Un actor de amenazas previamente indocumentado y de procedencia desconocida ha sido vinculado a una serie de ataques dirigidos a organizaciones de los sectores de fabricación, TI y biomédico en Taiwán.
El equipo Symantec Threat Hunter, parte de Broadcom, atribuyó los ataques a una amenaza persistente avanzada (APT) que rastrea con el nombre tímalo. La evidencia muestra que la campaña comenzó en febrero de 2023 y continuó al menos hasta mayo de 2023.
También es probable que el objetivo de la actividad sea una agencia gubernamental ubicada en las islas del Pacífico, así como entidades en Vietnam y Estados Unidos.
“Esta actividad se destacó debido al uso por parte de Grayling de una técnica distintiva de carga lateral de DLL que utiliza un descifrador personalizado para implementar cargas útiles”, dijo la compañía. dicho en un informe compartido con The Hacker News. “La motivación que impulsa esta actividad parece ser la recopilación de inteligencia”.
Se dice que el punto de apoyo inicial en los entornos de las víctimas se logró mediante la explotación de la infraestructura pública, seguida del despliegue de shells web para el acceso persistente.
Luego, las cadenas de ataque aprovechan la carga lateral de DLL mediante SbieDll_Hook para cargar una variedad de cargas útiles, incluidas Cobalt Strike, NetSpy y el marco Havoc, junto con otras herramientas como Mimikatz. También se ha observado que Grayling mata todos los procesos enumerados en un archivo llamado Processlist.txt.
La carga lateral de DLL es una técnica popular utilizado por una variedad de actores de amenazas para eludir las soluciones de seguridad y engañar al sistema operativo Windows para que ejecute código malicioso en el punto final de destino.
Esto es a menudo logrado colocando una DLL maliciosa con el mismo nombre que una DLL legítima utilizada por una aplicación en una ubicación donde se cargará antes que la DLL real aprovechando la Mecanismo de orden de búsqueda de DLL.
“Los atacantes toman varias acciones una vez que obtienen acceso inicial a las computadoras de las víctimas, incluyendo aumento de privilegios, escaneo de red y uso de descargadores”, dijo Symantec.
Vale la pena señalar que el uso de carga lateral de DLL con respecto a SbieDll_Hook y SandboxieBITS.exe se observó anteriormente en el caso de Naikon APT en ataques dirigidos a organizaciones militares en el sudeste asiático.
Symantec dijo a The Hacker News que no encontró superposiciones entre Grayling y Naikon, pero señaló que “la carga lateral de DLL es una técnica bastante común para los actores APT en estos días, particularmente entre los actores que operan fuera de China”.
No hay evidencia que sugiera que el adversario haya participado en alguna forma de exfiltración de datos hasta la fecha, lo que sugiere que los motivos están más orientados al reconocimiento y la recopilación de inteligencia.
El uso de herramientas disponibles públicamente se considera un intento de complicar los esfuerzos de atribución, mientras que la terminación del proceso indica que la evasión de detección es una prioridad para permanecer fuera del radar durante largos períodos de tiempo.
“El fuerte ataque a las organizaciones taiwanesas indica que probablemente operen desde una región con un interés estratégico en Taiwán”, añadió la compañía.