Un clúster de actividad de amenazas previamente desconocido dirigió a las organizaciones europeas, particularmente aquellas en el sector de la salubridad, para implementar a Plugx y su sucesor, ShadowPad, con las intrusiones que finalmente conducen al despliegue de un ransomware llamado Nailaolocker en algunos casos.
La campaña, con nombre en código Green Nailao de Orange CyberDefense Cert, implicó la explotación de una error de seguridad ahora parchada en los productos de seguridad de la puerta de la red de puntos de control (CVE-2024-24919, puntaje CVSS: 7.5). Los ataques se observaron entre junio y octubre de 2024.
“La campaña se basó en el secuestro de orden de búsqueda de DLL para implementar ShadowPad y Plugx: dos implantes a menudo asociados con las intrusiones dirigidas por China-Nexus”, dijo la compañía en un noticia técnico compartido con Hacker News.
Se dice que el llegada original brindado por la explotación de instancias de punto de control vulnerables permitió a los actores de amenaza recuperar las credenciales de los usuarios y conectarse a la VPN utilizando una cuenta legítima.
En la posterior etapa, los atacantes llevaron a angla el registro de la red y el movimiento limítrofe a través del Protocolo de escritorio remoto (RDP) para obtener privilegios elevados, seguido de la ejecución de un binario seguro (“Logger.exe”) para encontrar una dll deshilachada (“Logexts.dll” ) que luego sirve como cargador para una nueva interpretación del malware ShadowPad.
Se ha enfrentado que las iteraciones anteriores de los ataques detectados en agosto de 2024 aprovechan la artesanía similar para entregar a Plugx, que todavía emplea la carga limítrofe de DLL utilizando un ejecutable de McAfee (“mcoemcpy.exe”) a Sideload “mcutil.dll”.
Al igual que Plugx, ShadowPad es un malware vendido privado que es utilizado exclusivamente por los actores de espionaje chinos desde al menos 2015. La transformación identificada por Orange CyberDefense CERT presenta una ofuscación sofisticada y medidas anti-debug, anejo con la comunicación con un servidor remoto para crear llegada remoto persistente a un llegada remoto a la persistente a Sistemas de víctimas.
Hay evidencia que sugiere que los actores de amenaza intentaron exfiltrar datos accediendo al sistema de archivos y creando archivos zip. Las intrusiones culminan con el uso de Windows Management Instrumentation (WMI) para transmitir tres archivos, un ejecutable seguro firmado por Beijing Huorong Network Technology Co., Ltd (“usysdiag.exe”), un cargador llamado Nailaoloader (“Sensapi.dll”) , y Nailaolocker (“usysdiag.exe.dat”).
Una vez más, el archivo DLL se acompaña a través de “usysdiag.exe” para descifrar y activar la ejecución de Nailaolocker, un ransomware basado en C ++ que encripta los archivos, los agrega con una extensión “. Para realizar un cuota de bitcoin o contactarlos en una dirección de correo de protones.
“Nailaolocker es relativamente poco sofisticado y mal diseñado, aparentemente no tiene la intención de avalar el oculto completo”, dijeron los investigadores Marine Pichon y Alexis Bonnefoi.
“No escanea las acciones de la red, no detiene los servicios o procesos que podrían evitar el oculto de ciertos archivos importantes, (y) no controla si se está depurando”.
Orange ha atribuido la actividad con confianza media a un actor de amenaza simpatizante en chino correcto al uso del implante de shadowpad, el uso de técnicas de carga limítrofe de DLL y el hecho de que se han atribuido esquemas de ransomware similares a otro congregación de amenazas chino denominado Luz de las estrellas.
Adicionalmente, el uso de “usysdiag.exe” a las cargas aperos de la próxima etapa se ha observado previamente en ataques montados por un conjunto de intrusiones vinculado a China rastreado por Sophos bajo el nombre de clúster Alpha (todavía conocido como STAC1248).
Si correctamente los objetivos exactos de la campaña de espionaje-cum-ransomware no están claros, se sospecha que los actores de amenaza buscan obtener ganancias rápidas.
“Esto podría ayudar a explicar el contraste de sofisticación entre Shadowpad y Nailaolocker, con Nailaolocker a veces incluso intentando imitar las técnicas de carga de Shadowpad”, dijeron los investigadores. “Si correctamente tales campañas a veces se pueden realizar de modo oportunista, a menudo permiten a los grupos de amenazas ingresar a sistemas de información que se pueden utilizar más tarde para sobrellevar a angla otras operaciones ofensivas”.
Poner al día
En un examen paralelo publicado por Trend Micro, la compañía de seguridad cibernética dijo que observó que el malware ShadowPad actualizado que se utiliza para implementar el ransomware Nailaolocker a posteriori de explotar contraseñas débiles y evitar la autenticación multifactor.
Se estima que el actor de amenaza se dirigió a 21 empresas repartidas en 15 países diferentes y cinco industrias diferentes, principalmente fabricación, transporte y publicación, entre otros. Dos de esos incidentes condujeron a ransomware.
La nueva interpretación del malware incorpora técnicas anti-debugging mejoradas, el oculto de la carga útil utilizando el número de serie de prominencia que es exclusivo de la máquina de la víctima y el uso de DNS-Over-HTTPS (DOH) para ocultar las comunicaciones de la red.
“Si correctamente estas características no son mejoras importantes del malware en sí, muestran que el malware está en incremento activo y que sus desarrolladores están dispuestos a hacer que su examen de malware sea más difícil”, dijo el investigador de seguridad Daniel Lunghi.
Trend Micro todavía atribuyó la campaña con poca confianza a un congregación de amenaza persistente avanzadilla china (APT) llamado TeleBoyi, citando superposiciones en el código fuente e infraestructura de Tugle (“dscriy.chtq (.) Net”), el postrero de los cuales resolvió un dominio de un dominio Eso estaba vinculado a una campaña de espionaje a extenso plazo Operation Harvest.
El colectivo adversario, activo desde al menos 2015, se evalúa para compartir similitudes tácticas con otros grupos chinos de espionaje cibernético como APT41, Earth Berberoka y Famoussparrow (todavía conocido como Salt Typhoon).
