Los investigadores de ciberseguridad están llamando la atención sobre las actividades maliciosas organizadas por grupos cibernéticos chinos y nexus conocidos como pandas fangosos, que implican abuso de relaciones confiables en la nube y violan las redes empresariales.
«El enemigo también demuestra una capacidad considerable para armarse rápidamente las vulnerabilidades del día N-día y cero, y con frecuencia logra el acceso inicial a los objetivos al aprovechar los electrodomésticos orientados a Internet», dijo CrowdStrike en un informe el jueves.
Marquee Panda, también conocido como Silk Type (anteriormente Hafnium), es mejor conocido por su explotación 2021 de día cero de servidores de intercambio de Microsoft defectuosos. Los ataques adoptados por los grupos de piratería se dirigen al gobierno norteamericano, al gobierno, técnico, académico, legal y en entidades de servicios profesionales.
A principios de marzo, Microsoft detalló la información sobre las tácticas de actores de amenaza cambiantes y la encabezada de la cadena de suministro de tecnología de la información detallada (TI) como una forma de obtener acceso inicial a las redes corporativas. La operación de panda oscura se acredita con ser impulsada por una reunión de inteligencia.
Al igual que otros grupos de piratería chinos, los pandas ambiguos están aprovechando los electrodomésticos de Internet para obtener acceso inicial, y se cree que los dispositivos de la oficina/oficina en el hogar (SOHO) (SOHO) se sumergen en la Tierra como nodos a los ataques de nodos de expulsión en sus países objetivo también se ven socavados.
Otras rutas de infección incluyen el uso de fallas de seguridad conocidas en Citrix Netscaler ADC y Netscaler Gateway (CVE-2023-3519) y Commvault (CVE-2025-3928). El acceso inicial se utiliza para implementar capas web como Neo-Regegeorg para establecer la persistencia y, en última instancia, eliminar el malware personalizado llamado Cloudedhope.
Escrito en Binarios ELF de 64 bits y Golang, Cloudedhope actúa como una herramienta básica de acceso remoto (RAT) mientras usa mediciones anti-análisis y seguridad operativa (OPSEC).
Sin embargo, un aspecto notable del comercio ambiguo de panda se refiere al abuso de relaciones confiables entre las organizaciones asociadas y sus inquilinos en la nube, explotando las vulnerabilidades de día cero para violar el servicio como software (SaaS) el entorno en la nube del proveedor y el movimiento lateral hacia las víctimas posteriores.
En al menos un ejemplo observado a fines de 2024, los actores de amenazas comprometieron a los proveedores de entidades norteamericanas y agregaron cuentas temporales de entrada de entrada trasera utilizando el acceso a la gestión de proveedores al inquilino de Entidad de la entidad víctima.
«Usando esta cuenta, los actores de amenaza han respaldado los principios de varios servicios de identidad de Entra existentes relacionados con la gestión y el correo electrónico de Active Directory», dijo CrowdStrike. «Los objetivos enemigos parecen estar atacados en la naturaleza en función de su enfoque en el acceso al correo electrónico».
De la ambigüedad al génesis
Otro actor de amenaza relacionado con China que ha sido probado hábilmente en la operación de los servicios en la nube es Genesis Panda. Esto se observa utilizando una infraestructura de desprendimiento básica, apuntando a cuentas del proveedor de servicios de nube (CSP) para ampliar el acceso y establecer un mecanismo permanente para el retroceso.
Genesis Panda, que ha estado activo desde al menos enero de 2024, se atribuye a una gran cantidad de negocios en los sectores de servicios financieros, medios, comunicaciones y tecnología en 11 países. El objetivo del ataque es permitir el acceso a futuras actividades de recopilación de inteligencia.
La posibilidad de actuar como un corredor de acceso temprano se atribuye a la amplia gama de vulnerabilidades y explotación orientadas a la web por un grupo de eliminación de datos limitados.
«Si bien Genesis Panda se dirige a una variedad de sistemas, muestra un interés constante en las violaciones de los sistemas alojados en la nube y aprovecha el plano de control de la nube para el movimiento lateral, la persistencia y la enumeración», dijo CrowdStrike.
El enemigo observó que «consistentemente» consultaron los servicios de metadatos de instancia (IMD) asociados con el servidor de host en la nube, recuperaron las credenciales del plano de control de la nube y enumeraron la red y la configuración general de la instancia. También se sabe que utiliza credenciales que probablemente se obtienen de máquinas virtuales comprometidas (VM) para cavar agujeros en el fondo de la cuenta de nubes de destino.
Los resultados muestran que los grupos de piratería de China son cada vez más competentes en la destrucción y la navegación en entornos en la nube, pero priorizan el sigilo y la persistencia para garantizar el acceso sostenible y la recolección de datos confidenciales.
Pandas de glaciar Ataque el sector de las comunicaciones
Según la multitud, el sector de las comunicaciones ha sido testigo de un aumento del 130% en la actividad del estado-nación durante el año pasado, impulsado principalmente por el hecho de que son un tesoro de inteligencia. El último actor de amenaza para capacitar su visión en la industria es un actor de amenaza china llamado Glacier Panda.
La huella geográfica del grupo de piratería varía a Afganistán, Hong Kong, India, Japón, Kenia, Malasia, México, Panamá, Filipinas, Taiwán, Tailandia y Estados Unidos.
«Es probable que los pandas glaciares realicen intrusiones específicas para fines de recopilación de inteligencia, accediendo y eliminando registros detallados de llamadas de múltiples organizaciones de telecomunicaciones y telemetría de comunicaciones asociadas», dijo la compañía de seguridad cibernética.
«El enemigo se dirige principalmente a los sistemas Linux típicos de la industria de las telecomunicaciones, incluida la distribución de sistemas operativos heredados que admiten tecnologías de comunicaciones más antiguas».
Las cadenas de ataque implementadas por los actores de amenaza utilizan vulnerabilidades de seguridad conocidas o contraseñas débiles dirigidas a mejoras en Internet y servidores no administrados.
Además de confiar en las técnicas de vida (LOTL), la invasión de la edad de hielo allana el camino para el despliegue de componentes de OpenSh Troilered para recopilar sesiones y derechos de autenticación de los usuarios.
«Los binarios del servidor SSH de los SSH-sshelizados por Shields también proporcionan acceso a puerta trasera y autentican su cuenta (incluida la raíz) cuando se ingresa una contraseña codificada», dijo CrowdStrike.
Source link
