Una campaña de ciberataques en curso que se origina en China tiene como objetivo el sector del juego del sudeste asiático para implementar balizas Cobalt Strike en sistemas comprometidos.
La firma de seguridad cibernética SentinelOne dijo que las tácticas, técnicas y procedimientos apuntan a la participación de un actor de amenazas rastreado como Luz de estrella de bronce (también conocido como Emperor Dragonfly o Storm-0401), que se ha relacionado con el uso de familias de ransomware de corta duración como cortina de humo para ocultar sus motivos de espionaje.
«Los actores de amenazas abusan de los ejecutables Adobe Creative Cloud, Microsoft Edge y McAfee VirusScan vulnerables al secuestro de DLL para implementar balizas Cobalt Strike», los investigadores de seguridad Aleksandar Milenkoski y Tom Hegel. dicho en un análisis publicado hoy.
También vale la pena señalar que las exhibiciones de la campaña se superponen con un conjunto de intrusos monitoreado por ESET bajo el nombre Operation ChattyGoblin. Esta actividad, a su vez, comparte puntos en común con un ataque a la cadena de suministro que salió a la luz el año pasado aprovechando un instalador troyano para la aplicación Comm100 Live Chat para distribuir una puerta trasera de JavaScript.
La atribución a un grupo exacto sigue siendo un desafío debido a las relaciones interconectadas y la amplia infraestructura y el intercambio de malware que prevalece entre varios actores del estado-nación chino.
Se sabe que los ataques emplean instaladores modificados para que las aplicaciones de chat descarguen un cargador de malware .NET que está configurado para recuperar un archivo ZIP de segunda etapa de los cubos de Alibaba.
El archivo ZIP consiste en un ejecutable legítimo vulnerable a Secuestro de orden de búsqueda de DLLa DLL malicioso que se carga lateralmente por el ejecutable cuando se inicia, y un archivo de datos cifrados llamado agent.data.
Específicamente, esto implica el uso de ejecutables de Adobe Creative Cloud, Microsoft Edge y McAfee VirusScan que son susceptibles de secuestro de DLL para descifrar y ejecutar el código incrustado en el archivo de datos, que implementa una baliza Cobalt Strike.
«El cargador se ejecuta a través de la carga lateral mediante ejecutables legítimos vulnerables al secuestro de DLL y organiza una carga útil almacenada en un archivo cifrado», señalaron los investigadores.
SentinelOne dijo que uno de los cargadores de malware .NET («AdventureQuest.exe») está firmado con un certificado emitido por un proveedor de VPN con sede en Singapur llamado Ivacy VPN, lo que indica el robo de la clave de firma en algún momento. Digicert tiene desde revocado el certificado a junio de 2023.
Los archivos DLL de carga lateral son variantes de HUI Loader, un cargador de malware personalizado que ha sido ampliamente utilizado por grupos con sede en China como APT10, Bronze Starlight y TA410. Se dice que APT10 y TA410 comparten superposiciones de comportamiento y herramientas entre sí, y el primero también está relacionado con otro grupo denominado Earth Tengshe.
«Los actores de amenazas de China-nexus han compartido constantemente malware, infraestructura y tácticas operativas en el pasado, y continúan haciéndolo», dijeron los investigadores, y agregaron que las actividades «ilustran la naturaleza intrincada del panorama de amenazas chino».