Un actor de amenazas con un presunto nexo con China ha sido vinculado a una serie de ataques de espionaje en Filipinas que se basan principalmente en dispositivos USB como vector de infección inicial.
Mandiant, que es parte de Google Cloud, está rastreando el clúster bajo su nombre no categorizado. UNC4191. Un análisis de los artefactos utilizados en las intrusiones indica que la campaña se remonta a septiembre de 2021.
«Las operaciones UNC4191 han afectado a una variedad de entidades del sector público y privado principalmente en el sudeste asiático y se han extendido a los EE. UU., Europa y APJ», los investigadores Ryan Tomcik, John Wolfram, Tommy Dacanay y Geoff Ackerman. dijo.
«Sin embargo, incluso cuando las organizaciones objetivo tenían su sede en otros lugares, también se descubrió que los sistemas específicos objetivo de UNC4191 estaban ubicados físicamente en Filipinas».
La dependencia de las unidades USB infectadas para propagar el malware es inusual, si no nueva. El gusano Raspberry Robin, que tiene evolucionado en un servicio de acceso inicial para ataques de seguimiento, se sabe que utiliza unidades USB como punto de entrada.
La firma de inteligencia de amenazas y respuesta a incidentes dijo que los ataques llevaron al despliegue de tres nuevas familias de malware denominadas MISTCLOAK, DARKDEW, BLUEHAZE y Ncatel último de los cuales es una utilidad de red de línea de comandos que se utiliza para crear un shell inverso en el sistema de la víctima.
MISTCLOAK, por su parte, se activa cuando un usuario conecta un dispositivo extraíble comprometido a un sistema, actuando como una plataforma de lanzamiento para una carga útil encriptada llamada DARKDEW que es capaz de infectar unidades extraíbles, proliferando efectivamente las infecciones.
«El malware se autorreplica al infectar nuevas unidades extraíbles que están conectadas a un sistema comprometido, lo que permite que las cargas útiles maliciosas se propaguen a sistemas adicionales y potencialmente recopilen datos de sistemas con brechas de aire», explicaron los investigadores.
El cuentagotas DARKDEW también sirve para lanzar otro ejecutable («DateCheck.exe»), una versión renombrada de una aplicación legítima y firmada conocida como «Razer Chromium Render Process» que invoca el malware BLUEHAZE.
BLUEHAZE, un lanzador escrito en C/C++, lleva adelante la cadena de ataque iniciando una copia de Ncat para crear un shell inverso a una dirección de comando y control (C2) codificada.
«Creemos que esta actividad muestra las operaciones chinas para obtener y mantener el acceso a entidades públicas y privadas con el fin de recopilar inteligencia relacionada con los intereses políticos y comerciales de China», dijeron los investigadores.