Un actor de amenazas llamado mosca roja ha sido vinculado a un compromiso de una red nacional ubicada en un país asiático anónimo durante seis meses a principios de este año utilizando un conocido malware denominado ShadowPad.
«Los atacantes lograron robar credenciales y comprometer varias computadoras en la red de la organización», dijo el equipo Symantec Threat Hunter, parte de Broadcom. dicho en un informe compartido con The Hacker News. «El ataque es el último de una serie de intrusiones de espionaje contra [critical national infrastructure] objetivos.»
ShadowPad, también conocido como PoisonPlug, es una continuación del troyano de acceso remoto PlugX y es un implante modular capaz de cargar complementos adicionales dinámicamente desde un servidor remoto según sea necesario para recopilar datos confidenciales de redes violadas.
Ha sido ampliamente utilizado por una lista cada vez mayor de nexo china grupos de estados-nación desde al menos 2019 en ataques dirigidos a organizaciones en diversos sectores verticales de la industria.
«ShadowPad se descifra en la memoria utilizando un algoritmo de descifrado personalizado», señaló Secureworks Counter Threat Unit (CTU) en febrero de 2022. «ShadowPad extrae información sobre el host, ejecuta comandos, interactúa con el sistema de archivos y el registro, e implementa nuevos módulos para ampliar funcionalidad.»
Se dice que la primera señal de un ataque dirigido a la entidad asiática se registró el 23 de febrero de 2023, cuando se ejecutó ShadowPad en una sola computadora, seguido de la ejecución de la puerta trasera tres meses después, el 17 de mayo.
También se implementó casi al mismo tiempo una herramienta llamada Packerloader que se usa para ejecutar shellcode arbitrario, usándolo para modificar permisos para un archivo de controlador conocido como dump_diskfs.sys para otorgar acceso a todos los usuarios, lo que aumenta la posibilidad de que el controlador se haya utilizado para cree volcados del sistema de archivos para su posterior filtración.
Además, se ha observado que los actores de amenazas ejecutan comandos de PowerShell para recopilar información sobre los dispositivos de almacenamiento conectados al sistema, volcar credenciales del Registro de Windows y, al mismo tiempo, borrar registros de eventos de seguridad de la máquina.
«El 29 de mayo, los atacantes regresaron y utilizaron una versión renombrada de ProcDump (nombre de archivo: alg.exe) para volcar las credenciales de LSASS», dijo Symantec. «El 31 de mayo, se utiliza una tarea programada para ejecutar oleview.exe, que probablemente realizará carga lateral y movimiento lateral».
Se sospecha que Redfly utilizó credenciales robadas para propagar la infección a otras máquinas dentro de la red. Después de una pausa de casi dos meses, el adversario reapareció en escena para instalar un keylogger el 27 de julio y nuevamente extraer credenciales de LSASS y el Registro el 3 de agosto.
Symantec dijo que la campaña comparte superposiciones de infraestructura y herramientas con actividades previamente identificadas atribuidas al grupo patrocinado por el estado chino conocido como APT41 (también conocido como Winnti), y Redly se centra casi exclusivamente en apuntar a entidades de infraestructura crítica.
Demasiado vulnerable: descubrir el estado de la superficie de ataque a la identidad
¿Consiguió el MFA? ¿PAM? ¿Protección de la cuenta de servicio? Descubra qué tan bien equipada está realmente su organización contra las amenazas a la identidad
Sin embargo, no hay pruebas de que el grupo de hackers haya llevado a cabo ningún ataque perturbador hasta la fecha.
«Los actores amenazadores que mantienen una presencia persistente a largo plazo en una red nacional presentan un claro riesgo de ataques diseñados para interrumpir el suministro de energía y otros servicios vitales en otros estados durante tiempos de mayor tensión política», dijo la compañía.
El desarrollo se produce cuando Microsoft reveló que actores afiliados a China están perfeccionando los medios visuales generados por IA para usarlos en operaciones de influencia dirigidas a los EE. UU., así como para «llevar a cabo la recopilación de inteligencia y la ejecución de malware contra gobiernos e industrias regionales» en la región del Mar de China Meridional. desde principios de año.
«Tifón de frambuesa [formerly Radium] apunta constantemente a ministerios gubernamentales, entidades militares y entidades corporativas conectadas a infraestructura crítica, particularmente telecomunicaciones», el gigante tecnológico dicho. «Desde enero de 2023, el tifón Raspberry ha sido especialmente persistente».
Otros objetivos incluyen la base industrial de defensa de EE. UU. (Circle Typhoon / DEV-0322, Mulberry Typhoon / Manganese y Volt Typhoon / DEV-0391), infraestructura crítica de EE. UU., entidades gubernamentales en Europa y EE. UU. (Storm-0558) y Taiwán ( Tifón de carbón / Tifón de cromo y lino / Tormenta-0919).
También sigue un informe del Atlantic Council que una ley china obliga a las empresas que operan en el país a revelar fallas de seguridad en sus productos al Ministerio de Industria y Tecnología de la Información (MIIT) permite al país para almacenar las vulnerabilidades y ayudar a los piratas informáticos estatales a «aumentar el ritmo, el éxito y el alcance de las operaciones».