Un presunto actor de amenazas chino atacó a una gran organización estadounidense a principios de este año como parte de una intrusión que duró cuatro meses.
Según Symantec, propiedad de Broadcom, la primera evidencia de actividad maliciosa se detectó el 11 de abril de 2024 y continuó hasta agosto. Sin embargo, la empresa no descarta la posibilidad de que la intrusión se haya producido antes.
“Los atacantes se movieron lateralmente a través de la red de la organización, comprometiendo varias computadoras”, dijo el equipo Symantec Threat Hunter. dicho en un informe compartido con The Hacker News.
“Algunas de las máquinas atacadas eran servidores Exchange, lo que sugiere que los atacantes estaban recopilando inteligencia mediante la recopilación de correos electrónicos. También se implementaron herramientas de exfiltración, lo que sugiere que los datos específicos fueron tomados de las organizaciones”.
No se reveló el nombre de la organización que se vio afectada por la persistente campaña de ataque, pero se señaló que la víctima tiene una presencia significativa en China.
Los vínculos con China como posible culpable se derivan del uso de carga lateral de DLL, que es una táctica preferida entre varios grupos de amenazas chinos, y la presencia de artefactos previamente identificados como empleados en conexión con una operación patrocinada por el estado con nombre en código Crimson Palace.
Otro punto de interés es que la organización fue atacada en 2023 por un atacante con vínculos tentativos con otro equipo de piratería con sede en China llamado Daggerfly, que también se conoce como Bronze Highland, Evasive Panda y StormBamboo.
Además de utilizar la carga lateral de DLL para ejecutar cargas útiles maliciosas, el ataque implica el uso de herramientas de código abierto como FileZilla, Impacket y PSCP, al tiempo que emplea programas que viven fuera de la tierra (LotL) como Windows Management Instrumentation (WMI). , PsExec y PowerShell.
El mecanismo exacto de acceso inicial utilizado para violar la red sigue siendo desconocido en este momento. Dicho esto, el análisis de Symantec encontró que la máquina en la que se detectaron los primeros indicadores de compromiso incluía un comando que se ejecutaba a través de WMI desde otro sistema en la red.
“El hecho de que el comando se originara en otra máquina de la red sugiere que los atacantes ya habían comprometido al menos otra máquina en la red de la organización y que la intrusión pudo haber comenzado antes del 11 de abril”, dijo la compañía.
Algunas de las otras actividades maliciosas que realizaron posteriormente los atacantes abarcaron desde el robo de credenciales y la ejecución de archivos DLL maliciosos hasta atacar servidores Microsoft Exchange y descargar herramientas como FileZilla, PSCP y WinRAR.
“Un grupo en el que los atacantes estaban particularmente interesados es el de los ‘servidores Exchange’, lo que sugiere que los atacantes intentaban apuntar a los servidores de correo para recopilar y posiblemente exfiltrar datos de correo electrónico”, dijo Symantec.
El desarrollo se produce cuando Orange Cyberdefense detalló las relaciones públicas y privadas dentro del Ecosistema ciberofensivo chinoal tiempo que destaca el papel desempeñado por las universidades para la investigación de seguridad y los contratistas de hacking para realizar ataques bajo la dirección de entidades estatales.
“En muchos casos, personas vinculadas al [Ministry of State Security] o [People’s Liberation Army] unidades registran empresas falsas para ocultar la atribución de sus campañas al Estado chino”, dicho.
“Estas empresas falsas, que no se dedican a actividades reales con fines de lucro, pueden ayudar a conseguir la infraestructura digital necesaria para llevar a cabo los ciberataques sin llamar la atención no deseada. También sirven como fachada para reclutar personal para funciones que apoyen las operaciones de piratería”.
About the Author
