Un instituto de investigación afiliado al gobierno de Taiwán que se especializa en informática y tecnologías asociadas fue violado por actores de amenazas de estados nacionales con vínculos con China, según nuevos hallazgos de Cisco Talos.
La organización anónima fue atacada a mediados de julio de 2023 para ofrecer una variedad de puertas traseras y herramientas posteriores a la vulneración, como ShadowPad y Cobalt Strike. Se la ha atribuido con cierta certeza a un prolífico grupo de piratas informáticos identificado como APT41.
«El malware ShadowPad utilizado en la campaña actual explotó una versión vulnerable y obsoleta del binario IME de Microsoft Office como cargador para cargar el cargador de segunda etapa personalizado para lanzar la carga útil», dijeron los investigadores de seguridad Joey Chen, Ashley Shen y Vitor Ventura. dicho.
«El actor de amenazas comprometió tres hosts en el entorno objetivo y pudo filtrar algunos documentos de la red».
Cisco Talos dijo que descubrió la actividad en agosto de 2023 después de detectar lo que describió como «comandos de PowerShell anormales» que se conectaban a una dirección IP para descargar y ejecutar scripts de PowerShell dentro del entorno comprometido.
No se conoce el vector de acceso inicial exacto utilizado en el ataque, aunque implicó el uso de un shell web para mantener el acceso persistente y soltar cargas útiles adicionales como ShadowPad y Cobalt Strike, este último entregado por medio de un cargador Cobalt Strike basado en Go llamado CS-Evitar matar.
«El malware Cobalt Strike se desarrolló utilizando un cargador anti-AV para evitar la detección de AV y evitar la cuarentena del producto de seguridad», dijeron los investigadores.
Alternativamente, se observó que el actor de amenazas ejecutaba comandos de PowerShell para iniciar scripts responsables de ejecutar ShadowPad en la memoria y obtener el malware Cobalt Strike de un servidor de comando y control (C2) comprometido. El cargador ShadowPad basado en DLL, también llamado Abeja dispersase ejecuta mediante carga lateral de DLL.
Algunos de los otros pasos llevados a cabo como parte de la intrusión incluyeron el uso de Mimikatz para extraer contraseñas y la ejecución de varios comandos para recopilar información sobre cuentas de usuario, estructura de directorios y configuraciones de red.
«APT41 creó un cargador personalizado para inyectar una prueba de concepto para CVE-2018-0824 directamente en la memoria, utilizando una vulnerabilidad de ejecución de código remoto para lograr una escalada de privilegios locales», dijo Talos, señalando la carga útil final, DesmarquePwnse desata después de pasar por tres etapas diferentes.
El equipo de ciberseguridad también señaló los intentos del adversario de evitar ser detectado deteniendo su propia actividad al detectar otros usuarios en el sistema. «Una vez que se implementan las puertas traseras, el actor malicioso eliminará el shell web y la cuenta de invitado que permitieron el acceso inicial», dijeron los investigadores.
La revelación se produce mientras Alemania reveló A principios de esta semana, actores estatales chinos estaban detrás de un ciberataque en 2021 a la agencia cartográfica nacional del país, la Oficina Federal de Cartografía y Geodesia (BKG), con fines de espionaje.
En respuesta a las acusaciones, la embajada de China en Berlín dicho La acusación es infundada y pide a Alemania «que detenga la práctica de utilizar cuestiones de ciberseguridad para difamar a China políticamente y en los medios de comunicación».