Un ataque de ransomware mundial de RA en noviembre de 2024 dirigido a una compañía de software y servicios asiáticos no identificados implicó el uso de una utensilio maliciosa utilizada exclusivamente por grupos de ciber espionaje con sede en China, lo que plantea la posibilidad de que el actor de amenaza pueda ser iluminado como un reproductor de ransomware en un individuo capacidad.
“Durante el ataque a fines de 2024, el atacante desplegó un conjunto de herramientas diferente que anteriormente había sido utilizado por un actor vinculado a China en ataques de espionaje clásicos”, dijo el equipo de cazadores de amenazas de Symantec, parte de Broadcom, en un documentación compartido con The Hacker News .
“En todas las intrusiones anteriores que involucraban el conjunto de herramientas, el atacante parecía estar involucrado en un espionaje clásico, aparentemente interesado sólo en prolongar una presencia persistente en las organizaciones específicas al instalar traseros”.
Esto incluyó un compromiso de julio de 2024 del Empleo de Relaciones Exteriores de un país en el sudeste de Europa que implicó el uso de técnicas clásicas de carga pegado de DLL para implementar el actor ANGLX (incluso conocido como KorPlug), un malware utilizado repetidamente por el actor Mustang Panda (incluso conocido como FireAnt y Reddelta). .
Específicamente, las cadenas de ataque implican el uso de un ejecutable razonable de Toshiba llamado “Toshdpdb.exe” para que se vaya a una dll maliciosa llamamiento “Toshdpapi.dll”, que, a su vez, actúa como un conducto para cargar la carga útil de Tugin.
Se han observado otras intrusiones vinculadas al mismo conjunto de herramientas en relación con ataques dirigidos a dos entidades gubernamentales diferentes en el sureste de Europa y el sudeste oriental en agosto de 2024, un cirujano de telecomunicaciones en septiembre de 2024 y otro profesión ministerial en un país del sudeste oriental diferente en enero de 2025.
Sin retención, Symantec señaló que observó que la variación Plugx se implementa en noviembre de 2024 como parte de una campaña de molestia criminal contra una compañía de software y servicios de tamaño mediano en el sur de Asia.
No está exactamente claro cómo se comprometió la red de la compañía, aunque el atacante afirmó haberlo hecho explotando un defecto de seguridad conocido en el software PAYA ALTO PAN-OS (CVE-2024-0012). El ataque culminó con las máquinas encriptadas con el ransomware RA World, pero no ayer de que el binario Toshiba se usara para propalar el malware Tugx.
En este punto, vale la pena señalar que los examen previos de la Mecanismo de Cisco Talos y Palo Parada Networks 42 han descubierto superposiciones de artesanías entre RA World (anteriormente llamado RA Group) y un clan de amenazas chino conocido como Bronce Starlight (incluso conocido como Tormenta 401 y el emperador Dragonfly) Eso tiene un historial de uso de familias de ransomware de corta duración.
Si adecuadamente no se sabe por qué un actor de espionaje incluso está llevando a límite un ataque con motivación financiera, Symantec teorizó que un actor solitario probablemente está detrás del esfuerzo y que intentaban obtener algunas ganancias rápidas en el flanco. Esta evaluación incluso se alinea con el examen de Sygnia de la libélula del emperador en octubre de 2022, que describió como un “actor de una sola amenaza”.
Esta forma de iluminación de la vitral, aunque rara vez se observa en el ecosistema de piratería chino, es mucho más frecuente entre los actores de amenaza de Irán y Corea del Septentrión.
“Otra forma de actividad motivada financieramente que respalda los objetivos estatales son los grupos cuya delegación principal puede ser el espionaje patrocinado por el estado, ya sea tácitamente o explícitamente, realizar operaciones motivadas financieramente para complementar sus ingresos”, dijo el Orden de Inteligencia de Amenazos de Google (GTIG) en Un documentación publicado esta semana.
“Esto puede permitir que un gobierno compense los costos directos que se requerirían para prolongar grupos con capacidades sólidas”.
Salt Typhoon Explota dispositivos vulnerables de Cisco para violar las empresas de telecomunicaciones
El exposición se produce cuando el clan de piratería de estado-estado chino denominado tifón de sal se ha vinculado a un conjunto de ataques cibernéticos que aprovechan fallas de seguridad conocidas en los dispositivos de la red Cisco (CVE-2023-20198 y CVE-2023-20273) para penetrar múltiples redes.
Se evalúa que la actividad cibernética maliciosa ha señalado a una afiliada con sede en los Estados Unidos de un significativo proveedor de telecomunicaciones con sede en el Reino Unido, un proveedor de telecomunicaciones sudafricano y un servicio de Internet italiano y un gran proveedor de telecomunicaciones de Tailandia basado en comunicaciones detectadas entre los dispositivos de Cisco infectados entre Cisco infectados y la infraestructura del actor de amenaza.
Los ataques tuvieron oportunidad entre el 4 de diciembre de 2024 y el 23 de enero de 2025, dijo el clan Insikt de Future, agregó el adversario, incluso rastreado como Estries de Tierra, FamosoSsparrow, Ghostemperor, Redmike y UNC2286, intentó explotar más de 1,000 dispositivos de Cisco Globally durante el plazo.
Más de la medio de los electrodomésticos de Cisco objetivo se encuentran en los Estados Unidos, América del Sur e India. En lo que parece ser una ampliación del enfoque de la orientación, el tifón de sal incluso se ha observado dispositivos asociados con más de una docena de universidades en Argentina, Bangladesh, Indonesia, Malasia, México, los Países Bajos, Tailandia, los Estados Unidos y Vietnam.
“Redmike posiblemente se dirigió a estas universidades para penetrar a la investigación en áreas relacionadas con las telecomunicaciones, la ingeniería y la tecnología, particularmente en instituciones como UCLA y Tu Delft”, dijo la compañía.
El actor de amenazas sigue un compromiso exitoso que utiliza los privilegios elevados para cambiar la configuración del dispositivo y amplificar un túnel de encapsulación de enrutamiento genérico (GRE) para entrada persistente y exfiltración de datos entre los dispositivos Cisco comprometidos y su infraestructura.
El uso de dispositivos de red vulnerables como puntos de entrada a las víctimas objetivo se ha convertido en un manual de jugadas típico para el tifón de sal y otros grupos de piratería chinos como el tifón Volt, en parte oportuno al hecho de que carecen de controles de seguridad y no están respaldados por la detección y respuesta de los puntos finales (EDR) Soluciones.
Para mitigar el aventura planteado por dichos ataques, se recomienda que las organizaciones prioricen la aplicación de parches de seguridad disponibles y actualizaciones a dispositivos de red de entrada conocido y eviten exponer interfaces administrativas o servicios no esenciales a Internet, particularmente para aquellos que han atrapado el final de Vida (EOL).
Refrescar
Cisco compartió la sucesivo confesión con The Hacker News posteriormente de la publicación de la historia –
Somos conscientes de los nuevos informes de que los actores de amenaza de typhoon de sal de señuelo están explotando dos vulnerabilidades conocidas en dispositivos Cisco relacionados con iOS XE. Hasta la momento, no hemos podido validar estas afirmaciones, sino continuar revisando los datos disponibles. En 2023, emitimos un asesoramiento de seguridad que revela estas vulnerabilidades adjunto con la orientación para que los clientes apliquen urgentemente la posibilidad de software arreglado. Aconsejamos a los clientes que reparen vulnerabilidades conocidas que se han revelado y siguen las mejores prácticas de la industria para afirmar los protocolos de papeleo.
