30 de agosto de 2024Ravie LakshmananEspionaje cibernético / Inteligencia de amenazas Los usuarios de habla china son el objetivo de una campaña de «ataque altamente organizado y sofisticado» que probablemente esté aprovechando correos electrónicos de phishing para infectar sistemas Windows con cargas útiles de Cobalt Strike. «Los atacantes lograron moverse lateralmente, establecer persistencia y permanecer sin ser detectados dentro de los sistemas durante más de dos semanas», dijeron los investigadores de Securonix Den Iuzvyk y Tim Peck en un nuevo informe. La campaña encubierta, con nombre en código SLOW#TEMPEST y que no se atribuye a ningún actor de amenazas conocido, comienza con archivos ZIP maliciosos que, cuando se descomprimen, activan la cadena de infección, lo que lleva a la implementación del kit de herramientas posterior a la explotación en los sistemas comprometidos. Junto con el archivo ZIP hay un archivo de acceso directo de Windows (LNK) que se disfraza de archivo de Microsoft Word, «违规远程控制软件人员名单.docx.lnk», que se traduce aproximadamente como «Lista de personas que violaron las regulaciones del software de control remoto». «Dado el lenguaje utilizado en los archivos de señuelo, es probable que se pueda apuntar a sectores empresariales o gubernamentales relacionados con China, ya que ambos emplean a personas que siguen las ‘regulaciones del software de control remoto'», señalaron los investigadores. El archivo LNK actúa como un conducto para lanzar un binario legítimo de Microsoft («LicensingUI.exe») que emplea la carga lateral de DLL para ejecutar una DLL maliciosa («dui70.dll»). Ambos archivos son parte del archivo ZIP dentro de un directorio llamado «\其他信息\.__MACOS__\._MACOS_\__MACOSX\_MACOS_». Este ataque marca la primera vez que se informa de una carga lateral de DLL a través de LicensingUI.exe. El archivo DLL es un implante de Cobalt Strike que permite un acceso persistente y sigiloso al host infectado, mientras se establece contacto con un servidor remoto («123.207.74[.]22»). Se dice que el acceso remoto permitió a los atacantes realizar una serie de actividades prácticas, incluida la implementación de cargas útiles adicionales para reconocimiento y la configuración de conexiones proxy. La cadena de infección también es notable por configurar una tarea programada para ejecutar periódicamente un ejecutable malicioso llamado «lld.exe» que puede ejecutar shellcode arbitrario directamente en la memoria, dejando así huellas mínimas en el disco. «Los atacantes también se habilitaron para ocultarse en la maleza de los sistemas comprometidos elevando manualmente los privilegios de la cuenta de usuario Guest incorporada», dijeron los investigadores. «Esta cuenta, generalmente deshabilitada y con privilegios mínimos, se transformó en un poderoso punto de acceso al agregarla al grupo administrativo crítico y asignarle una nueva contraseña. Esta puerta trasera les permite mantener el acceso al sistema con una detección mínima, ya que la cuenta de invitado a menudo no se monitorea tan de cerca como otras cuentas de usuario». Posteriormente, el actor de amenazas desconocido procedió a moverse lateralmente a través de la red utilizando el Protocolo de escritorio remoto (RDP) y las credenciales obtenidas a través de la herramienta de extracción de contraseñas Mimikatz, seguido de la configuración de conexiones remotas de regreso a su servidor de comando y control (C2) desde cada una de esas máquinas. La fase posterior a la explotación se caracteriza además por la ejecución de varios comandos de enumeración y el uso de la herramienta BloodHound para el reconocimiento del directorio activo (AD), cuyos resultados luego se exfiltraron en forma de un archivo ZIP. Las conexiones con China se refuerzan por el hecho de que todos los servidores C2 están alojados en China por Shenzhen Tencent Computer Systems Company Limited. Además de eso, la mayoría de los artefactos conectados con la campaña se originaron en China. «Aunque no hubo evidencia sólida que vincule este ataque con ningún grupo APT conocido, es probable que esté orquestado por un actor de amenazas experimentado que tenía experiencia en el uso de marcos de explotación avanzados como Cobalt Strike y «Una amplia gama de otras herramientas de post-explotación», concluyeron los investigadores. «La complejidad de la campaña es evidente en su enfoque metódico para el compromiso inicial, la persistencia, la escalada de privilegios y el movimiento lateral a través de la red». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.