Las organizaciones gubernamentales y estatales en varios países asiáticos han sido blanco de un grupo distinto de piratas informáticos de espionaje como parte de una misión de recopilación de inteligencia que ha estado en marcha desde principios de 2021.
«Una característica notable de estos ataques es que los atacantes aprovecharon una amplia gama de paquetes de software legítimos para cargar sus cargas útiles de malware utilizando una técnica conocida como Carga lateral de DLL«, el equipo de Symantec Threat Hunter, parte de Broadcom Software, dijo en un informe compartido con The Hacker News.
Se dice que la campaña está dirigida exclusivamente a instituciones gubernamentales relacionadas con las finanzas, la industria aeroespacial y la defensa, así como a empresas estatales de medios, TI y telecomunicaciones.
La carga lateral de la biblioteca de vínculos dinámicos (DLL) es un método de ciberataque popular que aprovecha la forma en que las aplicaciones de Microsoft Windows manejan los archivos DLL. En estas intrusiones, se planta una DLL maliciosa falsificada en Windows Side-by-Side (WinSxS) para que el sistema operativo lo cargue en lugar del archivo legítimo.
Los ataques implican el uso de versiones antiguas y desactualizadas de soluciones de seguridad, software de gráficos y navegadores web que seguramente carecerán de mitigaciones para la carga lateral de DLL, usándolos como un conducto para cargar código shell arbitrario diseñado para ejecutar cargas útiles adicionales.
Además, los paquetes de software también se duplican como un medio para entregar herramientas para facilitar el robo de credenciales y el movimiento lateral a través de la red comprometida.
«[The threat actor] aprovechó PsExec para ejecutar versiones antiguas de software legítimo que luego se usaron para cargar herramientas de malware adicionales, como troyanos de acceso remoto estándar (RATS) a través de la carga lateral de DLL en otras computadoras en las redes», señalaron los investigadores.
En uno de los ataques contra una organización estatal en el sector de la educación en Asia que duró de abril a julio de 2022, durante el cual el adversario accedió a máquinas que alojaban bases de datos y correos electrónicos, antes de acceder al controlador de dominio.
La intrusión también hizo uso de una versión de 11 años de Bitdefender Crash Handler («javac.exe») para lanzar una versión renombrada de Mimikatz («calc.exe»), un marco de prueba de penetración Golang de código abierto llamado LadonGoy otras cargas útiles personalizadas en varios hosts.
Uno de ellos es un ladrón de información rico en funciones que no había sido documentado previamente y que es capaz de registrar pulsaciones de teclas, capturar capturas de pantalla, conectarse y consultar bases de datos SQL, descargar archivos y robar datos del portapapeles.
También se puso en uso en el ataque una herramienta de escaneo de intranet disponible públicamente llamada Fscan para realizar intentos de explotación aprovechando las vulnerabilidades de ProxyLogon Microsoft Exchange Server.
La identidad del grupo de amenazas no está clara, aunque se dice que usó ShadowPad en campañas anteriores, una puerta trasera modular diseñada como sucesora de PlugX (también conocido como Korplug) y compartida entre muchos actores de amenazas chinos.
Symantec dijo que tiene evidencia limitada que vincula los ataques anteriores del actor de amenazas que involucran el malware PlugX con otros grupos de piratería chinos como APT41 (también conocido como Wicked Panda) y Mustang Panda. Además, se ha observado el uso de un archivo Bitdefender legítimo para descargar el shellcode en ataques anteriores atribuidos a APT41.
«El uso de aplicaciones legítimas para facilitar la carga lateral de DLL parece ser una tendencia creciente entre los actores de espionaje que operan en la región», dijeron los investigadores. «Aunque es una técnica bien conocida, debe estar dando cierto éxito a los atacantes dada su popularidad actual».