Los gobiernos y las organizaciones de telecomunicaciones en África, Medio Oriente y Asia han surgido durante los últimos dos años y medio como objetivos de actores de alianza china previamente indocumentados, conocidos como el Phantom Tauro.
«Las principales áreas de enfoque para el Phantom Tauro incluyen asuntos exteriores, embajadas, eventos geopolíticos y ministerios de operaciones militares», dijo Rior Rochberger, un investigador de la Unidad de Redes Palo Alto 42 «. El objetivo principal del grupo es el espionaje. Los ataques demuestran sigilo, persistencia y la capacidad de adaptar rápidamente las tácticas, técnicas y procedimientos (TTPS) (TTPS)». «». «». «
Vale la pena señalar que el grupo de piratería fue detallado por primera vez en junio de 2023 por una compañía de ciberseguridad basada en el apodo CL-SA-0043. En mayo del año pasado, el clúster de amenazas se graduó al grupo temporal TGR-STA-0043, luego de una revelación sobre las actividades cibernéticas sostenidas que se dirigen a las entidades gubernamentales como parte de los espectadores diplomáticos de operaciones de nombre en forma de la campaña desde al menos finales de 2022.
La Unidad 42 declaró que las observaciones continuas del grupo proporcionaron evidencia suficiente para permitir las recolecciones de inteligencia a largo plazo y clasificar el objetivo principal de obtener datos confidenciales de objetivos de interés estratégico para China, tanto económica como geopolítica.
«El grupo está interesado en comunicaciones diplomáticas, información relacionada con la defensa y la operación de los ministerios del gobierno clave», dijo la compañía. «El momento y el alcance de las operaciones del grupo a menudo son consistentes con los principales eventos globales y problemas de seguridad regionales».
Este aspecto es particularmente claro, especialmente a medida que otros grupos de piratería chinos adoptan enfoques similares. Por ejemplo, el nuevo enemigo, rastreado por el futuro registrado como Rednovember, está calificado como que tiene empresas objetivo en Taiwán y Panamá, cerca de «eventos geopolíticos y militares de importantes intereses estratégicos hacia China».
El modus operandi de Phantom Taurus se destaca porque utiliza herramientas y técnicas de desarrollo personalizadas que rara vez se observan en situaciones de amenazas. Esto incluye NetStars llamadas suites de malware a medida que nunca antes había visto. Desarrollado con .NET, este programa está diseñado para apuntar a los servidores web de Servicios de Información de Internet (IIS).
Dicho esto, el equipo de piratería se basa en la infraestructura de operaciones compartidas adoptada previamente por grupos como AT27 (también conocido como Iron Taurus), APT41 (también conocido como Sphchy Taurus o Winnti) y Mustang Panda (también conocido como Tauro Matelada). Por el contrario, los componentes de infraestructura utilizados por los actores de amenaza no son detectados en las operaciones llevados a cabo por otros, lo que indica algún tipo de «compartimentación operativa» dentro del ecosistema compartido.
El vector de acceso inicial exacto no está claro, pero las intrusiones anteriores han armado los Servicios de información de Internet en las instalaciones vulnerables (IIS) y los servidores de intercambio de Microsoft, que abusan de fallas como Proxylogon y Proxyshell para impregnar la red de destino.
«Hasta ahora, los hemos visto explotar las vulnerabilidades conocidas en los servidores IIS y Microsoft Exchange (como Proxylogon y Proxyshell), pero eso no significa que no cambiarán en el futuro». «Este grupo es extremadamente ingenioso y motivado. Encontrarán una manera de alguna manera».
Otro aspecto importante del ataque es el cambio de la recopilación de correos electrónicos a la orientación directa de la base de datos, utilizando scripts por lotes que le permiten conectarse a una base de datos SQL Server, exportar los resultados en forma de un archivo CSV y terminar la conexión. El script se ejecuta utilizando la infraestructura de Windows Management Instrumentation (WMI).
La unidad 42 dijo que los actores de amenaza utilizarán este método para buscar sistemáticamente documentos e información de intereses relacionados con ciertos países como Afganistán y Pakistán.
El reciente ataque instalado por Phantom Taurus también utiliza NetStars, que consta de tres traseros basados en la web, cada uno realizando ciertas funciones mientras mantiene el acceso a un entorno IIS comprometido,
IIServerCore es una puerta trasera modular inútil cargada por un shell web ASPX que admite la ejecución de la memoria de los argumentos de la línea de comandos, los comandos arbitrarios y la ejecución de la memoria de carga útil, enviando los resultados al comando cifrado y control (C2) CANAL DE COMUNICA V1 también está equipado con la capacidad de omitir la interfaz de escaneo antimalware (AMSI) y Windows Event Trace (ETW).
«La suite de malware NetStar demuestra una comprensión profunda de la tecnología de evasión avanzada de Phantom Taurus y la arquitectura .NET.
Source link
