Las compañías navieras y los laboratorios médicos en Asia han sido objeto de una supuesta campaña de espionaje llevada a cabo por un actor de amenazas nunca antes visto llamado hidrochasma.
La actividad, que ha estado en curso desde octubre de 2022, «se basa exclusivamente en herramientas disponibles públicamente y que viven fuera de la tierra», Symantec, de Broadcom Software, dicho en un informe compartido con The Hacker News.
Todavía no hay evidencia disponible para determinar su origen o afiliación con actores de amenazas conocidos, pero la compañía de ciberseguridad dijo que el grupo puede estar interesado en verticales de la industria que están involucradas en tratamientos o vacunas relacionados con COVID-19.
Los aspectos destacados de la campaña son la ausencia de exfiltración de datos y malware personalizado, con el actor de amenazas empleando herramientas de código abierto para la recopilación de inteligencia. Al utilizar herramientas ya disponibles, el objetivo, al parecer, es no solo confundir los esfuerzos de atribución, sino también hacer que los ataques sean más sigilosos.
Lo más probable es que el comienzo de la cadena de infección sea un mensaje de phishing que contenga un documento de señuelo con el tema de un currículum que, cuando se inicia, otorga acceso inicial a la máquina.
A partir de ahí, se ha observado a los atacantes desplegando un tesoro de herramientas como Fast Reverse Proxy (PRFV), Meterpreter, baliza de ataque de cobalto, escanear, navegadorfantasmay Gost apoderado.
«Las herramientas implementadas por Hydrochasma indican un deseo de lograr un acceso persistente y sigiloso a las máquinas de las víctimas, así como un esfuerzo por escalar los privilegios y propagarse lateralmente a través de las redes de las víctimas», dijeron los investigadores.
El abuso de FRP por parte de grupos de hackers está bien documentado. En octubre de 2021, Positive Technologies reveló ataques montados por ChamelGang que involucraban el uso de la herramienta para controlar hosts comprometidos.
Luego, en septiembre pasado, AhnLab Security Emergency Response Center (ASEC) descubierto ataques dirigidos a empresas de Corea del Sur que aprovecharon FRP para establecer acceso remoto desde servidores ya comprometidos para ocultar los orígenes del adversario.
Hydrochasma no es el único actor de amenazas en los últimos meses que evita por completo el malware personalizado. Esto incluye un grupo de ciberdelincuencia denominado OPERA1ER (también conocido como Bluebottle) que hace un uso extensivo de herramientas de doble uso que viven de la tierra y malware básico en intrusiones dirigidas a países francófonos en África.