Se han observado grupos de actividades de amenazas afiliados a los ecosistemas ciberdelincuentes de China y Rusia utilizando una nueva pieza de malware diseñada para cargar Cobalt Strike en las máquinas infectadas.
Doblado CARGADOR DE SEDA por la compañía finlandesa de ciberseguridad WithSecure, el malware aprovecha Técnicas de carga lateral de DLL para ofrecer software comercial de simulación de adversarios.
El desarrollo se produce cuando las capacidades de detección mejoradas contra Cobalt Strike, una herramienta legítima posterior a la explotación utilizada para las operaciones del equipo rojo, obliga a los actores de amenazas a buscar opciones alternativas o inventar nuevas formas de propagar el marco para evadir la detección.
“El más común de estos incluye agregar complejidad a las cargas útiles de balizas o etapas generadas automáticamente a través de la utilización de empaquetadores, encriptadores, cargadores o técnicas similares”, investigadores de WithSecure. dicho.
SILKLOADER se une a otros cargadores como KoboldLoader, MagnetLoader y LithiumLoader que han sido Descubierto recientemente incorporando componentes Cobalt Strike.
También comparte superposiciones con LithiumLoader en el sentido de que ambos emplean el método de carga lateral de DLL para secuestrar una aplicación legítima con el objetivo de ejecutar una biblioteca de enlaces dinámicos malintencionada separada (DLL).
SILKLOADER logra esto a través de archivos libvlc.dll especialmente diseñados que se colocan junto con un binario de reproductor de medios VLC legítimo pero renombrado (Charmap.exe).
WithSecure dijo que identificó el cargador de shellcode luego de un análisis de “varias intrusiones operadas por humanos” dirigidas a varias entidades que abarcan una amplia gama de organizaciones ubicadas en Brasil, Francia y Taiwán en el cuarto trimestre de 2022.
Aunque estos ataques no tuvieron éxito, se sospecha que la actividad es un paso previo a las implementaciones de ransomware, con tácticas y herramientas “muy superpuestas” con las atribuidas a los operadores del Jugar ransomware.
En un ataque dirigido a una organización de bienestar social francesa no identificada, el actor de amenazas se afianzó en la red al explotar un dispositivo Fortinet SSL VPN comprometido para organizar balizas Cobalt Strike.
“El actor de amenazas mantuvo un punto de apoyo en esta organización durante varios meses”, dijo WithSecure. “Durante este tiempo, realizaron actividades de descubrimiento y robo de credenciales, seguidas del despliegue de múltiples balizas Cobalt Strike”.
Pero cuando este intento falló, el adversario cambió a usar SILKLOADER para eludir la detección y entregar la carga útil de la baliza.
Eso no es todo. Otro cargador conocido como BAILLOADER, que también se usa para distribuir balizas Cobalt Strike, se ha relacionado con ataques que involucran ransomware cuánticoGootLoader y el troyano IcedID en los últimos meses.
BAILLOADER, por su parte, se dice que exhibe similitudes con un crypter cuyo nombre en código tron que ha sido utilizado por diferentes adversarios para distribuir Emotet, TrickBot, BazarLoader, IcedID, Conti ransomware y Cobalt Strike.
Esto ha dado lugar a la posibilidad de que actores de amenazas dispares compartan balizas, codificadores e infraestructura de Cobalt Strike proporcionados por afiliados externos para dar servicio a múltiples intrusiones utilizando diferentes tácticas.
En otras palabras, es probable que SILKLOADER se ofrezca como un cargador listo para usar a través de un programa Packer-as-a-Service para los actores de amenazas con sede en Rusia.
“Este cargador se proporciona directamente a grupos de ransomware o posiblemente a través de grupos que ofrecen Cobalt Strike/Infraestructura como servicio a afiliados de confianza”, dijo WithSecure.
Descubra los peligros ocultos de las aplicaciones SaaS de terceros
¿Conoce los riesgos asociados con el acceso de aplicaciones de terceros a las aplicaciones SaaS de su empresa? Únase a nuestro seminario web para conocer los tipos de permisos que se otorgan y cómo minimizar el riesgo.
“La mayoría de estos afiliados parecen haber sido parte o haber tenido relaciones laborales cercanas con el grupo Conti, sus miembros y sus descendientes después de su supuesto cierre”.
Las muestras de SILKLOADER analizadas por la empresa muestran que las primeras versiones del malware se remontan a principios de 2022, y el cargador se utilizó exclusivamente en diferentes ataques dirigidos a víctimas en China y Hong Kong.
Se cree que el cambio de objetivos de Asia oriental a otros países como Brasil y Francia ocurrió alrededor de julio de 2022, después de lo cual todos los incidentes relacionados con SILKLOADER se atribuyeron a los ciberdelincuentes rusos.
Esto ha dado paso a la hipótesis de que “SILKLOADER fue escrito originalmente por actores de amenazas que actúan dentro del ecosistema cibercriminal chino” y que “los actores de amenazas dentro de este nexo utilizaron el cargador al menos desde mayo de 2022 hasta julio de 2022”.
“El constructor o código fuente fue adquirido posteriormente por un actor de amenazas dentro del ecosistema ciberdelincuente ruso entre julio de 2022 y septiembre de 2022”, dijo WithSecure, y agregó: “el autor chino original vendió el cargador a un actor de amenazas ruso una vez que ya no tenían uso para ello”.
Tanto SILKLOADER como BAILLOADER son solo los ejemplos más recientes de actores de amenazas que refinan y renuevan sus enfoques para mantenerse a la vanguardia de la curva de detección.
“A medida que el ecosistema ciberdelincuente se modulariza cada vez más a través de ofertas de serviciosya no es posible atribuir ataques a grupos de amenazas simplemente por
vinculándolos a componentes específicos dentro de sus ataques”, concluyeron los investigadores de WithSecure.