Un gobierno anónimo del Sudeste Asiático ha sido atacado por múltiples actores de amenazas del nexo con China como parte de campañas de espionaje dirigidas a la región durante largos períodos de tiempo.
«Si bien esta actividad ocurrió aproximadamente al mismo tiempo y en algunos casos incluso simultáneamente en las mismas máquinas de las víctimas, cada grupo se caracteriza por herramientas, modus operandi e infraestructura distintos», dijeron los investigadores de la Unidad 42 de Palo Alto Networks, Lior Rochberger, Tom Fakterman y Robert. falcone dicho en un informe exhaustivo de tres partes.
Los ataques, que tuvieron como objetivo diferentes entidades gubernamentales, como infraestructura crítica, instituciones de salud pública, administradores de finanzas públicas y ministerios, se han atribuido con confianza moderada a tres grupos dispares rastreados como Stately Taurus (también conocido como Mustang Panda), Alloy Taurus (también conocido como Granite Typhoon) y Gelsemium.
Mustang Panda usa la variante TONESHELL y ShadowPad
«Los atacantes llevaron a cabo una operación de ciberespionaje que se centró en recopilar inteligencia y robar documentos e información confidenciales, mientras mantenían un punto de apoyo persistente y clandestino», dijeron los investigadores. dichodescribiéndolo como «altamente dirigido a objetivos e impulsado por inteligencia».
La actividad se extendió desde el segundo trimestre de 2021 hasta el tercer trimestre de 2023, aprovechando una variedad de herramientas para realizar reconocimientos, robar credenciales, mantener el acceso y realizar acciones posteriores al compromiso.
Algunos de los software notables utilizados para alcanzar estos objetivos incluyen el marco de escaneo de código abierto LadonGo, Búsqueda de anuncios, Mimikatz, Paquete, helicóptero chino web shells, Cobalt Strike, ShadowPad y una nueva versión de la puerta trasera TONESHELL.
El malware evita el uso de shellcode en favor de tres componentes basados en DLL para configurar la persistencia en el punto final, establecer comunicaciones de comando y control con un servidor remoto y llevar a cabo operaciones de recopilación de información, incluida la ejecución de comandos y la interacción del sistema de archivos. , registro de teclas y captura de pantalla.
«Durante la operación, el actor de amenazas tomó lentamente el control de los entornos de las víctimas, centrándose en mantener el control para una operación a largo plazo», señalaron los investigadores. «El propósito de los esfuerzos del actor de amenazas parece ser la recopilación y exfiltración continua de documentos e inteligencia confidenciales».
Alloy Taurus pretende pasar desapercibido
Se dice que el conjunto de intrusiones vinculado a Alloy Taurus comenzó a principios de 2022 y continuó durante todo 2023, aprovechando técnicas poco comunes y eludiendo productos de seguridad para lograr persistencia y reconocimiento a largo plazo.
Estos ataques, que se producen en seis oleadas diferentes, utilizan las fallas de seguridad en los servidores Microsoft Exchange como arma para implementar shells web, que luego sirven como conducto para entregar cargas útiles adicionales, contando dos puertas traseras .NET previamente desconocidas, Zapoa y ReShell, para ejecutar comandos arbitrarios de forma remota y recolectar datos confidenciales. datos.
Zapoa también incorpora funciones para extraer información del sistema, ejecutar shellcode, enumerar procesos en ejecución, cargar más archivos ensamblados .NET para aumentar sus capacidades y marcar archivos y artefactos con una fecha proporcionada, una técnica llamada pisotear el tiempo.
«El actor de amenazas detrás de este clúster empleó un enfoque maduro, utilizando intrusiones de múltiples ondas y explotando vulnerabilidades en los servidores Exchange como su principal vector de penetración», afirman los investigadores. dicho.
En algunos casos, también se ha observado que Alloy Taurus lleva a cabo el robo de credenciales para facilitar el movimiento lateral abusando de la herramienta de administración remota AnyDesk ya presente en el entorno infiltrado.
IA versus IA: aprovechar las defensas de la IA contra los riesgos impulsados por la IA
¿Listo para afrontar nuevos desafíos de ciberseguridad impulsados por la IA? Únase a nuestro interesante seminario web con Zscaler para abordar la creciente amenaza de la IA generativa en la ciberseguridad.
Algunos de los otros programas instalados por el actor de amenazas incluyen Cobalt Strike, Quasar RAT, HDoor (una puerta trasera utilizada anteriormente por grupos chinos como Naikon y Goblin Panda), una variante de Gh0st RAT conocida como Gh0stCringey winntiun implante multifuncional capaz de otorgar control remoto a una máquina infectada.
Gelsemium destaca los servidores IIS vulnerables
«Este grupo único tuvo actividad durante más de seis meses entre 2022 y 2023», dijeron los investigadores. anotado.
«Presentaba una combinación de herramientas y técnicas poco comunes que el actor de amenazas aprovechó para ganar un punto de apoyo clandestino y recopilar inteligencia de servidores IIS sensibles que pertenecen a una entidad gubernamental en el sudeste asiático».
Las cadenas de ataque aprovechan los servidores web vulnerables para instalar shells web y distribuir puertas traseras como OwlProxy y SessionManager, mientras utilizan simultáneamente otras herramientas como Cobalt Strike, medidorpreter, Lombrizy carretetonto para post-explotación, túneles de tráfico de comando y control y escalada de privilegios.
OwlProxy es un proxy HTTP con funcionalidad de puerta trasera que salió a la luz por primera vez en abril de 2020. SessionManager, detallado por Kaspersky en julio pasado, es una puerta trasera personalizada diseñada para analizar el Campo de cookies dentro de las solicitudes HTTP entrantes para extraer los comandos emitidos por el atacante.
«El actor de la amenaza recibió acceso mediante el uso de varios shells web, luego del intento de instalación de múltiples tipos de malware proxy y una puerta trasera IIS», dijeron los investigadores. «Como algunos de los intentos del actor de amenazas de instalar malware no tuvieron éxito, siguieron entregando nuevas herramientas, mostrando su capacidad para adaptarse al proceso de mitigación».