Se ha observado que una amenaza persistente china avanzada rastreada como Deep Panda explota la vulnerabilidad Log4Shell en los servidores VMware Horizon para implementar una puerta trasera y un novedoso rootkit en máquinas infectadas con el objetivo de robar datos confidenciales.
“La naturaleza de la focalización fue oportunista en la medida en que ocurrieron múltiples infecciones en varios países y varios sectores en las mismas fechas”. dijo Rotem Sde-Or y Eliran Voronovitch, investigadores de FortiGuard Labs de Fortinet, en un informe publicado esta semana. “Las víctimas pertenecen a las industrias financiera, académica, cosmética y de viajes”.
Panda profundotambién conocido por los apodos Shell Crew, KungFu Kittens y Bronze Firestone, se dice que ha estado activo desde al menos 2010, con ataques recientes “dirigidos a firmas legales para la exfiltración de datos y proveedores de tecnología para la construcción de infraestructura de comando y control”. según a Secureworks.
La firma de seguridad cibernética CrowdStrike, que asignó el nombre de panda al grupo en julio de 2014, llamado es “uno de los grupos de intrusión cibernética de estado nación chino más avanzados”.
El último conjunto de ataques documentado por Fortinet muestra que el procedimiento de infección involucró la explotación de la falla de ejecución remota de código Log4j (también conocida como Log4Shell) en servidores VMware Horizon vulnerables para generar una cadena de etapas intermedias, lo que finalmente condujo al despliegue de una puerta trasera denominada Milestone. (“1.dll”).
Basado en el código fuente filtrado del infame rata fantasma pero con notables diferencias en el mecanismo de comunicación de comando y control (C2) empleado, Milestone también está diseñado para enviar información sobre las sesiones actuales en el sistema al servidor remoto.
Durante los ataques también se detectó un rootkit de kernel llamado “Fire Chili” que está firmado digitalmente con certificados robados de compañías de desarrollo de juegos, lo que le permite evadir la detección por parte del software de seguridad y ocultar operaciones de archivos maliciosos, procesos, adiciones de claves de registro y conexiones de red.
Esto se logra por medio de ioctl (control de entrada/salida) llamadas al sistema para ocultar la clave de registro del rootkit del controlador, los archivos de puerta trasera de Milestone y el archivo y el proceso de carga utilizados para iniciar el implante.
La atribución de Fortinet a Deep Panda surge de las superposiciones entre Milestone e Infoadmin RAT, un troyano de acceso remoto utilizado por el sofisticado colectivo de piratas informáticos a principios de la década de 2010, con pistas adicionales que apuntan a similitudes tácticas con las del grupo Winnti.
Esto está respaldado por el uso de firmas digitales comprometidas pertenecientes a empresas de juegos, un objetivo elegido por Winnti, así como un dominio C2 (gnisoft[.]com), que ha sido previamente vinculado al actor patrocinado por el estado chino a partir de mayo de 2020.
“La razón por la que estas herramientas están vinculadas a dos grupos diferentes no está clara en este momento”, dijeron los investigadores. “Es posible que los desarrolladores de los grupos compartieran recursos, como certificados robados e infraestructura C2, entre ellos. Esto puede explicar por qué las muestras solo se firmaron varias horas después de compilarse”.
La divulgación se suma a una larga lista de grupos de piratería que han armado la vulnerabilidad Log4Shell para atacar la plataforma de virtualización de VMware.
En diciembre de 2021, CrowdStrike describió una campaña fallida realizada por un adversario denominado Aquatic Panda que aprovechó la falla para realizar varias operaciones posteriores a la explotación, incluido el reconocimiento y la recolección de credenciales en sistemas específicos.
Desde entonces, varios grupos se han unido a la refriega, incluido el grupo iraní TunnelVision, que se observó explotando activamente el defecto de la biblioteca de registro de Log4j para comprometer los servidores VMware Horizon sin parches con ransomware.
Más recientemente, la empresa de ciberseguridad Sophos resaltado una serie de ataques contra servidores Horizon vulnerables que han estado en curso desde enero y han sido montados por actores de amenazas para extraer criptomonedas de forma ilícita, instalar shells inversos basados en PowerShell o implementar agentes Atera para entregar cargas útiles adicionales de forma remota.
“Los intentos de comprometer los servidores de Horizon se encuentran entre las vulnerabilidades de Log4Shell más específicas debido a su naturaleza”, dijeron los investigadores de Sophos, y agregaron que “las plataformas como Horizon son objetivos particularmente atractivos para todo tipo de actores maliciosos porque están muy extendidos y pueden (si aún vulnerable) fácil de encontrar y explotar con herramientas bien probadas”.