El prolífico actor-estado-nación chino conocido como APT41 (también conocido como Brass Typhoon, Earth Baku, Wicked Panda o Winnti) ha sido atribuido a un sofisticado ciberataque dirigido a la industria del juego y los juegos de azar.
“Durante un período de al menos seis meses, los atacantes recopilaron sigilosamente información valiosa de la empresa objetivo, incluidos, entre otros, configuraciones de red, contraseñas de usuario y secretos del proceso LSASS”, dijo Ido Naor, cofundador y director ejecutivo de La empresa israelí de ciberseguridad Security Joes, dijo en un comunicado. compartido con Las noticias de los hackers.
“Durante la intrusión, los atacantes actualizaron continuamente su conjunto de herramientas en función de la respuesta del equipo de seguridad. Al observar las acciones de los defensores, alteraron sus estrategias y herramientas para evitar la detección y mantener un acceso persistente a la red comprometida”.
El ataque de varias etapas, que tuvo como objetivo uno de sus clientes y duró casi nueve meses este año, muestra superposiciones con un conjunto de intrusiones rastreado por el proveedor de ciberseguridad Sophos bajo el nombre de Operación Crimson Palace.
Naor dijo que la compañía respondió al incidente hace cuatro meses, añadiendo que “estos ataques dependen de los tomadores de decisiones patrocinados por el estado. Esta vez sospechamos con gran confianza que APT41 buscaba ganancias financieras”.
La campaña está diseñada teniendo en cuenta el sigilo, aprovechando una serie de tácticas para lograr sus objetivos mediante el uso de un conjunto de herramientas personalizadas que no solo evita el software de seguridad instalado en el entorno, sino que también recopila información crítica y establece canales encubiertos para un acceso remoto persistente.
Security Joes describió a APT41 como “altamente calificado y metódico”, destacando su capacidad para montar ataques de espionaje y envenenar la cadena de suministro, lo que lleva al robo de propiedad intelectual e intrusiones con motivación financiera, como ransomware y minería de criptomonedas.
Actualmente se desconoce el vector de acceso inicial exacto utilizado en el ataque, pero la evidencia apunta a que se trata de correos electrónicos de phishing, dada la ausencia de vulnerabilidades activas en las aplicaciones web conectadas a Internet o un compromiso de la cadena de suministro.
“Una vez dentro de la infraestructura objetivo, los atacantes ejecutaron un ataque DCSync, con el objetivo de recolectar hashes de contraseñas de cuentas de servicio y administrador para ampliar su acceso”, dijo la compañía en su informe. “Con estas credenciales, establecieron persistencia y mantuvieron el control sobre la red, centrándose particularmente en las cuentas administrativas y de desarrollador”.
Se dice que los atacantes llevaron a cabo metódicamente actividades de reconocimiento y post-explotación, a menudo modificando su conjunto de herramientas en respuesta a las medidas tomadas para contrarrestar la amenaza y aumentar sus privilegios con el objetivo final de descargar y ejecutar cargas útiles adicionales.
Algunos de los técnicas utilizados para lograr sus objetivos incluyen el secuestro de Phantom DLL y el uso de la utilidad legítima wmic.exe, sin mencionar el abuso de su acceso a cuentas de servicio con privilegios de administrador para desencadenar la ejecución.
La siguiente etapa es un archivo DLL malicioso llamado TSVIPSrv.dll que se recupera a través del protocolo SMB, después de lo cual la carga útil establece contacto con un servidor de comando y control (C2) codificado.
“Si el C2 codificado falla, el implante intenta actualizar su información de C2 raspando a los usuarios de GitHub usando la siguiente URL: github[.]com/search?o=desc&q=pointers&s=joined&type=Users&.”
“El malware analiza el HTML devuelto por la consulta de GitHub, buscando secuencias de palabras en mayúscula separadas solo por espacios. Recopila ocho de esas palabras y luego extrae solo las letras mayúsculas entre A y P. Este proceso genera una cadena de 8 caracteres. que codifica la dirección IP del nuevo servidor C2 que se utilizará en el ataque”.
El contacto inicial con el servidor C2 allana el camino para perfilar el sistema infectado y recuperar más malware para ejecutarlo a través de una conexión de socket.
Security Joes dijo que los actores de amenazas guardaron silencio durante varias semanas después de que se detectaron sus actividades, pero finalmente regresaron con un enfoque renovado para ejecutar código JavaScript muy ofuscado presente dentro de una versión modificada de un archivo XSL (“texttable.xsl”) usando LOLBIN. wmic.exe.
“Una vez que se ejecuta el comando WMIC.exe MEMORYCHIP GET, carga indirectamente el archivo texttable.xsl para formatear la salida, forzando la ejecución del código JavaScript malicioso inyectado por el atacante”, explicaron los investigadores.
El JavaScript, por su parte, sirve como descargador que utiliza el dominio time.qnapntp.[.]com como servidor C2 para recuperar una carga útil de seguimiento que toma huellas digitales de la máquina y envía la información de regreso al servidor, sujeto a ciertos criterios de filtrado que probablemente sirvan para apuntar solo a aquellas máquinas que son de interés para el actor de la amenaza.
“Lo que realmente destaca en el código es el objetivo deliberado de máquinas con direcciones IP que contienen la subcadena ‘10.20.22’”, dijeron los investigadores. “
“Esto resalta qué dispositivos específicos son valiosos para el atacante, es decir, aquellos en las subredes 10.20.22[0-9].[0-255]. Al correlacionar esta información con los registros de red y las direcciones IP de los dispositivos donde se encontró el archivo, concluimos que el atacante estaba usando este mecanismo de filtrado para garantizar que sólo los dispositivos dentro de la subred VPN se vieran afectados”.