Se ha observado que un actor de amenazas avanzado con vínculos con la India utiliza múltiples proveedores de servicios en la nube para facilitar la recolección de credenciales, la distribución de malware y el comando y control (C2).
La empresa de seguridad e infraestructura web Cloudflare está rastreando la actividad bajo el nombre Lemming descuidadoque también se llama El tigre y el elefante pescador.
«Desde finales de 2022 hasta la actualidad, SloppyLemming ha utilizado rutinariamente Cloudflare Workers, probablemente como parte de una amplia campaña de espionaje dirigida a países del sur y este de Asia», dijo Cloudflare. dicho en un análisis.
Se estima que SloppyLemming está activo al menos desde julio de 2021, y que en campañas anteriores se han aprovechado de malware como Ares RAT y WarHawk, este último también vinculado a un conocido grupo de piratas informáticos llamado SideWinder. Por otro lado, el uso de Ares RAT se ha vinculado a SideCopy, un actor de amenazas probablemente de origen paquistaní.
Los objetivos de la actividad de SloppyLemming abarcan entidades gubernamentales, policiales, energéticas, educativas, de telecomunicaciones y tecnológicas ubicadas en Pakistán, Sri Lanka, Bangladesh, China, Nepal e Indonesia.
Las cadenas de ataque implican el envío de correos electrónicos de phishing a objetivos que buscan engañar a los destinatarios para que hagan clic en un enlace malicioso induciendo una falsa sensación de urgencia, afirmando que deben completar un proceso obligatorio dentro de las próximas 24 horas.
Al hacer clic en la URL, la víctima es dirigida a una página de recolección de credenciales, que luego sirve como mecanismo para que el actor de amenazas obtenga acceso no autorizado a cuentas de correo electrónico específicas dentro de organizaciones que son de interés.
«El actor utiliza una herramienta personalizada llamada CloudPhish para crear un Cloudflare Worker malicioso para manejar la lógica de registro de credenciales y la exfiltración de las credenciales de las víctimas al actor de la amenaza», dijo la compañía.
Algunos de los ataques realizados por SloppyLemming han aprovechado técnicas similares para capturar tokens OAuth de Google, así como emplear archivos RAR con trampas («CamScanner 06-10-2024 15.29.rar») que probablemente explotan una falla de WinRAR (CVE-2023-38831) para lograr la ejecución remota de código.
Dentro del archivo RAR hay un ejecutable que, además de mostrar el documento señuelo, carga sigilosamente «CRYPTSP.dll», que sirve como descargador para recuperar un troyano de acceso remoto alojado en Dropbox.
Vale la pena mencionar aquí que la empresa de ciberseguridad SEQRITE detalló una campaña análoga emprendida por los actores de SideCopy el año pasado dirigida a los sectores del gobierno y de defensa de la India para distribuir el Ares RAT utilizando archivos ZIP llamados «DocScanner_AUG_2023.zip» y «DocScanner-Oct.zip» que están diseñados para activar la misma vulnerabilidad.
Una tercera secuencia de infección empleada por SloppyLemming implica el uso de señuelos de spear phishing para llevar a los posibles objetivos a un sitio web falso que se hace pasar por la Junta de Tecnología de la Información de Punjab (PITB) en Pakistán, después de lo cual son redirigidos a otro sitio que contiene un archivo de acceso directo a Internet (URL).
El archivo URL incluye un código integrado para descargar otro archivo, un ejecutable llamado PITB-JR5124.exe, desde el mismo servidor. El binario es un archivo legítimo que se utiliza para cargar de forma local una DLL maliciosa llamada profapi.dll que posteriormente se comunica con un Cloudflare Worker.
Estas URL de Cloudflare Worker, señaló la empresa, actúan como intermediarios y transmiten solicitudes al dominio C2 real utilizado por el adversario («aljazeerak[.]en línea»).
Cloudflare dijo que «observó esfuerzos concertados por parte de SloppyLemming para atacar a los departamentos de policía paquistaníes y otras organizaciones encargadas de hacer cumplir la ley», y agregó que «hay indicios de que el actor ha apuntado a entidades involucradas en la operación y mantenimiento de la única instalación de energía nuclear de Pakistán».
Algunos de los otros objetivos de la actividad de recolección de credenciales incluyen organizaciones gubernamentales y militares de Sri Lanka y Bangladesh y, en menor medida, entidades del sector energético y académico de China.