Los usuarios de habla china son el objetivo de una campa\u00f1a de “ataque altamente organizado y sofisticado” que probablemente aprovecha correos electr\u00f3nicos de phishing para infectar sistemas Windows con cargas \u00fatiles de Cobalt Strike.<\/p>\n
“Los atacantes lograron moverse lateralmente, establecer persistencia y permanecer sin ser detectados dentro de los sistemas durante m\u00e1s de dos semanas”, dijeron los investigadores de Securonix Den Iuzvyk y Tim Peck. dicho<\/a> en un nuevo informe.<\/p>\n La campa\u00f1a encubierta, cuyo nombre en c\u00f3digo es LENTO#TEMPESTAD<\/strong> y no se atribuye a ning\u00fan actor de amenazas conocido, comienza con archivos ZIP maliciosos que, cuando se descomprimen, activan la cadena de infecci\u00f3n, lo que lleva a la implementaci\u00f3n del kit de herramientas de postexplotaci\u00f3n en los sistemas comprometidos.<\/p>\n Junto al archivo ZIP hay un archivo de acceso directo de Windows (LNK) que se disfraza como un archivo de Microsoft Word, “\u8fdd\u89c4\u8fdc\u7a0b\u63a7\u5236\u8f6f\u4ef6\u4eba\u5458\u540d\u5355.docx.lnk”, que se traduce aproximadamente como “Lista de personas que violaron las regulaciones del software de control remoto”. “.<\/p>\n “Teniendo en cuenta el lenguaje utilizado en los archivos de se\u00f1uelo, es probable que sectores empresariales o gubernamentales espec\u00edficos relacionados con China puedan ser el objetivo, ya que ambos emplean a personas que siguen ‘regulaciones de software de control remoto'”, se\u00f1alaron los investigadores.<\/p>\n El archivo LNK act\u00faa como un conducto para iniciar un binario leg\u00edtimo de Microsoft (“LicensingUI.exe”) que emplea Carga lateral de DLL<\/a> para ejecutar una DLL maliciosa (“dui70.dll”). Ambos archivos son parte del archivo ZIP dentro de un directorio llamado “\u5176\u4ed6\u4fe1\u606f.__MACOS__._MACOS___MACOSX_MACOS_”. El ataque marca la primera vez que se informa de una carga lateral de DLL a trav\u00e9s de LicensingUI.exe.<\/p>\n El archivo DLL es un implante de Cobalt Strike que permite un acceso persistente y sigiloso al host infectado, mientras establece contacto con un servidor remoto (“123.207.74[.]22”).<\/p>\n Se dice que el acceso remoto permiti\u00f3 a los atacantes realizar una serie de actividades pr\u00e1cticas, incluida la implementaci\u00f3n de cargas \u00fatiles adicionales para reconocimiento y la configuraci\u00f3n de conexiones proxy.<\/p>\n La cadena de infecci\u00f3n tambi\u00e9n se destaca por configurar una tarea programada para ejecutar peri\u00f3dicamente un ejecutable malicioso llamado “lld.exe” que puede ejecutar c\u00f3digo shell arbitrario directamente en la memoria, dejando as\u00ed huellas m\u00ednimas en el disco.<\/p>\n “Los atacantes tambi\u00e9n lograron ocultarse en los sistemas comprometidos elevando manualmente los privilegios de la cuenta de usuario Invitado incorporada”, dijeron los investigadores.<\/p>\n “Esta cuenta, que normalmente est\u00e1 deshabilitada y tiene privilegios m\u00ednimos, se transform\u00f3 en un poderoso punto de acceso al agregarla al grupo administrativo cr\u00edtico y asignarle una nueva contrase\u00f1a. Esta puerta trasera les permite mantener el acceso al sistema con una detecci\u00f3n m\u00ednima, ya que la cuenta de invitado a menudo no se monitorea tan de cerca como otras cuentas de usuario”.<\/p>\n Posteriormente, el actor de amenaza desconocido procedi\u00f3 a moverse lateralmente a trav\u00e9s de la red utilizando el Protocolo de Escritorio Remoto (PDR<\/a>) y las credenciales obtenidas a trav\u00e9s de la herramienta de extracci\u00f3n de contrase\u00f1as Mimikatz, seguido de la configuraci\u00f3n de conexiones remotas a su servidor de comando y control (C2) desde cada una de esas m\u00e1quinas.<\/p>\n La fase de post-explotaci\u00f3n se caracteriza adem\u00e1s por la ejecuci\u00f3n de varios comandos de enumeraci\u00f3n y el uso de la herramienta BloodHound para el reconocimiento del directorio activo (AD), cuyos resultados luego se exfiltraron en forma de un archivo ZIP.<\/p>\n Las conexiones con China se ven reforzadas por el hecho de que todos los servidores C2 est\u00e1n alojados en China por Shenzhen Tencent Computer Systems Company Limited. Adem\u00e1s, la mayor\u00eda de los artefactos relacionados con la campa\u00f1a tienen su origen en China.<\/p>\n “Aunque no hubo evidencia s\u00f3lida que vinculara este ataque con ning\u00fan grupo APT conocido, es probable que haya sido orquestado por un actor de amenazas experimentado que ten\u00eda experiencia en el uso de marcos de explotaci\u00f3n avanzados como Cobalt Strike y una amplia gama de otras herramientas posteriores a la explotaci\u00f3n”, concluyeron los investigadores.<\/p>\n “La complejidad de la campa\u00f1a es evidente en su enfoque met\u00f3dico hacia el compromiso inicial, la persistencia, la escalada de privilegios y el movimiento lateral a trav\u00e9s de la red”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/08\/Nuevo-ciberataque-con-cargas-utiles-de-Cobalt-Strike-dirigido-contra.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/section>\n