Las organizaciones de alto valor en el sur de Asia, el sudeste de Asia y el este de Asia han sido atacadas por actores de amenazas chinos como parte de una campaña de larga duración.
Esta actividad está dirigida a los sectores de aviación, energía, gobierno, aplicación de la ley, farmacéutica, tecnología y telecomunicaciones y ha sido atribuida a un grupo de amenazas previamente indocumentado conocido como CL-UNK-1068 por la división 42 de Palo Alto Networks. Aquí, «CL» se refiere a «clúster» y «UNK» significa motivo desconocido.
Sin embargo, los proveedores de seguridad evalúan con «confianza media a alta» que el objetivo principal de la campaña es el ciberespionaje.
«Nuestro análisis reveló un conjunto de herramientas multifacético que incluye malware personalizado, utilidades de código abierto modificadas y binarios residentes (LOLBIN)», dijo el investigador de seguridad Tom Factorman. «Estos proporcionan una manera simple y efectiva para que los atacantes mantengan una presencia persistente dentro de un entorno objetivo».
Estas herramientas están diseñadas para atacar entornos Windows y Linux, y los atacantes se basan en una combinación de utilidades de código abierto y familias de malware como Godzilla, ANTSWORD, Xnote y Fast Reverse Proxy (FRP), todas ellas utilizadas por varios grupos de hackers en China.
Si bien Godzilla y ANTSWORD funcionan como shells web, Xnote es una puerta trasera de Linux que se ha detectado en estado salvaje desde 2015 y ha sido implementada en ataques contra sitios de apuestas en línea por parte de un grupo hostil conocido como Earth Berberoka (también conocido como GamblingPuppet).
Una cadena de ataque común implica explotar un servidor web para entregar un shell web, moverse lateralmente a otros hosts y luego intentar robar archivos que coincidan con extensiones específicas (‘web.config’, ‘.aspx’, ‘.asmx’, ‘.asax’, ‘.dll’) del directorio ‘c:\inetpub\wwwroot’ del servidor web de Windows. Esto puede tener como objetivo robar credenciales o descubrir vulnerabilidades.
Otros archivos recopilados por CL-UNK-1068 incluyen el historial y los marcadores del navegador web, archivos XLSX y CSV del escritorio y los directorios de USUARIO, y archivos de copia de seguridad de la base de datos del servidor MS-SQL (.bak).
En un desarrollo interesante, se ha observado que los atacantes usan WinRAR para archivar archivos relacionados, ejecutan el comando certutil -encode para codificar el archivo en Base64 y luego ejecutan el comando type para mostrar el contenido de Base64 en la pantalla a través de un shell web.
«Al codificar el archivo como texto y mostrarlo en la pantalla, el atacante pudo extraer datos sin tener que cargar el archivo», dijo la Unidad 42. «Los atacantes probablemente eligieron este método porque el shell del host les permitía ejecutar comandos y ver los resultados, pero no transferir archivos directamente».
Una de las técnicas utilizadas en estos ataques es lanzar un ataque de descarga de DLL utilizando ejecutables legítimos de Python (‘python.exe’ y ‘pythonw.exe’) para ejecutar de forma encubierta DLL maliciosas como FRP para acceso persistente, PrintSpoofer y un escáner personalizado basado en Go llamado ScanPortPlus.
Se dice que CL-UNK-1068 ha estado realizando operaciones de reconocimiento que se remontan a 2020 utilizando una herramienta .NET personalizada llamada SuperDump. Las intrusiones recientes se han trasladado a nuevas técnicas que utilizan secuencias de comandos por lotes para recopilar información del host y mapear el entorno local.
Los atacantes también utilizan una variedad de herramientas para facilitar el robo de credenciales.
«Utilizando principalmente herramientas de código abierto, malware compartido por la comunidad y secuencias de comandos por lotes, el grupo pudo mantener operaciones sigilosas mientras se infiltraba en organizaciones sensibles», concluyó la Unidad 42.
«Esta línea de actividad demuestra versatilidad al operar en entornos Windows y Linux y utilizar diferentes versiones de conjuntos de herramientas para cada sistema operativo. El enfoque en el robo de credenciales y la exfiltración de datos confidenciales de infraestructura crítica y departamentos gubernamentales sugiere fuertemente un motivo de espionaje, pero aún no se puede descartar por completo una intención cibercriminal».
Source link
