Se ha observado que un actor de amenazas avanzado con v\u00ednculos con la India utiliza m\u00faltiples proveedores de servicios en la nube para facilitar la recolecci\u00f3n de credenciales, la distribuci\u00f3n de malware y el comando y control (C2).<\/p>\n
La empresa de seguridad e infraestructura web Cloudflare est\u00e1 rastreando la actividad bajo el nombre Lemming descuidado<\/strong>que tambi\u00e9n se llama El tigre y el elefante pescador<\/a>.<\/p>\n “Desde finales de 2022 hasta la actualidad, SloppyLemming ha utilizado rutinariamente Cloudflare Workers, probablemente como parte de una amplia campa\u00f1a de espionaje dirigida a pa\u00edses del sur y este de Asia”, dijo Cloudflare. dicho<\/a> en un an\u00e1lisis.<\/p>\n Se estima que SloppyLemming est\u00e1 activo al menos desde julio de 2021, y que en campa\u00f1as anteriores se han aprovechado de malware como Ares RAT y WarHawk, este \u00faltimo tambi\u00e9n vinculado a un conocido grupo de piratas inform\u00e1ticos llamado SideWinder. Por otro lado, el uso de Ares RAT se ha vinculado a SideCopy, un actor de amenazas probablemente de origen paquistan\u00ed.<\/p>\n Los objetivos de la actividad de SloppyLemming abarcan entidades gubernamentales, policiales, energ\u00e9ticas, educativas, de telecomunicaciones y tecnol\u00f3gicas ubicadas en Pakist\u00e1n, Sri Lanka, Bangladesh, China, Nepal e Indonesia.<\/p>\n Las cadenas de ataque implican el env\u00edo de correos electr\u00f3nicos de phishing a objetivos que buscan enga\u00f1ar a los destinatarios para que hagan clic en un enlace malicioso induciendo una falsa sensaci\u00f3n de urgencia, afirmando que deben completar un proceso obligatorio dentro de las pr\u00f3ximas 24 horas.<\/p>\n Al hacer clic en la URL, la v\u00edctima es dirigida a una p\u00e1gina de recolecci\u00f3n de credenciales, que luego sirve como mecanismo para que el actor de amenazas obtenga acceso no autorizado a cuentas de correo electr\u00f3nico espec\u00edficas dentro de organizaciones que son de inter\u00e9s.<\/p>\n “El actor utiliza una herramienta personalizada llamada CloudPhish para crear un Cloudflare Worker malicioso para manejar la l\u00f3gica de registro de credenciales y la exfiltraci\u00f3n de las credenciales de las v\u00edctimas al actor de la amenaza”, dijo la compa\u00f1\u00eda.<\/p>\n Algunos de los ataques realizados por SloppyLemming han aprovechado t\u00e9cnicas similares para capturar tokens OAuth de Google, as\u00ed como emplear archivos RAR con trampas (“CamScanner 06-10-2024 15.29.rar”) que probablemente explotan una falla de WinRAR (CVE-2023-38831) para lograr la ejecuci\u00f3n remota de c\u00f3digo.<\/p>\n Dentro del archivo RAR hay un ejecutable que, adem\u00e1s de mostrar el documento se\u00f1uelo, carga sigilosamente “CRYPTSP.dll”, que sirve como descargador para recuperar un troyano de acceso remoto alojado en Dropbox.<\/p>\n Vale la pena mencionar aqu\u00ed que la empresa de ciberseguridad SEQRITE detall\u00f3 una campa\u00f1a an\u00e1loga emprendida por los actores de SideCopy el a\u00f1o pasado dirigida a los sectores del gobierno y de defensa de la India para distribuir el Ares RAT utilizando archivos ZIP llamados “DocScanner_AUG_2023.zip” y “DocScanner-Oct.zip” que est\u00e1n dise\u00f1ados para activar la misma vulnerabilidad.<\/p>\n Una tercera secuencia de infecci\u00f3n empleada por SloppyLemming implica el uso de se\u00f1uelos de spear phishing para llevar a los posibles objetivos a un sitio web falso que se hace pasar por la Junta de Tecnolog\u00eda de la Informaci\u00f3n de Punjab (PITB) en Pakist\u00e1n, despu\u00e9s de lo cual son redirigidos a otro sitio que contiene un archivo de acceso directo a Internet (URL).<\/p>\n El archivo URL incluye un c\u00f3digo integrado para descargar otro archivo, un ejecutable llamado PITB-JR5124.exe, desde el mismo servidor. El binario es un archivo leg\u00edtimo que se utiliza para cargar de forma local una DLL maliciosa llamada profapi.dll que posteriormente se comunica con un Cloudflare Worker.<\/p>\n Estas URL de Cloudflare Worker, se\u00f1al\u00f3 la empresa, act\u00faan como intermediarios y transmiten solicitudes al dominio C2 real utilizado por el adversario (“aljazeerak[.]en l\u00ednea”).<\/p>\n Cloudflare dijo que “observ\u00f3 esfuerzos concertados por parte de SloppyLemming para atacar a los departamentos de polic\u00eda paquistan\u00edes y otras organizaciones encargadas de hacer cumplir la ley”, y agreg\u00f3 que “hay indicios de que el actor ha apuntado a entidades involucradas en la operaci\u00f3n y mantenimiento de la \u00fanica instalaci\u00f3n de energ\u00eda nuclear de Pakist\u00e1n”.<\/p>\n Algunos de los otros objetivos de la actividad de recolecci\u00f3n de credenciales incluyen organizaciones gubernamentales y militares de Sri Lanka y Bangladesh y, en menor medida, entidades del sector energ\u00e9tico y acad\u00e9mico de China.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/Cloudflare-advierte-sobre-piratas-informaticos-vinculados-con-la-India-que.png\")
<\/a><\/center><\/div>\n<\/a><\/center><\/section>\n