Un gobierno no identificado del sudeste asiático se ha convertido en el objetivo de una serie de ciberataques orquestados por múltiples actores de amenazas con vínculos al grupo China-Nexus. Estos ataques, que se llevaron a cabo durante un período prolongado, han sido revelados en un informe exhaustivo de tres partes presentado por investigadores de Palo Alto Networks Unit 42.
«Mientras que esta actividad ocurrió aproximadamente al mismo tiempo y, en algunos casos, incluso simultáneamente en las mismas máquinas de las víctimas, cada grupo se caracteriza por herramientas, modus operandi e infraestructuras distintas»
Lior Rochberger, Tom Fakterman y Robert Falcone, investigadores de Palo Alto Networks Unit 42.
Según los expertos, la actividad maliciosa tuvo lugar entre el segundo trimestre de 2021 y el tercer trimestre de 2023, y estuvo dirigida a una variedad de entidades gubernamentales, incluyendo infraestructura crítica, instituciones de salud pública, administradores financieros públicos y ministerios. Los ataques se han atribuido con moderada confianza a tres grupos diferentes: Stately Taurus (también conocido como Mustang Panda), Alloy Taurus (también conocido como Granite Typhoon) y Gelsemium.
Lo que hace que estos ataques sean especialmente preocupantes es su alto grado de sofisticación y enfoque altamente dirigido hacia la recopilación de inteligencia y la extracción de documentos e información sensible. Los atacantes han utilizado una amplia gama de herramientas, incluyendo LadonGo, un framework open-source de escaneo, Mimikatz, Impacket, China Chopper web shells, Cobalt Strike, ShadowPad y una nueva versión de la backdoor de TONESHELL.
El malware evita el uso de shellcode en favor de tres componentes basados en DLL para establecer la persistencia en el endpoint, establecer comunicaciones de comando y control (C2) con un servidor remoto y llevar a cabo operaciones de recopilación de información, incluida la ejecución de comandos, la interacción con el sistema de archivos, el keylogging y la captura de pantalla.
«Durante la operación, el actor de amenazas se apoderó lentamente de los entornos de las víctimas, centrándose en mantener el control a largo plazo. El propósito de los esfuerzos del actor de amenazas parece ser la recopilación continua y la extracción de documentos e inteligencia confidencial».
Señalaron los investigadores
Uno de los grupos involucrados, conocido como Alloy Taurus, ha sido particularmente destacado por su enfoque maduro y su capacidad para eludir los productos de seguridad. Utilizaron vulnerabilidades en los servidores de Microsoft Exchange para implementar web shells, lo que les permitió entregar payloads adicionales y ejecutar comandos de forma remota. Además, introdujeron dos backdoors .NET previamente desconocidos llamados Zapoa y ReShell.
Zapoa también incorpora características para extraer información del sistema, ejecutar shellcodes, enumerar procesos en ejecución, cargar archivos de ensamblaje .NET adicionales para aumentar sus capacidades y marcar archivos y artefactos con una fecha proporcionada, una técnica llamada timestomping.
Alloy Taurus también se destacó por su capacidad para robar credenciales y facilitar el movimiento lateral dentro de los entornos comprometidos. Utilizaron una variedad de herramientas, incluyendo Cobalt Strike, Quasar RAT, HDoor (una backdoor utilizada previamente por grupos chinos como Naikon y Goblin Panda), una variante de Gh0st RAT conocida como Gh0stCringe y Winnti, un implante multifuncional capaz de otorgar control remoto a una máquina infectada.
«Este grupo tuvo actividad durante más de seis meses entre 2022 y 2023. Presentó una combinación de herramientas y técnicas raras que el actor de amenazas aprovechó para obtener un punto de apoyo clandestino y recopilar inteligencia de servidores IIS sensibles pertenecientes a una entidad gubernamental del sudeste asiático.»
Revelan los investigadores.
Las cadenas de ataque capitalizan servidores web vulnerables para instalar web shells y distribuir backdoors como OwlProxy y SessionManager, mientras utilizan simultáneamente otras herramientas como Cobalt Strike, Meterpreter, Earthworm y SpoolFool para la posterior explotación, el tráfico de comando y control en túneles y la escalada de privilegios.
OwlProxy es un proxy HTTP con funcionalidad de backdoor que se dio a conocer por primera vez en abril de 2020. SessionManager, detallado por Kaspersky en julio pasado, es una backdoor personalizada y diseñada para analizar el campo Cookie dentro de las solicitudes HTTP entrantes para extraer los comandos emitidos por el atacante.
«El actor de amenazas obtuvo acceso mediante el uso de varios web shells, tras el intento de instalación de varios tipos de malware proxy y un backdoor IIS. Dado que algunos de los intentos del actor de amenazas de instalar malware no tuvieron éxito, continuaron entregando nuevas herramientas, mostrando su capacidad de adaptación al proceso de mitigación».
Señalan los investigadores.
Más información:
- https://unit42.paloaltonetworks.com/analysis-of-three-attack-clusters-in-se-asia/
- https://unit42.paloaltonetworks.com/stately-taurus-attacks-se-asian-government/
- https://unit42.paloaltonetworks.com/alloy-taurus-targets-se-asian-government/
- https://unit42.paloaltonetworks.com/rare-possible-gelsemium-attack-targets-se-asia/
- https://attack.mitre.org/software/S0552/
- https://www.sentinelone.com/cybersecurity-101/mimikatz/
- https://attack.mitre.org/software/S0357/
- https://attack.mitre.org/software/S0020/
- https://attack.mitre.org/techniques/T1070/006/
- https://securelist.com/the-naikon-apt-and-the-msnmm-campaigns/70029/
- https://asec.ahnlab.com/en/32572/
- https://securelist.com/winnti-more-than-just-a-game/37029/
- https://docs.metasploit.com/docs/using-metasploit/advanced/meterpreter/meterpreter.html
- https://securelist.com/luckymouse-ndisproxy-driver/87914/
- https://github.com/ly4k/SpoolFool
- https://medium.com/cycraft/taiwan-government-targeted-by-multiple-cyberattacks-in-april-2020-3b20cea1dc20
- https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Cookie
Deja una respuesta