Se ha atribuido a un grupo de amenazas persistentes avanzadas (APT) respaldado por el estado chino conocido por señalar a entidades japonesas una nueva campaña de espionaje de larga duración dirigida a nuevas geografías, lo que sugiere una «ampliación» de los objetivos del actor de amenazas.
Las intrusiones generalizadas, que se cree que comenzaron como mínimo a mediados de 2021 y continuaron en febrero de 2022, se vincularon a un grupo rastreado como Cigarraque también se conoce como APT10, Stone Panda, Potasio, Bronce Riverside o MenuPass Team.
«Las víctimas de esta campaña Cicada (también conocida como APT10) incluyen organizaciones gubernamentales, legales, religiosas y no gubernamentales (ONG) en varios países del mundo, incluso en Europa, Asia y América del Norte», investigadores del Symantec Threat Hunter Team. , parte de Broadcom Software, dijo en un informe compartido con The Hacker News.
«Hay un fuerte enfoque en las víctimas en los sectores del gobierno y las ONG, y algunas de estas organizaciones trabajan en las áreas de religión y educación», dijo a The Hacker News Brigid O. Gorman, desarrolladora de información sénior en Symantec Threat Hunter Team.
La mayoría de las organizaciones objetivo están ubicadas en los EE. UU., Canadá, Hong Kong, Turquía, Israel, India, Montenegro e Italia, junto con una víctima en Japón, y el adversario pasa hasta nueve meses en las redes de algunas de estas víctimas. .
«También hay algunas víctimas en los sectores de telecomunicaciones, legal y farmacéutico, pero las organizaciones gubernamentales y sin fines de lucro parecen haber sido el foco principal de esta campaña», agregó Gorman.
En marzo de 2021, los investigadores de Kaspersky cerraron una operación de recopilación de inteligencia realizada por el grupo para implementar implantes de recopilación de información de varios sectores industriales ubicados en Japón.
Luego, a principios de febrero, Stone Panda estuvo implicado en un ataque organizado a la cadena de suministro dirigido al sector financiero de Taiwán con el objetivo de robar información confidencial de los sistemas comprometidos.
El nuevo conjunto de ataques observado por Symantec comienza cuando los actores obtienen acceso inicial a través de una vulnerabilidad conocida y sin parches en los servidores de Microsoft Exchange, utilizándola para implementar la puerta trasera de su elección, sodamaster.
«Sin embargo, no observamos que los atacantes explotaran una vulnerabilidad específica, por lo que no podemos decir si aprovecharon ProxyShell o ProxyLogon [flaws]”, dijo Gorman.
SodaMaster es un troyano de acceso remoto basado en Windows que está equipado con funciones para facilitar la recuperación de cargas útiles adicionales y filtrar la información a su servidor de comando y control (C2).
Otras herramientas implementadas durante las infiltraciones incluyen la utilidad de volcado de credenciales Mimikatz, NBTScan para realizar un reconocimiento interno, WMIExec para la ejecución remota de comandos y VLC Media Player para iniciar un cargador personalizado en el host infectado.
«Esta campaña con víctimas en un número tan grande de sectores parece mostrar que el grupo ahora está interesado en una variedad más amplia de objetivos», dijo Gorman.
«El tipo de organizaciones objetivo (organizaciones sin fines de lucro y gubernamentales, incluidas las involucradas en actividades religiosas y educativas) es más probable que sean de interés para el grupo con fines de espionaje. El tipo de actividad que vemos en las máquinas de las víctimas y la actividad Cicada pasada también todos señalar que la motivación detrás de esta campaña es el espionaje».