26 de septiembre de 2024Ravie LakshmananSeguridad en la nube / CiberespionajeSe ha observado que un actor de amenazas avanzadas con un nexo con la India utiliza varios proveedores de servicios en la nube para facilitar la recolección de credenciales, la distribución de malware y el comando y control (C2). La empresa de seguridad e infraestructura web Cloudflare está rastreando la actividad bajo el nombre de SloppyLemming, que también se llama Outrider Tiger y Fishing Elephant. «Desde finales de 2022 hasta la actualidad, SloppyLemming ha utilizado rutinariamente Cloudflare Workers, probablemente como parte de una amplia campaña de espionaje dirigida a países del sur y este de Asia», dijo Cloudflare en un análisis. Se estima que SloppyLemming está activo desde al menos julio de 2021, con campañas anteriores que aprovechan malware como Ares RAT y WarHawk, este último también vinculado a un conocido equipo de piratas informáticos llamado SideWinder. Por otro lado, el uso de Ares RAT se ha relacionado con SideCopy, un actor de amenazas probablemente de origen paquistaní. Los objetivos de la actividad de SloppyLemming abarcan entidades gubernamentales, policiales, energéticas, educativas, de telecomunicaciones y tecnológicas ubicadas en Pakistán, Sri Lanka, Bangladesh, China, Nepal e Indonesia. Las cadenas de ataque implican el envío de correos electrónicos de phishing dirigidos a los objetivos que tienen como objetivo engañar a los destinatarios para que hagan clic en un enlace malicioso induciendo una falsa sensación de urgencia, afirmando que deben completar un proceso obligatorio dentro de las próximas 24 horas. Al hacer clic en la URL, la víctima es llevada a una página de recolección de credenciales, que luego sirve como mecanismo para que el actor de amenazas obtenga acceso no autorizado a las cuentas de correo electrónico específicas dentro de las organizaciones que son de interés. «El actor utiliza una herramienta personalizada llamada CloudPhish para crear un Cloudflare Worker malicioso para manejar la lógica de registro de credenciales y la exfiltración de las credenciales de la víctima al actor de amenazas», dijo la compañía. Algunos de los ataques llevados a cabo por SloppyLemming han aprovechado técnicas similares para capturar tokens de Google OAuth, así como emplear archivos RAR con trampas explosivas («CamScanner 06-10-2024 15.29.rar») que probablemente explotan una falla de WinRAR (CVE-2023-38831) para lograr la ejecución remota de código. Dentro del archivo RAR hay un ejecutable que, además de mostrar el documento señuelo, carga de forma sigilosa «CRYPTSP.dll», que sirve como descargador para recuperar un troyano de acceso remoto alojado en Dropbox. Vale la pena mencionar aquí que la empresa de ciberseguridad SEQRITE detalló una campaña análoga llevada a cabo por los actores de SideCopy el año pasado dirigida al gobierno indio y a los sectores de defensa para distribuir el RAT Ares utilizando archivos ZIP llamados «DocScanner_AUG_2023.zip» y «DocScanner-Oct.zip» que están diseñados para activar la misma vulnerabilidad. Una tercera secuencia de infección empleada por SloppyLemming implica el uso de señuelos de phishing para llevar a los posibles objetivos a un sitio web falso que se hace pasar por la Junta de Tecnología de la Información de Punjab (PITB) en Pakistán, después de lo cual son redirigidos a otro sitio que contiene un archivo de acceso directo a Internet (URL). El archivo URL viene incrustado con un código para descargar otro archivo, un ejecutable llamado PITB-JR5124.exe, desde el mismo servidor. El binario es un archivo legítimo que se utiliza para cargar lateralmente una DLL falsa llamada profapi.dll que posteriormente se comunica con un Cloudflare Worker. Estas URL de Cloudflare Worker, señaló la empresa, actúan como intermediarios, retransmitiendo las solicitudes al dominio C2 real utilizado por el adversario («aljazeerak[.]Cloudflare dijo que «observó esfuerzos concertados por parte de SloppyLemming para atacar a los departamentos de policía paquistaníes y otras organizaciones encargadas de hacer cumplir la ley», y agregó que «hay indicios de que el actor ha atacado a entidades involucradas en la operación y el mantenimiento de la única instalación de energía nuclear de Pakistán». Algunos de los otros objetivos de la actividad de recolección de credenciales incluyen organizaciones gubernamentales y militares de Sri Lanka y Bangladesh y, en menor medida, entidades del sector académico y energético chino. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.