El prol\u00edfico actor-estado-naci\u00f3n chino conocido como APT41 (tambi\u00e9n conocido como Brass Typhoon, Earth Baku, Wicked Panda o Winnti) ha sido atribuido a un sofisticado ciberataque dirigido a la industria del juego y los juegos de azar.<\/p>\n
“Durante un per\u00edodo de al menos seis meses, los atacantes recopilaron sigilosamente informaci\u00f3n valiosa de la empresa objetivo, incluidos, entre otros, configuraciones de red, contrase\u00f1as de usuario y secretos del proceso LSASS”, dijo Ido Naor, cofundador y director ejecutivo de La empresa israel\u00ed de ciberseguridad Security Joes, dijo en un comunicado. compartido<\/a> con Las noticias de los hackers.<\/p>\n “Durante la intrusi\u00f3n, los atacantes actualizaron continuamente su conjunto de herramientas en funci\u00f3n de la respuesta del equipo de seguridad. Al observar las acciones de los defensores, alteraron sus estrategias y herramientas para evitar la detecci\u00f3n y mantener un acceso persistente a la red comprometida”.<\/p>\n El ataque de varias etapas, que tuvo como objetivo uno de sus clientes y dur\u00f3 casi nueve meses este a\u00f1o, muestra superposiciones con un conjunto de intrusiones rastreado por el proveedor de ciberseguridad Sophos bajo el nombre de Operaci\u00f3n Crimson Palace.<\/p>\n Naor dijo que la compa\u00f1\u00eda respondi\u00f3 al incidente hace cuatro meses, a\u00f1adiendo que “estos ataques dependen de los tomadores de decisiones patrocinados por el estado. Esta vez sospechamos con gran confianza que APT41 buscaba ganancias financieras”.<\/p>\n La campa\u00f1a est\u00e1 dise\u00f1ada teniendo en cuenta el sigilo, aprovechando una serie de t\u00e1cticas para lograr sus objetivos mediante el uso de un conjunto de herramientas personalizadas que no solo evita el software de seguridad instalado en el entorno, sino que tambi\u00e9n recopila informaci\u00f3n cr\u00edtica y establece canales encubiertos para un acceso remoto persistente.<\/p>\n Security Joes describi\u00f3 a APT41 como “altamente calificado y met\u00f3dico”, destacando su capacidad para montar ataques de espionaje y envenenar la cadena de suministro, lo que lleva al robo de propiedad intelectual e intrusiones con motivaci\u00f3n financiera, como ransomware y miner\u00eda de criptomonedas.<\/p>\n Actualmente se desconoce el vector de acceso inicial exacto utilizado en el ataque, pero la evidencia apunta a que se trata de correos electr\u00f3nicos de phishing, dada la ausencia de vulnerabilidades activas en las aplicaciones web conectadas a Internet o un compromiso de la cadena de suministro.<\/p>\n “Una vez dentro de la infraestructura objetivo, los atacantes ejecutaron un ataque DCSync, con el objetivo de recolectar hashes de contrase\u00f1as de cuentas de servicio y administrador para ampliar su acceso”, dijo la compa\u00f1\u00eda en su informe. “Con estas credenciales, establecieron persistencia y mantuvieron el control sobre la red, centr\u00e1ndose particularmente en las cuentas administrativas y de desarrollador”.<\/p>\n Se dice que los atacantes llevaron a cabo met\u00f3dicamente actividades de reconocimiento y post-explotaci\u00f3n, a menudo modificando su conjunto de herramientas en respuesta a las medidas tomadas para contrarrestar la amenaza y aumentar sus privilegios con el objetivo final de descargar y ejecutar cargas \u00fatiles adicionales.<\/p>\n Algunos de los t\u00e9cnicas<\/a> utilizados para lograr sus objetivos incluyen el secuestro de Phantom DLL y el uso de la utilidad leg\u00edtima wmic.exe, sin mencionar el abuso de su acceso a cuentas de servicio con privilegios de administrador para desencadenar la ejecuci\u00f3n.<\/p>\n La siguiente etapa es un archivo DLL malicioso llamado TSVIPSrv.dll que se recupera a trav\u00e9s del protocolo SMB, despu\u00e9s de lo cual la carga \u00fatil establece contacto con un servidor de comando y control (C2) codificado.<\/p>\n “Si el C2 codificado falla, el implante intenta actualizar su informaci\u00f3n de C2 raspando a los usuarios de GitHub usando la siguiente URL: github[.]com\/search?o=desc&q=pointers&s=joined&type=Users&.”<\/p>\n “El malware analiza el HTML devuelto por la consulta de GitHub, buscando secuencias de palabras en may\u00fascula separadas solo por espacios. Recopila ocho de esas palabras y luego extrae solo las letras may\u00fasculas entre A y P. Este proceso genera una cadena de 8 caracteres. que codifica la direcci\u00f3n IP del nuevo servidor C2 que se utilizar\u00e1 en el ataque”.<\/p>\n El contacto inicial con el servidor C2 allana el camino para perfilar el sistema infectado y recuperar m\u00e1s malware para ejecutarlo a trav\u00e9s de una conexi\u00f3n de socket.<\/p>\n Security Joes dijo que los actores de amenazas guardaron silencio durante varias semanas despu\u00e9s de que se detectaron sus actividades, pero finalmente regresaron con un enfoque renovado para ejecutar c\u00f3digo JavaScript muy ofuscado presente dentro de una versi\u00f3n modificada de un archivo XSL (“texttable.xsl”) usando LOLBIN. wmic.exe.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/Los-piratas-informaticos-del-estado-nacion-chino-APT41-atacan-el-sector.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n