Un equipo de piratería patrocinado por el estado chino ha resurgido con una nueva campaña dirigida a entidades gubernamentales, de salud, tecnología y fabricación con sede en Taiwán, Tailandia, Filipinas y Fiji después de más de seis meses sin actividad.
Tendencia Micro atribuido la intrusión establecida en un grupo de ciberespionaje que rastrea bajo el nombre Tierra Longzhique es un subgrupo dentro de APT41 (también conocido como HOODOO o Winnti) y comparte superposiciones con varios otros clústeres conocidos como Earth Baku, SparklingGoblin y GroupCC.
Earth Longzhi fue documentado por primera vez por la firma de ciberseguridad en noviembre de 2022, detallando sus ataques contra varias organizaciones ubicadas en el este y sureste de Asia, así como en Ucrania.
Las cadenas de ataque montadas por el actor de amenazas aprovechan las aplicaciones públicas vulnerables como puntos de entrada para implementar el shell web BEHINDER y luego aprovechan ese acceso para soltar cargas útiles adicionales, incluida una nueva variante de un cargador Cobalt Strike llamado CroxLoader.
“Esta reciente campaña […] abusa de un ejecutable de Windows Defender para realizar la carga lateral de DLL al mismo tiempo que explota un controlador vulnerable, zamguard.sys, para deshabilitar los productos de seguridad instalados en los hosts a través de un ataque BYOVD (traiga su propio controlador vulnerable), dijo Trend Micro.
De ninguna manera es la primera vez que Earth Longzhi aprovecha la técnica BYOVD, ya que las campañas anteriores utilizaron el controlador RTCore64.sys vulnerable para restringir la ejecución de productos de seguridad.
El malware, denominado SPHijacker, también emplea un segundo método denominado “retumbo de pila” para lograr el mismo objetivo, que implica realizar cambios en el registro de Windows para interrumpir el flujo de ejecución del proceso y provocar deliberadamente que las aplicaciones de destino se bloqueen al iniciarse.
“Esta técnica es un tipo de [denial-of-service] ataque que abusa de los valores de MinimumStackCommitInBytes no documentados en el [Image File Execution Options] clave de registro”, explicó Trend Micro.
“El valor de MinimalStackCommitInBytes asociado con un proceso específico en la clave de registro de IFEO se usará para definir el tamaño mínimo de la pila para confirmar al inicializar el subproceso principal. Si el tamaño de la pila es demasiado grande, activará una excepción de desbordamiento de la pila y terminará el proceso actual”.
Los enfoques gemelos están lejos de ser los únicos métodos que se pueden utilizar para perjudicar los productos de seguridad. Deep Instinct, el mes pasado, detalló una nueva técnica de inyección de código bautizada vanidad sucia que explota el mecanismo de bifurcación remota en Windows para sistemas de detección de puntos finales ciegos.
Además, la carga útil del controlador se instala como un servicio de nivel de kernel mediante la llamada de procedimiento remoto de Microsoft (RPC) a diferencia de las API de Windows para evadir la detección.
Aprenda a detener el ransomware con protección en tiempo real
Únase a nuestro seminario web y aprenda cómo detener los ataques de ransomware en seco con MFA en tiempo real y protección de cuenta de servicio.
También se observa en los ataques el uso de un cuentagotas basado en DLL llamado Roxwrapper para entregar otro cargador Cobalt Strike etiquetado como BigpipeLoader, así como una herramienta de escalada de privilegios (dwm.exe) que abusa de Windows. Programador de tareas para lanzar una carga útil determinada con privilegios de SISTEMA.
La carga útil especificada, dllhost.exe, es un programa de descarga capaz de recuperar malware de próxima etapa de un servidor controlado por un actor.
Vale la pena señalar aquí que dwm.exe se basa en una prueba de concepto (PoC) de código abierto disponible en GitHublo que sugiere que el actor de amenazas se está inspirando en los programas existentes para perfeccionar su arsenal de malware.
Trend Micro dijo además que identificó documentos señuelo escritos en vietnamita e indonesio, lo que indica posibles intentos de dirigirse a usuarios en los dos países en el futuro.
“Earth Longzhi permanece activo y continúa mejorando sus tácticas, técnicas y procedimientos (TTP)”, señalaron los investigadores de seguridad Ted Lee y Hara Hiroaki. “Las organizaciones deben mantenerse alerta contra el desarrollo continuo de nuevos esquemas sigilosos por parte de los ciberdelincuentes”.