14 de agosto de 2024Ravie LakshmananInteligencia de amenazas / Ataque cibernético El actor de amenazas respaldado por China conocido como Earth Baku ha diversificado su huella de ataques más allá de la región del Indo-Pacífico para incluir Europa, Oriente Medio y África a partir de fines de 2022. Entre los nuevos países atacados como parte de la actividad se incluyen Italia, Alemania, los Emiratos Árabes Unidos y Qatar, y también se detectaron ataques sospechosos en Georgia y Rumania. Los gobiernos, los medios de comunicación y las comunicaciones, las telecomunicaciones, la tecnología, la atención médica y la educación son algunos de los sectores señalados como parte del conjunto de intrusiones. «El grupo ha actualizado sus herramientas, tácticas y procedimientos (TTP) en campañas más recientes, haciendo uso de aplicaciones públicas como servidores IIS como puntos de entrada para los ataques, después de lo cual implementan sofisticados conjuntos de herramientas de malware en el entorno de la víctima», dijeron los investigadores de Trend Micro Ted Lee y Theo Chen en un análisis publicado la semana pasada. Los hallazgos se basan en informes recientes de Zscaler y Mandiant, propiedad de Google, que también detallaron el uso por parte del actor de amenazas de familias de malware como DodgeBox (también conocido como DUSTPAN) y MoonWalk (también conocido como DUSTTRAP). Trend Micro les ha dado los apodos StealthReacher y SneakCross. Earth Baku, un actor de amenazas asociado con APT41, es conocido por su uso de StealthVector desde octubre de 2020. Las cadenas de ataque implican la explotación de aplicaciones públicas para soltar el shell web de Godzilla, que luego se utiliza para entregar cargas útiles de seguimiento. StealthReacher ha sido clasificado como una versión mejorada del cargador de puerta trasera StealthVector que es responsable de lanzar SneakCross, un implante modular y un probable sucesor de ScrambleCross que aprovecha los servicios de Google para su comunicación de comando y control (C2). Los ataques también se caracterizan por el uso de otras herramientas de post-explotación como iox, Rakshasa y un servicio de Red Privada Virtual (VPN) conocido como Tailscale. La exfiltración de datos sensibles al servicio de almacenamiento en la nube MEGA se logra mediante una utilidad de línea de comandos denominada MEGAcmd. «El grupo ha empleado nuevos cargadores como StealthVector y StealthReacher, para lanzar de forma sigilosa componentes de puerta trasera, y ha añadido SneakCross como su última puerta trasera modular», dijeron los investigadores. «Earth Baku también utilizó varias herramientas durante su post-explotación, incluida una herramienta iox personalizada, Rakshasa, TailScale para la persistencia y MEGAcmd para la exfiltración eficiente de datos». ¿Te ha parecido interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.