02 de agosto de 2024Ravie LakshmananCiberespionaje / Malware Un instituto de investigación afiliado al gobierno de Taiwán que se especializa en informática y tecnologías asociadas fue vulnerado por actores de amenazas de estados nacionales con vínculos con China, según los nuevos hallazgos de Cisco Talos. La organización anónima fue atacada a mediados de julio de 2023 para entregar una variedad de puertas traseras y herramientas posteriores al compromiso como ShadowPad y Cobalt Strike. Se ha atribuido con mediana confianza a un prolífico grupo de piratas informáticos rastreado como APT41. «El malware ShadowPad utilizado en la campaña actual explotó una versión vulnerable obsoleta del binario IME de Microsoft Office como cargador para cargar el cargador de segunda etapa personalizado para lanzar la carga útil», dijeron los investigadores de seguridad Joey Chen, Ashley Shen y Vitor Ventura. «El actor de amenazas comprometió tres hosts en el entorno objetivo y pudo exfiltrar algunos documentos de la red». Cisco Talos dijo que descubrió la actividad en agosto de 2023 después de detectar lo que describió como «comandos de PowerShell anormales» que se conectaban a una dirección IP para descargar y ejecutar scripts de PowerShell dentro del entorno comprometido. No se conoce el vector de acceso inicial exacto utilizado en el ataque, aunque implicó el uso de un shell web para mantener el acceso persistente y soltar cargas útiles adicionales como ShadowPad y Cobalt Strike, siendo este último entregado por medio de un cargador Cobalt Strike basado en Go llamado CS-Avoid-Killing. «El malware Cobalt Strike se había desarrollado utilizando un cargador anti-AV para eludir la detección de AV y evitar la cuarentena del producto de seguridad», dijeron los investigadores. Alternativamente, se observó al actor de amenazas ejecutando comandos de PowerShell para lanzar scripts responsables de ejecutar ShadowPad en la memoria y obtener el malware Cobalt Strike de un servidor de comando y control (C2) comprometido. El cargador ShadowPad basado en DLL, también llamado ScatterBee, se ejecuta a través de la carga lateral de DLL. Algunos de los otros pasos llevados a cabo como parte de la intrusión comprendieron el uso de Mimikatz para extraer contraseñas y la ejecución de varios comandos para recopilar información sobre cuentas de usuario, estructura de directorios y configuraciones de red. «APT41 creó un cargador personalizado para inyectar una prueba de concepto para CVE-2018-0824 directamente en la memoria, utilizando una vulnerabilidad de ejecución de código remoto para lograr una escalada de privilegios locales», dijo Talos, señalando que la carga útil final, UnmarshalPwn, se libera después de pasar por tres etapas diferentes. El equipo de ciberseguridad también señaló los intentos del adversario de evitar la detección deteniendo su propia actividad al detectar a otros usuarios en el sistema. «Una vez que se implementan las puertas traseras, el actor malicioso eliminará el shell web y la cuenta de invitado que permitió el acceso inicial», dijeron los investigadores. La revelación se produce cuando Alemania reveló a principios de esta semana que actores estatales chinos estaban detrás de un ciberataque de 2021 a la agencia nacional de cartografía del país, la Oficina Federal de Cartografía y Geodesia (BKG), con fines de espionaje. En respuesta a las acusaciones, la embajada de China en Berlín dijo que la acusación es infundada y pidió a Alemania «que detenga la práctica de utilizar cuestiones de ciberseguridad para desprestigiar a China políticamente y en los medios». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.