Google dijo el miércoles que trabajó con socios de la industria para alterar la infraestructura de un presunto grupo de ciberespionaje alineado con China, identificado como UNC2814, que se infiltró en al menos 53 organizaciones en 42 países.
«Este prolífico y esquivo actor de amenazas tiene una larga historia de atacar a gobiernos internacionales y organizaciones globales de telecomunicaciones en África, Asia y América», dijeron Google Threat Intelligence Group (GTIG) y Mandiant en un informe publicado hoy.
También se sospecha que UNC2814 está relacionado con infecciones adicionales en más de otros 20 países. Se ha observado que el gigante tecnológico, que ha estado rastreando a los actores de amenazas desde 2017, utiliza llamadas API como infraestructura de comando y control (C2) para comunicarse con aplicaciones de software como servicio (SaaS). El objetivo es disfrazar el tráfico malicioso como inofensivo, añadió.
En el centro de los esfuerzos del grupo de hackers se encuentra una nueva puerta trasera llamada GRIDTIDE que explota la API de Google Sheets como canal de comunicación para falsificar el tráfico C2 y facilitar la transferencia de datos sin procesar y comandos de shell. Este es un malware basado en C que admite la carga/descarga de archivos y la ejecución de comandos de shell arbitrarios.
Sigue siendo objeto de investigación exactamente cómo UNC2814 obtuvo acceso inicial, pero se dice que el grupo tiene un historial de explotación y compromiso de servidores web y sistemas perimetrales.
Los ataques lanzados por actores de amenazas aprovechan las cuentas de servicio para moverse lateralmente dentro del entorno a través de SSH. También utiliza binarios Living-off-the-land (LotL) para realizar reconocimiento, escalar privilegios y establecer persistencia de puerta trasera.
«Para lograr persistencia, el atacante creó un servicio para el malware en /etc/systemd/system/xapt.service y, una vez habilitado, se generaron nuevas instancias del malware desde /usr/sbin/xapt», explicó Google.
Otro punto a destacar es la introducción de SoftEther VPN Bridge para establecer conexiones cifradas salientes a direcciones IP externas. Vale la pena mencionar aquí que varios grupos de hackers chinos están involucrados en el exploit SoftEther VPN.
Hay evidencia de que GRIDTIDE se implementó en terminales que contenían información de identificación personal (PII), en consonancia con una campaña de ciberespionaje centrada en monitorear personas de interés. Sin embargo, Google dijo que no tenía conocimiento de ninguna filtración de datos durante la campaña.
Ciclo de vida de ejecución de GRIDTIDE
El mecanismo C2 de GRIDTIDE incluye un mecanismo de sondeo basado en celdas donde se asignan roles específicos a celdas específicas de la hoja de cálculo para permitir la comunicación bidireccional.
A1, sondea el comando del atacante y lo sobrescribe con una respuesta de estado (como SCR o Server-Command-Success). A2-An transfiere datos como salidas de comandos y archivos. V1, almacena datos del sistema desde el punto final de la víctima.
Como parte de sus acciones, Google dijo que cerró todos los proyectos de Google Cloud controlados por los atacantes, deshabilitó toda la infraestructura UNC2814 conocida y cortó el acceso a las cuentas controladas por los atacantes y a las llamadas API de Google Sheets que los atacantes estaban aprovechando para fines de comando y control (C2).
El gigante tecnológico describió la UNC2814 como una de las «campañas más extendidas e impactantes» que ha encontrado en los últimos años, y agregó que ha emitido notificaciones formales a las víctimas para cada objetivo y está apoyando activamente a las organizaciones que se ha confirmado que han sido comprometidas por esta amenaza.
El descubrimiento es uno de los muchos esfuerzos simultáneos de los grupos de estados-nación chinos para integrarse en redes para un acceso a largo plazo. Este desarrollo también pone de relieve que el borde de la red sigue siendo el más afectado por los intentos de explotación en Internet, y los actores de amenazas frecuentemente explotan vulnerabilidades y configuraciones erróneas en dichos dispositivos como puntos de entrada comunes a las redes corporativas.
Estos dispositivos se han convertido en objetivos atractivos en los últimos años, ya que normalmente carecen de capacidades de detección de malware en los terminales, pero proporcionan acceso directo a la red y puntos de pivote a los servicios internos si se ven comprometidos.
«El alcance global de UNC2814, evidenciado por actividad confirmada o sospechada en más de 70 países, resalta las serias amenazas que enfrentan los sectores gubernamentales y de comunicaciones y la capacidad de estas intrusiones para evadir la detección de los defensores», dijo Google.
«Las intrusiones importantes de esta magnitud suelen ser el resultado de años de esfuerzos intensivos y no se restablecen fácilmente. Esperamos trabajar duro para que UNC2814 restablezca su presencia global».
Source link
