Durante más de un año, se cree que atacantes vinculados a China están detrás de una nueva campaña para comprometer los sistemas ArcGIS y convertirlos en puertas traseras.
Según ReliaQuest, esta actividad es obra de un grupo de hackers patrocinado por el estado chino llamado Flax Typhoon, al que también se le sigue como Ethereal Panda y RedJuliett. Según el gobierno de Estados Unidos, la empresa está valorada en una empresa que cotiza en bolsa con sede en Beijing conocida como Integrity Technology Group.
«El grupo modificó inteligentemente una extensión de objetos de servidor Java (SOE) para una aplicación de mapeo geográfico en un shell web funcional», dijo la firma de ciberseguridad en un informe compartido con The Hacker News. «Al bloquear el acceso utilizando una clave codificada para un control exclusivo e incrustándola en las copias de seguridad del sistema, logramos una fuerte persistencia a largo plazo que sobrevive a una recuperación completa del sistema».
Flax Typhoon es conocido por practicar el «sigilo» en su oficio al incorporar extensas técnicas LotL (Living Off-The Land) y teclado práctico. Esto permite que el componente de software se convierta en un vehículo para ataques maliciosos y al mismo tiempo eluda la detección.
Este ataque demuestra cómo los atacantes explotan cada vez más herramientas y servicios confiables para eludir las medidas de seguridad y obtener acceso no autorizado a los sistemas de las víctimas mientras se mezclan con el tráfico normal del servidor.
Una «cadena de ataque inusualmente sofisticada» involucró a atacantes que apuntaban a servidores ArcGIS disponibles públicamente comprometiendo cuentas de administrador del portal e implementando empresas estatales maliciosas.
«El atacante utilizó una extensión ArcGIS estándar (JavaSimpleRESTSOE) para activar un SOE malicioso e invocar operaciones REST para ejecutar comandos en servidores internos a través de un portal público. Esto dificultó la identificación de las actividades del atacante», dijo ReliaQuest. «Al agregar claves codificadas, Flax Typhoon evitó que otros atacantes o administradores curiosos alteraran el acceso».
El «web shell» supuestamente se usó para crear un servicio llamado «SysBridge» que realiza operaciones de descubrimiento de red, carga un archivo ejecutable de SoftEther VPN renombrado («bridge.exe») a la carpeta «System32» para establecer la persistencia e inicia automáticamente el binario cada vez que se reinicia el servidor.
Se descubrió que el proceso ‘bridge.exe’ establecía una conexión HTTPS saliente a una dirección IP controlada por el atacante en el puerto 443, con el objetivo principal de configurar un canal VPN encubierto hacia un servidor externo.
«Este puente VPN permite a un atacante extender la red local de un objetivo a una ubicación remota, haciendo que parezca como si el atacante fuera parte de la red interna», explicaron los investigadores Alexa Feminella y James Xiang. «Esto les permitió eludir el monitoreo a nivel de red y actuar como una puerta trasera que permitía movimientos laterales adicionales y robos».
Se dice que los atacantes se dirigieron específicamente a dos estaciones de trabajo pertenecientes al personal de TI para obtener credenciales e infiltrarse aún más en la red. Una investigación más profunda reveló que el atacante pudo acceder a la cuenta de administrador y restablecer la contraseña.
«Este ataque resalta no sólo la creatividad y la sofisticación de los atacantes, sino también el riesgo de que la funcionalidad confiable del sistema pueda usarse como arma para evadir la detección tradicional», dijeron los investigadores. «No se trata sólo de detectar actividades maliciosas, sino de ser conscientes de cómo las herramientas y los procesos legítimos pueden manipularse y volverse contra ellos».
Source link
