Las personas de habla china han sido el objetivo de una nueva campaña que utiliza una versión troyanizada del lector SumatraPDF para implementar el agente de post-explotación AdaptixC2 Beacon y, en última instancia, facilitar la explotación de los túneles de Microsoft Visual Studio Code (VS Code) para acceso remoto.
Zscaler ThreatLabz, que descubrió la campaña el mes pasado, dice con gran confianza que es trabajo de Tropic Trooper (también conocido como APT23, Earth Centaur, KeyBoy y Pirate Panda), un grupo de hackers conocido por atacar a varias organizaciones en Taiwán, Hong Kong y Filipinas. Se estima que ha estado activo desde al menos 2011.
«Los atacantes utilizaron GitHub como plataforma de comando y control (C2) para crear un oyente AdaptixC2 Beacon personalizado», dijo el investigador de seguridad Ying Hong Zhang en un análisis.
Se cree que la campaña está dirigida a personas de habla china en Taiwán y a personas de Corea del Sur y Japón. El punto de partida del ataque es un archivo ZIP que contiene un documento de temática militar que sirve como señuelo para lanzar una versión maliciosa de SumatraPDF. Este documento se utiliza para mostrar un documento PDF señuelo y al mismo tiempo recuperar el código shell cifrado del servidor de prueba para iniciar AdaptixC2 Beacon.
Para lograr esto, el ejecutable SumatraPDF con puerta trasera lanza una versión ligeramente modificada del cargador con nombre en código TOSHIS. Esta es una variante de Xiangoop, un malware vinculado a Tropic Trooper que se ha utilizado en el pasado para recuperar cargas útiles de la siguiente etapa, como Cobalt Strike Beacon y el agente Merlin del marco Mythic.
El cargador es responsable de activar un ataque de varias etapas y soltar tanto el documento señuelo como mecanismo de distracción como el agente de baliza AdaptixC2 en segundo plano. El agente utiliza GitHub como su C2 y envía balizas a la infraestructura controlada por el atacante para recuperar tareas que se ejecutarán en hosts comprometidos.
El ataque sólo avanza a la siguiente etapa si la víctima se considera digna. En ese punto, el actor de amenazas implementa VS Code y configura un túnel de VS Code para acceso remoto. En algunas máquinas, se ha descubierto que los atacantes han instalado otra aplicación troyanizada. Es probable que esto camufle mejor sus acciones.
Además, se observó que el servidor de prueba involucrado en el compromiso (‘158.247.193(.)100’) albergaba puertas traseras personalizadas llamadas Cobalt Strike Beacon y EntryShell, las cuales han sido utilizadas por Tropic Trooper en el pasado.
«Al igual que en la campaña TAOTH, se utiliza una puerta trasera disponible públicamente como carga útil», dijo Zscaler. «Anteriormente se usaban Cobalt Strike Beacon y Mythic Merlin, pero los actores de amenazas ahora están pasando a AdaptixC2».
Source link
