Una supuesta operación de ciberespionaje con sede en China se ha dirigido a organizaciones militares del sudeste oriental como parte de una campaña patrocinada por el Estado que se remonta al menos a 2020.
La Dispositivo 42 de Palo Stop Networks está rastreando la actividad de amenazas bajo el apodo CL-STA-1087donde CL se refiere a colección y STA significa motivación respaldada por el estado.
“La actividad demostró paciencia operativa estratégica y un enfoque en la sumario de inteligencia muy específica, en emplazamiento del robo masivo de datos”, dijeron los investigadores de seguridad Lior Rochberger y Yoav Zemah. “Los atacantes detrás de este colección buscaron y recopilaron activamente archivos muy específicos sobre capacidades militares, estructuras organizativas y esfuerzos de colaboración con las fuerzas armadas occidentales”.
La campaña exhibe características comúnmente asociadas con operaciones avanzadas de amenazas persistentes (APT), incluidos métodos de entrega cuidadosamente diseñados, estrategias de despreocupación de defensa, infraestructura operativa mucho estable e implementación de carga útil personalizada diseñada para respaldar el entrada no calificado sostenido a sistemas comprometidos.
Las herramientas utilizadas por el actor de amenazas en la actividad maliciosa incluyen puertas traseras llamadas AppleChris y MemFun, y un recolector de credenciales llamado Getpass.
El proveedor de ciberseguridad dijo que detectó la intrusión a posteriori de identificar una ejecución sospechosa de PowerShell, lo que permitió que el script entrara en estado de suspensión durante seis horas y luego creara shells inversos para un servidor de comando y control (C2) controlado por el actor de amenazas. Aún se desconoce el vector de entrada auténtico exacto utilizado en el ataque.
La secuencia de infección implica la implementación de AppleChris, cuyas diferentes versiones se colocan en los puntos finales de destino luego del movimiento pegado para proseguir la persistencia y esquivar la detección basada en firmas. Además se ha observado a los actores de amenazas realizando búsquedas relacionadas con actas de reuniones oficiales, actividades militares conjuntas y evaluaciones detalladas de las capacidades operativas.
“Los atacantes mostraron particular interés en archivos relacionados con estructuras y estrategias organizativas militares, incluidos sistemas de comando, control, comunicaciones, computadoras e inteligencia (C4I)”, señalaron los investigadores.
Tanto las variantes de AppleChris como MemFun están diseñadas para obtener a una cuenta compartida de Pastebin, que actúa como un solucionador muerto para recuperar la dirección C2 auténtico almacenada en formato decodificado en Base64. Una lectura de AppleChris además depende de Dropbox para extraer la información C2, con el enfoque basado en Pastebin utilizado como opción alternativa. Las pastas Pastebin datan de septiembre de 2020.
Audaz mediante secuestro de DLL, AppleChris inicia contacto con el servidor C2 para percibir comandos que le permiten realizar enumeraciones de unidades, listados de directorios, carga/descarga/aniquilación de archivos, enumeración de procesos, ejecución remota de shell y creación silenciosa de procesos.
La segunda cambio del tunelizador representa una crecimiento de su predecesor, utilizando solo Pastebin para obtener la dirección C2, encima de introducir capacidades avanzadas de proxy de red.
“Para eludir los sistemas de seguridad automatizados, algunas de las variantes de malware emplean tácticas de despreocupación de espacio retirado en tiempo de ejecución”, dijo la Dispositivo 42. “Estas variantes desencadenan una ejecución retrasada a través de temporizadores de suspensión de 30 segundos (EXE) y 120 segundos (DLL), lo que dura más que las típicas ventanas de monitoreo de los entornos aislados automatizados”.
MemFun se inicia mediante una prisión de varias etapas: un cargador auténtico inyecta un código shell responsable de iniciar un descargador en memoria, cuyo objetivo principal es recuperar los detalles de configuración de C2 de Pastebin, comunicarse con el servidor C2 y obtener una DLL que, a su vez, activa la ejecución de la puerta trasera.
Regalado que la DLL se obtiene del C2 en tiempo de ejecución, les brinda a los actores de amenazas la capacidad de entregar fácilmente otras cargas avíos sin tener que cambiar cero. Este comportamiento transforma a MemFun en una plataforma de malware modular en emplazamiento de una puerta trasera estática como AppleChris.
La ejecución de MemFun comienza con un cuentagotas que ejecuta comprobaciones antiforenses ayer de alterar su propia marca de tiempo de creación de archivos para que coincida con la hora de creación del directorio del sistema de Windows. Después, inyecta la carga útil principal en la memoria de un proceso suspendido asociado con “dllhost.exe” utilizando una técnica conocida como vaciado de procesos.
Al hacerlo, el malware se ejecuta bajo la apariencia de un proceso verdadero de Windows para acontecer desapercibido y evitar dejar artefactos adicionales en el disco.
Además se utiliza en los ataques una lectura personalizada de Mimikatz conocida como Getpass que aumenta los privilegios e intenta extraer contraseñas de texto plano, hashes NTLM y datos de autenticación directamente desde la memoria del proceso “lsass.exe”.
“El actor de amenazas detrás del clúster demostró paciencia operativa y conciencia de seguridad”, concluyó la Dispositivo 42. “Mantuvieron el entrada inactivo durante meses mientras se concentraban en la sumario de inteligencia de precisión e implementaban sólidas medidas de seguridad operativa para asegurar la duración de la campaña”.
