Los proveedores de servicios de Internet (ISP) en China y la costa oeste de los Estados Unidos se han convertido en el objetivo de una campaña de explotación masiva que despliega robadores de información y mineros de criptomonedas en anfitriones comprometidos.
Los hallazgos provienen del equipo de investigación de amenaza de Splunk, que decía que la actividad también condujo a la entrega de varios binarios que facilitan la exfiltración de datos, así como a ofrecer formas de establecer la persistencia en los sistemas.
Los actores de amenaza no identificados realizaron “operaciones intrusivas mínimas para evitar la detección, con la excepción de los artefactos creados por cuentas ya comprometidas”, la compañía propiedad de Cisco dicho En un informe técnico publicado la semana pasada.
“Este actor también se mueve y se mueve principalmente mediante el uso de herramientas que dependen y se ejecutan en lenguajes de secuencias de comandos (p. Ej. [command-and-control] operaciones “.
Se han observado que los ataques aprovechan los ataques de fuerza bruta que explotan credenciales débiles. Estos intentos de intrusión se originan en direcciones IP asociadas con Europa del Este. Se dice que más de 4,000 direcciones IP de proveedores de ISP fueron específicamente dirigidas.
Al obtener el acceso inicial a los entornos objetivo, se ha encontrado que los ataques eliminan varios ejecutables a través de PowerShell para realizar escaneo de redes, robo de información y minería de criptomonedas XMRIG al abusar de los recursos computacionales de la víctima.
Antes de la ejecución de la carga útil hay una fase preparatoria que implica desactivar las características del producto de seguridad y la finalización de los servicios asociados con la detección de criptomineros.
El malware Stealer, además de presentar la capacidad de capturar capturas de pantalla, sirve similar a un malware Clipper que está diseñado para robar contenido de portapapeles buscando direcciones de billeteras para criptomonedas como Bitcoin (BTC), Ethereum (ETH), la cadena de binance Bep2 (Ethbep2), Litecoin (LTC) y TRON (TRX).
La información recopilada se exfila posteriormente a un bot de telegrama. También se ha vuelto a la máquina infectada un binario que, a su vez, lanza cargas útiles adicionales –
- Auto.exe, que está diseñado para descargar una lista de contraseñas (pass.txt) y la lista de direcciones IP (IP.txt) desde su servidor C2 para llevar a cabo ataques de fuerza bruta
- Masscan.exe, una herramienta multi -Masscan
“El actor apuntó a CIDR específicos de proveedores de infraestructura ISP ubicados en la costa oeste de los Estados Unidos y en el país de China”, dijo Splunk.
“Estas IP se dirigieron mediante el uso de una herramienta MassCan que permite a los operadores escanear grandes cantidades de direcciones IP que posteriormente se puede sondear para puertos abiertos y ataques de fuerza bruta de credenciales”.
About the Author
