Las entidades ubicadas en el este y sudeste de Asia, así como en Ucrania, han sido atacadas al menos desde 2020 por un subgrupo previamente indocumentado de APT41, una prolífica amenaza persistente avanzada (APT) china.
La empresa de ciberseguridad Trend Micro, que bautizado el equipo de espionaje Tierra Longzhidijo que la campaña de larga duración del actor se puede dividir en dos según el conjunto de herramientas desplegado para atacar a sus víctimas.
Se dice que la primera ola de mayo de 2020 a febrero de 2021 tuvo como objetivo las industrias del gobierno, la infraestructura y la atención médica en Taiwán y el sector bancario en China, mientras que el conjunto posterior de intrusiones de agosto de 2021 a junio de 2022 infiltró víctimas de alto perfil en Ucrania y varios países de Asia.
Esto incluyó industrias de defensa, aviación, seguros y desarrollo urbano en Taiwán, China, Tailandia, Malasia, Indonesia, Pakistán y Ucrania.
Los patrones de victimología y los sectores objetivo se superponen con los ataques organizados por un grupo hermano distinto de APT41 (también conocido como Winnti) conocido como Earth Baku, agregó la compañía japonesa de ciberseguridad.
Algunas de las actividades cibernéticas maliciosas de Earth Baku han sido vinculadas a grupos llamados por otras firmas de ciberseguridad ESET y Symantec bajo los nombres SparklingGoblin y Grayfly, respectivamente.
«Las tácticas, técnicas y procedimientos (TTP) de SparklingGoblin se superponen parcialmente con los TTP de APT41», dijo anteriormente el investigador de ESET Mathieu Tartare a The Hacker News. «La definición de Grayfly dada por Symantec parece (al menos parcialmente) superponerse con SparklingGoblin».
Ahora Earth Longzhi se suma a otra pieza en el rompecabezas del ataque APT41, con el actor que también comparte enlaces a un tercer subgrupo denominado GrupoCC (también conocido como APT17, Aurora Panda o Bronze Keystone).
Los ataques orquestados por el grupo de piratas informáticos aprovechan los correos electrónicos de phishing como el vector de entrada inicial. Se sabe que estos mensajes incorporan archivos protegidos con contraseña o enlaces a archivos alojados en Google Drive que, cuando se abren, inician un cargador Cobalt Strike denominado CroxLoader.
En algunos casos, se ha observado al grupo armando fallas de ejecución remota de código en aplicaciones expuestas públicamente para entregar un shell web capaz de dejar caer un cargador de próxima etapa denominado Symatic que está diseñado para implementar Cobalt Strike.
También se utiliza como parte de sus actividades posteriores a la explotación una «herramienta todo en uno», que combina varias funciones personalizadas y disponibles públicamente en un solo paquete y se cree que ha estado disponible desde septiembre de 2014.
La segunda serie de ataques iniciados por Earth Longzhi sigue un patrón similar, la principal diferencia es el uso de diferentes cargadores Cobalt Strike llamados CroxLoader, BigpipeLoader y OutLoader para dejar caer el marco del equipo rojo en los hosts infectados.
Los ataques recientes se destacan aún más por el uso de herramientas personalizadas que pueden deshabilitar el software de seguridad, volcar las credenciales usando una versión modificada de Mimikatz y aprovechar las fallas en el componente Windows Print Spooler (es decir, PrintNightmare) para aumentar los privilegios.
Además, la incapacitación de las soluciones de seguridad instaladas se lleva a cabo mediante un método llamado traer su propio controlador vulnerable (BYOVD), que implica la explotación de una falla conocida en el controlador RTCore64.sys (CVE-2019-16098).
Esto se lleva a cabo usando ProcBurner, una herramienta para eliminar procesos en ejecución específicos, mientras que otro malware personalizado llamado AVBurner se usa para anular el registro del sistema de detección y respuesta de punto final (EDR) al eliminar las devoluciones de llamadas de creación de procesos, un mecanismo que fue detallado por un investigador de seguridad que usa el alias brsn en agosto de 2020.
Vale la pena señalar que la versión obsoleta del controlador RTCore64.sys, que todavía tiene una firma digital válida, ha sido utilizada por múltiples actores de amenazas como BlackByte y OldGremlin en los últimos meses.
«[Earth Longzhi’s] Los sectores objetivo se encuentran en industrias pertinentes para la seguridad nacional y las economías de los países de Asia y el Pacífico”, dijeron los investigadores. “Las actividades en estas campañas muestran que el grupo tiene conocimientos sobre las operaciones del equipo rojo”.
«El grupo utiliza técnicas de ingeniería social para propagar su malware e implementar herramientas de pirateo personalizadas para eludir la protección de los productos de seguridad y robar datos confidenciales de las máquinas comprometidas».