19 de julio de 2024Sala de prensaEspionaje cibernético / Inteligencia de amenazas Varias organizaciones que operan en los sectores de transporte y logística global, medios de comunicación y entretenimiento, tecnología y automoción en Italia, España, Taiwán, Tailandia, Turquía y el Reino Unido se han convertido en el objetivo de una «campaña sostenida» del prolífico grupo de piratas informáticos APT41 con sede en China. «APT41 se infiltró con éxito y mantuvo un acceso prolongado y no autorizado a las redes de numerosas víctimas desde 2023, lo que les permitió extraer datos confidenciales durante un período prolongado», dijo Mandiant, propiedad de Google, en un nuevo informe publicado el jueves. Las cadenas de ataque implican el uso de web shells (ANTSWORD y BLUEBEAM), droppers personalizados (DUSTPAN y DUSTTRAP) y herramientas disponibles públicamente (SQLULDR2 y PINEGROVE) para lograr persistencia, entregar cargas útiles adicionales y exfiltrar datos de interés. Los web shells actúan como un conducto para descargar el dropper DUSTPAN (también conocido como StealthVector) que es responsable de cargar Cobalt Strike Beacon para la comunicación de comando y control (C2), seguido por el despliegue del dropper DUSTTRAP después del movimiento lateral. DUSTTRAP, por su parte, está configurado para descifrar una carga maliciosa y ejecutarla en la memoria, que, a su vez, establece contacto con un servidor controlado por el atacante o una cuenta de Google Workspace comprometida en un intento de ocultar sus actividades maliciosas. Google dijo que las cuentas de Workspace identificadas han sido remediadas para evitar el acceso no autorizado. Sin embargo, no reveló cuántas cuentas se vieron afectadas. Las intrusiones también se caracterizan por el uso de SQLULDR2 para exportar datos de bases de datos Oracle a un archivo local basado en texto y PINEGROVE para transmitir grandes volúmenes de datos confidenciales de redes comprometidas mediante el abuso de Microsoft OneDrive como vector de exfiltración. Cabe señalar aquí que las familias de malware que Mandiant rastrea como DUSTPAN y DUSTTRAP comparten superposiciones con aquellas que han sido bautizadas en código como DodgeBox y MoonWalk, respectivamente, por Zscaler ThreatLabz. «DUSTTRAP es un marco de complementos de varias etapas con múltiples componentes», dijeron los investigadores de Mandiant, agregando que identificó al menos 15 complementos que son capaces de ejecutar comandos de shell, realizar operaciones del sistema de archivos, enumerar y finalizar procesos, capturar pulsaciones de teclas y capturas de pantalla, recopilar información del sistema y modificar el Registro de Windows. También está diseñado para sondear hosts remotos, realizar búsquedas en el sistema de nombres de dominio (DNS), enumerar sesiones de escritorio remoto, cargar archivos y realizar varias manipulaciones en Microsoft Active Directory. «El malware DUSTTRAP y sus componentes asociados que se observaron durante la intrusión estaban firmados con certificados de firma de código presuntamente robados», dijo la compañía. «Uno de los certificados de firma de código parecía estar relacionado con una empresa surcoreana que opera en el sector de la industria del juego». GhostEmperor vuelve a la carga La revelación llega cuando la empresa israelí de ciberseguridad Sygnia reveló detalles de una campaña de ciberataques organizada por un sofisticado grupo de amenazas con nexo con China llamado GhostEmperor para distribuir una variante del rootkit Demodex. El método exacto utilizado para vulnerar los objetivos no está claro actualmente, aunque se ha observado anteriormente que el grupo explota fallos conocidos en aplicaciones orientadas a Internet. El acceso inicial facilita la ejecución de un script por lotes de Windows, que suelta un archivo CAB (Archivo de gabinete) para finalmente lanzar un módulo de implante central. El implante está equipado para gestionar las comunicaciones C2 e instalar el rootkit del núcleo Demodex mediante el uso de un proyecto de código abierto llamado Cheat Engine para sortear el mecanismo de aplicación de firmas de controladores (DSE) de Windows. «GhostEmperor emplea un malware de varias etapas para lograr una ejecución y persistencia sigilosas y utiliza varios métodos para impedir el proceso de análisis», dijo el investigador de seguridad Dor Nizar. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.