Skip to main content

Los piratas informáticos chinos se esconden en las redes militares y gubernamentales durante 6 años

mayo 23, 2024


Un actor de amenazas previamente desconocido apodado «Unfading Sea Haze» ha estado apuntando a entidades militares y gubernamentales en la región del Mar de China Meridional desde 2018, y ha permanecido sin ser detectado en todo este tiempo.

Los investigadores de Bitdefender que descubrieron el grupo de amenazas informan que sus operaciones se alinean con los intereses geopolíticos chinos, centrándose en la recopilación de inteligencia y el espionaje.

Como es típico de los actores de amenazas patrocinados por el estado chino, «Unfading Sea Haze» demuestra superposiciones operativas, TTP y de conjunto de herramientas con otros grupos de actividades, en particular, APT41.

Abusar de MSBuild para malware sin archivos

Los ataques de Unfading Sea Haze comienzan con correos electrónicos de phishing que contienen archivos ZIP maliciosos que contienen archivos LNK disfrazados de documentos.

A partir de marzo de 2024, los últimos señuelos utilizados en estos ataques se refieren a temas políticos estadounidenses, mientras que los ZIP recibieron nombres engañosos para que aparecieran como instaladores/actualizadores de Windows Defender.

Estos archivos LNK contienen un comando de PowerShell largo y ofuscado que comprobará la presencia de un ejecutable de ESET, ekrn.exe, y, si existe, detendrá el ataque.

Si no se encuentra el ejecutable, el script de PowerShell realizará un truco interesante para lanzar malware sin archivos directamente en la memoria utilizando el compilador de línea de comandos legítimo msbuild.exe de Microsoft.

«En este ataque, los delincuentes inician un nuevo proceso MSBuild con un giro: especifican un directorio de trabajo ubicado en un servidor SMB remoto (como \154.90.34.83\exchange\info en el ejemplo anterior)». explica Bitdefender.

«Al configurar el directorio de trabajo en una ubicación remota, MSBuild buscará un archivo de proyecto en ese servidor remoto. Si se encuentra un archivo de proyecto, MSBuild ejecutará el código que contiene completamente en la memoria, sin dejar rastros en la máquina de la víctima».

Abusar de msbuild.exe para iniciar malware sin archivos
Fuente: Bitdefender

Ese código ejecutado por MSBuild es un programa de puerta trasera llamado ‘SerialPktdoor’, que brinda a los atacantes control remoto sobre el sistema comprometido.

El ataque también emplea tareas programadas que ejecutan archivos inocuos para cargar DLL maliciosas y utilizan la manipulación de cuentas de administrador local para mantener la persistencia.

Específicamente, los piratas informáticos restablecen la contraseña de la cuenta de administrador local, que está deshabilitada de forma predeterminada en Windows, y la habilitan. Luego, la cuenta vuelve a ocultarse de la pantalla de inicio de sesión mediante modificaciones del Registro.

Esto proporciona a los actores de amenazas una cuenta de administrador oculta que puede utilizar para promover sus ataques.

Bitdefender destaca la estrategia atípica de utilizar herramientas comerciales de gestión y monitoreo remoto (RMM), como Itarian RMM, en la cadena de ataque para afianzarse en la red comprometida.

El arsenal de la inmarcesible Sea Haze

Una vez que se ha establecido el acceso, Unfading Sea Haze utiliza un registrador de teclas personalizado llamado ‘xkeylog’ para capturar las pulsaciones de teclas de la víctima, un ladrón de información dirigido a datos almacenados en Chrome, Firefox o Edge, y varios scripts de PowerShell que extraen información de la base de datos del navegador.

Extraer datos cifrados de Chrome
Fuente: Bitdefender

A partir de 2023, los piratas informáticos pasaron a herramientas más sigilosas como el abuso de msbuild.exe para cargar cargas útiles de C# desde recursos compartidos remotos de SMB, así como variantes del malware Gh0stRAT.

Bitdefender ha visto el despliegue de:

  • SilencioGh0st – La variante más antigua que ofrece una amplia funcionalidad a través de un rico conjunto de comandos y módulos.
  • InsidiosoGh0st – Evolución basada en Go de SilentGh0st que también incluye mejoras en el proxy TCP, SOCKS5 y PowerShell.
  • translúcidogh0st, EtéreoGh0sty FluffyGh0st – Variantes más nuevas que presentan carga dinámica de complementos y un espacio más liviano para operaciones evasivas.
Cronograma de implementación de variantes de Gh0stRAT
​​​​​​Fuente: Bitdefender

En ataques anteriores, el hacker también utilizó Ps2dllLoader, una herramienta que carga código .NET o PowerShell en la memoria, y ‘SharpJSHandler’, un shell web que escucha solicitudes HTTP y ejecuta código JavaScript codificado.

Curiosamente, una herramienta personalizada busca dispositivos portátiles USB y Windows (WPD) recién conectados cada diez segundos y envía detalles del dispositivo y archivos específicos a los atacantes.

Para extraer datos de sistemas vulnerados, Unfading Sea Haze utiliza una herramienta personalizada llamada ‘DustyExfilTool’ que realiza una extracción segura de datos a través de TLS sobre TCP.

Los ataques más recientes muestran que los actores de la amenaza han cambiado a una utilidad curl y al protocolo FTP para la filtración de datos, y ahora también utilizan credenciales generadas dinámicamente que se cambian con frecuencia.

Unfading Sea Haze muestra sigilo, persistencia y adaptabilidad, aprovechando ataques sin archivos, métodos de evasión avanzados y diseño de malware modular.

Para detener estos ataques, las organizaciones deben adoptar una estrategia de seguridad multifacética que incluya gestión de parches, adopción de MFA, segmentación de red, monitoreo de tráfico e implementación de productos de detección y respuesta de última generación.



Source link

Translate »