 |
Más de una docena de empresas del complejo militar-industrial e instituciones públicas de Afganistán y Europa han sufrido una oleada de ataques dirigidos desde enero de 2022 para robar datos confidenciales haciendo uso simultáneo de seis puertas traseras diferentes. La empresa rusa de ciberseguridad Kaspersky atribuyó los ataques "con un alto grado de confianza" a un actor de amenazas vinculado a China y rastreado por Proofpoint como TA428, citando coincidencias en las tácticas, técnicas y procedimientos (TTP). |
TA428, también rastreado bajo los nombres de Bronze Dudley, Temp.Hex y Vicious Panda, tiene un historial de ataques a entidades de Ucrania, Rusia, Bielorrusia y Mongolia. Se cree que comparte conexiones con otro grupo de hackers llamado Mustang Panda (también conocido como Bronze President).
Los objetivos de la última campaña de ciberespionaje incluían plantas industriales, oficinas de diseño e institutos de investigación, organismos gubernamentales, ministerios y departamentos de varios países de Europa del Este y Afganistán.
Las cadenas de ataque consistían en penetrar en las redes informáticas de las empresas utilizando correos electrónicos de phishing cuidadosamente elaborados, incluidos algunos que hacían referencia a información no pública perteneciente a las organizaciones, para engañar a los destinatarios y hacerles abrir documentos de Microsoft Word falsos.
Estos archivos señuelo vienen con exploits para un fallo de corrupción de memoria de 2017 en el componente Equation Editor (CVE-2017-11882) que podría conducir a la ejecución de código arbitrario en los sistemas afectados, lo que en última instancia conduce al despliegue de una puerta trasera llamada PortDoor.
PortDoor se empleó especialmente en ataques de spear-phishing montados por hackers chinos patrocinados por el Estado en abril de 2021 para entrar en los sistemas de un contratista de defensa que diseña submarinos para la Armada rusa.
El uso de seis implantes diferentes, señaló Kaspersky, es probablemente un intento por parte de los atacantes de establecer canales redundantes para controlar los hosts infectados en caso de que uno de ellos sea detectado y eliminado de las redes.
Las intrusiones culminan con el secuestro por parte del atacante del controlador de dominio y la obtención del control completo de todas las estaciones de trabajo y servidores de la organización, aprovechando el acceso privilegiado para exfiltrar archivos de interés en forma de archivos ZIP comprimidos a un servidor remoto ubicado en China.
Otras puertas traseras utilizadas en los ataques son nccTrojan, Cotx, DNSep, Logtu, y un malware no documentado anteriormente denominado CotSam, llamado así por sus similitudes con Cotx. Cada uno de ellos proporciona una amplia funcionalidad para el control de los sistemas y la recolección de datos sensibles.
También se incorpora a los ataques Ladon, un marco de hacking el movimiento lateral que también permite al adversario escanear dispositivos en la red, así como explotar las vulnerabilidades de seguridad en ellos para ejecutar código malicioso.
"El spear phishing sigue siendo una de las amenazas más relevantes para las empresas industriales y las instituciones públicas", dijo Kaspersky. "Los atacantes utilizaron principalmente malware de puerta trasera conocido, así como técnicas estándar de movimiento lateral y evasión de soluciones antivirus".
"Al mismo tiempo, fueron capaces de penetrar en docenas de empresas e incluso tomar el control de toda la infraestructura de TI, y las soluciones de seguridad de TI de algunas de las organizaciones atacadas."
Los hallazgos llegan poco más de dos meses después de que se observara a los actores de Twisted Panda dirigirse a institutos de investigación en Rusia y Bielorrusia para dejar caer un backdoor bare-bones llamado Spinner.
Fuente: https://thehackernews.com/2022/08/chinese-hackers-targeted-dozens-of.html