Se cree que un grupo de amenazas previamente indocumentado alineado con China llamado «Duende de nariz larga» fue el resultado de una serie de ataques cibernéticos dirigidos a agencias gubernamentales en el sudeste asiático y Japón.
La empresa eslovaca de ciberseguridad ESET afirmó en un informe publicado hoy que el objetivo final de estos ataques es el ciberespionaje. Se estima que el grupo de actividad de amenazas ha estado activo desde al menos septiembre de 2023.
«LongNosed Goblin aprovecha la Política de grupo para implementar malware en redes comprometidas, implementando servicios en la nube (como Microsoft OneDrive y Google Drive) como servidores de comando y control (C&C)», dijeron los investigadores de seguridad Anton Cherepanov y Peter Strýček en un comunicado.
La política de grupo es un mecanismo para administrar la configuración y los permisos en máquinas con Windows. Según Microsoft, la Política de grupo se puede utilizar para definir la configuración de grupos de usuarios y computadoras cliente y para administrar las computadoras servidor.
Este ataque se caracteriza por el uso de una variedad de conjuntos de herramientas personalizados, compuestos principalmente por aplicaciones C#/.NET.
NosyHistorian, NosyDoor, que recopila el historial del navegador de Google Chrome, Microsoft Edge y Mozilla Firefox, una puerta trasera que utiliza Microsoft OneDrive como C&C y ejecuta comandos que permiten la extracción y eliminación de archivos y la ejecución de comandos de shell. NosyStealer, que extrae datos del navegador de Google Chrome y Microsoft Edge a Google Drive en forma de archivos TAR cifrados; NosyDownloader, NosyLogger NosyLogger, una versión modificada de DuckSharp utilizada para registrar pulsaciones de teclas, descargas y ejecuta cargas útiles en memoria como
Cadena de ejecución de NosyDoor
ESET dijo que detectó por primera vez actividad relacionada con el grupo de piratería en los sistemas de una agencia gubernamental en el sudeste asiático en febrero de 2024 y, finalmente, descubrió que la Política de grupo se estaba utilizando para distribuir malware a múltiples sistemas en la misma organización. Actualmente se desconoce el método de acceso inicial exacto utilizado en el ataque.
Un análisis más detallado revela que, si bien muchas víctimas se vieron afectadas por NosyHistorian entre enero y marzo de 2024, solo una parte de estas víctimas fueron infectadas por NosyDoor, lo que indica un enfoque más específico. En algunos casos, se ha descubierto que los droppers utilizados para implementar puertas traseras mediante la inyección de AppDomainManager contienen «barandillas de seguridad de ejecución» diseñadas para restringir las operaciones en máquinas víctimas específicas.
LongNosed Goblin también emplea otras herramientas como un proxy SOCKS5 inverso, una utilidad utilizada para ejecutar una grabadora de vídeo que captura audio y vídeo, y el cargador Cobalt Strike.
La firma de ciberseguridad señaló que el modus operandi del atacante comparte una ligera superposición con los grupos rastreados como ToddyCat y Erudite Mogwai, pero enfatizó la falta de evidencia concluyente que los vincule. Sin embargo, las similitudes entre NosyDoor y LuckyStrike Agent, y la presencia de la frase «Versión paga» en la ruta PDB de LuckyStrike Agent, plantean la posibilidad de que este malware pueda venderse o otorgarse licencias a otros actores de amenazas.
«Posteriormente identificamos otra instancia de la variante NosyDoor dirigida a organizaciones en los estados miembros de la UE, nuevamente usando un TTP diferente y usando el servicio en la nube Yandex Disk como servidor C&C», dijeron los investigadores. «El uso de esta variante NosyDoor sugiere que este malware puede estar siendo compartido entre múltiples grupos de amenazas alineados con China».
Source link
