Se ha observado que un grupo de amenazas previamente asociado con el notorio troyano de acceso remoto (RAT) ShadowPad usa versiones antiguas y desactualizadas de paquetes de software populares para cargar malware en sistemas que pertenecen a múltiples organizaciones gubernamentales y de defensa objetivo en Asia.
La razón para usar versiones desactualizadas de software legítimo es que permiten a los atacantes usar un método bien conocido llamado carga lateral de la biblioteca de enlaces dinámicos (DLL) para ejecutar sus cargas maliciosas en un sistema de destino. La mayoría de las versiones actuales de los mismos productos protegen contra el vector de ataque, que básicamente involucra a los adversarios disfrazando un archivo DLL malicioso como uno legítimo y colocándolo en un directorio donde la aplicación cargaría y ejecutaría automáticamente el archivo.
Los investigadores del equipo Symantec Threat Hunter de Broadcom Software observaron la Shadowpad-grupo de amenazas relacionado que utiliza la táctica en una campaña de ciberespionaje. Hasta ahora, los objetivos del grupo han incluido la oficina de un primer ministro, organizaciones gubernamentales vinculadas al sector financiero, empresas aeroespaciales y de defensa propiedad del gobierno y empresas estatales de telecomunicaciones, TI y medios. El análisis del proveedor de seguridad mostró que la campaña ha estado en curso desde al menos principios de 2021, siendo la inteligencia el enfoque principal.
Una Táctica de Ciberataque Conocida, pero Exitosa
"El uso de aplicaciones legítimas para facilitar la carga lateral de DLL parece ser una tendencia creciente entre los actores de espionaje que operan en la región”, dijo Symantec en un informe esta semana. Es una táctica atractiva porque las herramientas antimalware a menudo no detectan la actividad maliciosa porque los atacantes usaron aplicaciones antiguas para la carga lateral.
“Además de la antigüedad de las aplicaciones, el otro aspecto común es que todos eran nombres relativamente conocidos y, por lo tanto, pueden parecer inocuos”. dice Alan Neville, analista de inteligencia de amenazas del equipo de cazadores de amenazas de Symantec.
El hecho de que el grupo detrás de la campaña actual en Asia esté usando la táctica a pesar de que se entiende bien, sugiere que la técnica está teniendo cierto éxito, dijo Symantec.
Neville dice que su compañía no ha observado recientemente que los actores de amenazas usen la táctica en los EE. UU. o en otros lugares. “La técnica es utilizada principalmente por atacantes que se enfocan en organizaciones asiáticas”, agrega.
Neville dice que en la mayoría de los ataques de la última campaña, los actores de amenazas utilizaron la utilidad legítima de Windows PsExec para ejecutar programas en sistemas remotos para llevar a cabo la carga lateral e implementar malware. En cada caso, los atacantes ya habían comprometido previamente los sistemas en los que instaló las aplicaciones antiguas y legítimas.
“[Los programas] se instalaron en cada computadora comprometida en la que los atacantes querían ejecutar malware. En algunos casos, podrían ser varias computadoras en la misma red de la víctima”, dice Neville. En otros casos, Symantec también los observó implementando múltiples aplicaciones legítimas en una sola máquina para cargar su malware, agrega.
“Usaron una gran variedad de software, incluido software de seguridad, software de gráficos y navegadores web”, señala. En algunos casos, los investigadores de Symantec también observaron que el atacante usaba archivos de sistema legítimos del sistema operativo Windows XP heredado para habilitar el ataque.
Logdatter, rango de cargas útiles maliciosas
Una de las cargas útiles maliciosas es un nuevo ladrón de información denominado Logdatter, que permite a los atacantes registrar pulsaciones de teclas, tomar capturas de pantalla, consultar bases de datos SQL, inyectar código arbitrario y descargar archivos, entre otras cosas. Otras cargas útiles que el actor de amenazas está utilizando en su campaña asiática incluyen un troyano basado en PlugX, dos RAT denominadas Trochilus y Quasar, y varias herramientas legítimas de doble uso. Estos incluyen Ladon, un marco de prueba de penetración, FScan y NBTscan para escanear entornos de víctimas.
Neville dice que Symantec no ha podido determinar con certeza cómo los actores de amenazas podrían obtener acceso inicial a un entorno de destino. Pero el phishing y la orientación de oportunidades de sistemas sin parches son vectores probables.
“Alternativamente, un ataque a la cadena de suministro de software no está fuera del alcance de estos atacantes, ya que los actores con acceso a ShadowPad son se sabe que ha lanzado ataques a la cadena de suministro en el pasado”, señala Neville. Una vez que los actores de amenazas han obtenido acceso a un entorno, tienden a utilizar una variedad de herramientas de escaneo como NBTScan, TCPing, FastReverseProxy y Fscan para buscar otros sistemas a los que apuntar.
Para defenderse de este tipo de ataques, las organizaciones deben implementar mecanismos para auditar y controlar qué software podría estar ejecutándose en su red. También deberían considerar implementar una política de permitir que solo las aplicaciones incluidas en la lista blanca se ejecuten en el entorno y priorizar la aplicación de parches a las vulnerabilidades en las aplicaciones públicas.
"También recomendamos tomar medidas inmediatas para limpiar las máquinas que muestren cualquier indicador de compromiso", aconseja Neville, "... incluyendo el ciclo de credenciales y seguir el proceso interno de su propia organización para realizar una investigación exhaustiva".
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
