APT41 se infiltra en redes en Italia, España, Taiwán, Turquía y el Reino Unido

Iniciado por Dragora, Julio 19, 2024, 02:22:39 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.



Varias organizaciones de los sectores globales de transporte marítimo y logística, medios de comunicación y entretenimiento, tecnología y automoción en Italia, España, Taiwán, Tailandia, Turquía y el Reino Unido han sido blanco de una "campaña sostenida" por parte del prolífico grupo de hackers APT41, con sede en China.

Según un informe reciente de Mandiant, propiedad de Google, APT41 ha logrado infiltrarse y mantener un acceso prolongado y no autorizado a las redes de numerosas víctimas desde 2023, permitiéndoles extraer datos confidenciales durante un período extenso. Mandiant describe a este colectivo como único entre los actores del nexo con China debido a su uso de "malware no público típicamente reservado para operaciones de espionaje en actividades que parecen estar fuera del alcance de las misiones patrocinadas por el estado".

Las cadenas de ataque incluyen el uso de webshells (ANTSWORD y BLUEBEAM), droppers personalizados (DUSTPAN y DUSTTRAP) y herramientas públicas (SQLULDR2 y PINEGROVE) para lograr persistencia, entregar cargas útiles adicionales y exfiltrar datos. Los webshells permiten descargar el cuentagotas DUSTPAN (también conocido como StealthVector), que carga Cobalt Strike Beacon para la comunicación de comando y control (C2), seguido del despliegue de DUSTTRAP para movimiento lateral.

DUSTTRAP descifra una carga útil maliciosa y la ejecuta en la memoria, estableciendo contacto con un servidor controlado por el atacante o una cuenta de Google Workspace comprometida para ocultar sus actividades. Google ha corregido las cuentas de Workspace afectadas para evitar el acceso no autorizado, aunque no se ha revelado la cantidad de cuentas comprometidas.

Las intrusiones también utilizan SQLULDR2 para exportar datos de bases de datos Oracle y PINEGROVE para transmitir grandes volúmenes de datos confidenciales desde redes comprometidas, aprovechando Microsoft OneDrive como vector de exfiltración. Es notable que las familias de malware DUSTPAN y DUSTTRAP, rastreadas por Mandiant, se superponen con las denominadas DodgeBox y MoonWalk por Zscaler ThreatLabz.

DUSTTRAP es un marco de complementos de varias etapas con múltiples componentes capaces de ejecutar comandos de shell, realizar operaciones del sistema de archivos, enumerar y terminar procesos, capturar pulsaciones de teclas y capturas de pantalla, recopilar información del sistema y modificar el Registro de Windows. También puede sondear hosts remotos, realizar búsquedas DNS, enumerar sesiones de escritorio remoto, cargar archivos y manipular Microsoft Active Directory.

El malware DUSTTRAP y sus componentes observados durante la intrusión estaban firmados con certificados de firma de código robados, uno de los cuales parecía estar relacionado con una empresa surcoreana del sector de la industria del juego.

GhostEmperor Regresa con el Rootkit Demodex

La empresa israelí de ciberseguridad Sygnia ha revelado una campaña de ciberataques montada por el grupo de amenazas GhostEmperor, también vinculado a China, para desplegar una variante del rootkit Demodex. Aunque el método exacto de violación no está claro, se ha observado que el grupo explota fallas conocidas en aplicaciones orientadas a Internet. El acceso inicial facilita la ejecución de un script por lotes de Windows, que suelta un archivo CAB para lanzar un módulo de implante principal.

El implante gestiona las comunicaciones C2 e instala el rootkit del kernel Demodex utilizando un proyecto de código abierto llamado Cheat Engine para evitar el mecanismo de aplicación de firmas del controlador (DSE) de Windows. GhostEmperor emplea malware de múltiples etapas para lograr una ejecución sigilosa y persistente, utilizando varios métodos para dificultar el análisis.


En fin las campañas sostenidas de APT41 y GhostEmperor demuestran la creciente sofisticación de los actores de amenazas vinculados a China, subrayando la importancia de reforzar la seguridad cibernética y la vigilancia en todos los sectores afectados.

Fuente:No tienes permitido ver enlaces. Registrate o Entra a tu cuenta