» y «sta», «cl» representa «motivación para la responsabilidad estatal», y «cl» representa «cl».
«Los actores de amenaza detrás de este grupo de actividad están recopilando información confidencial de agencias gubernamentales, incluida información sobre tarifas recientes y disputas comerciales», dijo el investigador de seguridad Rior Rochberger en un análisis el lunes.
El sudeste asiático se está convirtiendo en un enfoque cibernético debido a su papel en las negociaciones comerciales sensibles, la modernización militar y la alineación estratégica en la dinámica de poder de los Estados Unidos-China. Las agencias gubernamentales en esta región pueden proporcionar información valiosa sobre direcciones de política exterior, planes de infraestructura y cambios en las regulaciones internas que afectan los mercados regionales y globales.
Actualmente se desconoce el vector de acceso inicial exacto que se utiliza para entregar malware, pero indica que el uso de la tecnología DLL Sideload se implementará en hosts comprometidos. Específicamente, incluye plantar una versión maliciosa de la DLL llamada «Mscorsvc.dll» y plantarla con el legítimo ejecutable de Windows «MSCORSVW.EXE».
Una vez que se lanza el binario, el DLL puede establecer la comunicación con la URL de control del atacante y ejecutar cualquier comando para descargar cargas útiles adicionales. La persistencia se logra mediante un servicio que asegura que la DLL se inicie incluso después de un reinicio del sistema.
Vale la pena señalar que Hagybeacon utiliza URL LAMBDA de Amazon Web Services (AWS) para fines de comando y control (C2).
«La URL Lambda de AWS es una característica de AWS Lambda que permite a los usuarios llamar a funciones sin servidor directamente a través de HTTPS», explicó Rochberger. «Esta técnica utiliza capacidades de nube legal para ocultar claramente la mirada, creando canales de comunicación confiables, escalables y difíciles de detectar».
Los defensores son *.lambda-url, especialmente cuando se inician por servicios binarios o sistemas inusuales. *. Debe prestar atención al tráfico saliente a puntos finales de nubes raramente usados como Amazonaws.com. Si bien el uso de AWS en sí no es cuestionable, las líneas de base conscientes del contexto pueden ayudar a distinguir entre malware y actividades legales que aprovechan la evitación nativa de la nube, como los orígenes de los procesos de correlación, las cadenas de ejecución de los padres e hijos y el comportamiento de punto final.
Descargados desde la carga útil están los módulos de recolectores de archivos y los rangos de tiempo responsables de la cosecha de archivos que coincidan con un conjunto particular de extensiones (DOC, DOCX, XLS, XLSX y PDF). Esto incluye intentos de buscar archivos relacionados con las recientes medidas de tarifas impuestas por Estados Unidos.
También se sabe que los actores de amenaza emplean otros servicios como Google Drive y Dropbox como sus canales de exfiltración para enviar datos recopilados en fusión con el tráfico de red regular. Según los informes, el incidente analizado en la Unidad 42 bloqueó los intentos de cargar archivos en un servicio de almacenamiento en la nube.
En la etapa final, el atacante ejecuta un comando de limpieza para evitar dejar rastros de actividad, eliminando todos los archivos de archivos escenificados y otras cargas útiles que se descargaron durante el ataque.
«Los actores de amenaza usaron Hagybeacon como su herramienta principal para mantener su punto de apoyo y recopilar información confidencial de las agencias gubernamentales afectadas», dijo Rochberger. «La campaña destaca que los atacantes continúan encontrando nuevas formas de explotar los servicios en la nube legales y confiables».
Hagybeacon utiliza plataformas de confianza como canales secretos y usa tácticas llamadas «vivir lejos de los servicios confiables» (lote) para reflejar una tendencia más amplia en amenazas persistentes avanzadas. Como parte de este clúster de malware basado en la nube, se han observado técnicas similares en las amenazas utilizando el espacio de trabajo de Google, los equipos de Microsoft o las API de Dropbox, para evitar la detección y promover el acceso persistente.
Source link
