Un actor de amenazas probablemente relacionado con China ha sido atribuido a un nuevo ataque a la cadena de suministro que implica el uso de un instalador troyano para la aplicación Comm100 Live Chat para distribuir una puerta trasera de JavaScript.
La firma de seguridad cibernética CrowdStrike dijo que el ataque utilizó una aplicación de agente de escritorio Comm100 firmada para Windows que se podía descargar desde el sitio web de la compañía.
Actualmente se desconoce la escala del ataque, pero se dice que el archivo troyano se identificó en organizaciones de los sectores industrial, sanitario, tecnológico, manufacturero, de seguros y de telecomunicaciones en América del Norte y Europa.
Comm100 es un proveedor canadiense de chat de audio/video en vivo y software de interacción con el cliente para empresas. Eso reclamación (es tener más de 15.000 clientes en 51 países.
«El instalador se firmó el 26 de septiembre de 2022 a las 14:54:00 UTC con un certificado válido de Comm100 Network Corporation», dijo la empresa. señaladoagregando que permaneció disponible hasta el 29 de septiembre.
Incrustado dentro del ejecutable armado hay un implante basado en JavaScript que ejecuta un código JavaScript de segunda etapa alojado en un servidor remoto, que está diseñado para proporcionar al actor una funcionalidad de shell remota subrepticia.
También se implementó como parte de la actividad posterior a la explotación una DLL de cargador malicioso llamada MidlrtMd.dll que inicia un código de shell en memoria para inyectar una carga incrustada en un nuevo proceso de Bloc de notas.
Los compromisos de la cadena de suministro, como el de SolarWinds y Kaseya, se están convirtiendo en una estrategia cada vez más lucrativa para que los actores de amenazas apunten a un proveedor de software ampliamente utilizado para hacerse un hueco en las redes de los clientes intermedios.
Al momento de escribir, ninguno de los proveedores de seguridad marcar el instalador como malicioso. Tras la divulgación responsable, el problema se ha abordado desde entonces con la publicación de un instalador actualizado (10.0.9).
CrowdStrike ha vinculado el ataque con confianza moderada a un actor con un nexo con China en función de la presencia de comentarios en idioma chino en el malware y la orientación de entidades de juegos de azar en línea en el este y sudeste de Asia, un área de interés ya establecida para China. actores de intrusión.
Dicho esto, la carga útil entregada en esta actividad difiere de otras familias de malware previamente identificadas como operadas por el grupo, lo que sugiere una expansión de su arsenal ofensivo.
CrowdStrike no reveló el nombre del adversario, pero los TTP apuntan en la dirección de un actor de amenazas llamado Tierra Berberoka (también conocido como GamblingPuppet), que a principios de este año se descubrió usando una aplicación de chat falsa llamada MiMi en sus ataques contra la industria del juego.