El actor centrado en el espionaje alineado con China llamado Winnti ha puesto su mirada en las organizaciones gubernamentales en Hong Kong como parte de una campaña en curso denominada Operación CuckooBees.
Activo desde al menos 2007, Winnti (también conocido como APT41, Bario, Bronze Atlas y Wicked Panda) es el nombre designado a un prolífico grupo de amenazas cibernéticas que lleva a cabo actividades de espionaje patrocinadas por el estado chino, principalmente destinadas a robar propiedad intelectual de organizaciones en países desarrollados. economías.
Las campañas del actor de amenazas se han dirigido a los sectores de la salud, las telecomunicaciones, la alta tecnología, los medios, la agricultura y la educación, y las cadenas de infección se basan principalmente en correos electrónicos de phishing con archivos adjuntos para ingresar inicialmente a las redes de las víctimas.
A principios de mayo, Cybereason reveló ataques de larga duración orquestados por el grupo desde 2019 para desviar secretos tecnológicos de empresas de tecnología y fabricación ubicadas principalmente en Asia oriental, Europa occidental y América del Norte.
Se estima que las intrusiones, bajo el nombre de Operación CuckooBees, resultaron en la filtración de “cientos de gigabytes de información”, reveló la compañía de ciberseguridad israelí.
La última actividad, según el Symantec El equipo de Threat Hunter, parte de Broadcom Software, es una continuación de la campaña de robo de datos patentados, pero con un enfoque en Hong Kong.
Los atacantes permanecieron activos en algunas de las redes comprometidas durante un año, la empresa dijo en un informe compartido con The Hacker News, agregar que las intrusiones allanaron el camino para la implementación de un cargador de malware llamado espíaque salió a la luz por primera vez en marzo de 2021.
“[Spyder] se está utilizando para ataques dirigidos a sistemas de almacenamiento de información, recopilando información sobre dispositivos dañados, ejecutando cargas dañinas maliciosas, coordinando la ejecución de scripts y la comunicación del servidor C&C”, dijo el equipo de investigación de amenazas de SonicWall Capture Labs. señalado en el momento.
También se implementaron junto con Spyder otras herramientas posteriores a la explotación, como Mimikatz y un módulo DLL zlib troyano que es capaz de recibir comandos de un servidor remoto o cargar una carga útil arbitraria.
Symantec dijo que no observó la entrega de ningún malware en etapa final, aunque se sospecha que los motivos de la campaña están relacionados con la recopilación de inteligencia basada en superposiciones tácticas con ataques anteriores.
“El hecho de que esta campaña haya estado en curso durante varios años, con diferentes variantes del malware Spyder Loader desplegadas en ese momento, indica que los actores detrás de esta actividad son adversarios persistentes y enfocados, con la capacidad de llevar a cabo operaciones sigilosas en las redes de las víctimas. durante un largo período de tiempo”, dijo Symantec.
Winnti apunta a entidades gubernamentales de Sri Lanka
Como una señal más de la sofisticación de Winnti, Malwarebytes descubierto un conjunto separado de ataques dirigidos a entidades gubernamentales en Sri Lanka a principios de agosto con una nueva puerta trasera denominada DBoxAgent que aprovecha Dropbox para comando y control.
“Hasta donde sabemos, Winnti (una APT respaldada por China) está apuntando a Sri Lanka por primera vez”, dijo el equipo de Malwarebytes Threat Intelligence.
Killchain también se destaca por hacer uso de una imagen ISO alojada en Google Drive que pretende ser un documento que contiene información sobre asistencia económica, lo que indica un intento por parte del actor de amenazas de capitalizar la crisis económica en curso en la nación
Lanzar un archivo LNK contenido dentro de la imagen ISO conduce a la ejecución del implante DBoxAgent que permite al adversario tomar control remoto de la máquina y exportar datos confidenciales al servicio de almacenamiento en la nube. Desde entonces, Dropbox ha deshabilitado la cuenta no autorizada.
La puerta trasera actúa además como un conducto para soltar herramientas de explotación que abrirían la puerta a otros ataques y exfiltración de datos, incluida la activación de una secuencia de infección de varias etapas que culmina en el uso de una puerta trasera C++ avanzada llamada KEYPLUG, que fue documentada por Mandiant de Google. en marzo de 2022.
El desarrollo marca la primera vez que se observa que APT41 utiliza Dropbox para fines de control y control, lo que ilustra el uso creciente por parte de los atacantes de ofertas legítimas de software como servicio y en la nube para alojar contenido malicioso.
“Winnti se mantiene activo y su arsenal sigue creciendo como uno de los grupos más sofisticados en la actualidad”, dijo la firma de ciberseguridad. “La ubicación de Sri Lanka en el sur de Asia es estratégica para China, ya que tiene acceso abierto al océano Índico y está cerca de la India”.