Según un nuevo referencia de la firma de respuesta de incidentes, Sygnia, una importante compañía de telecomunicaciones importante ubicada en Asia fue violada por los piratas informáticos patrocinados por el estado que pasaron más de cuatro primaveras internamente de sus sistemas.
La compañía de ciberseguridad está rastreando la actividad bajo el nombre Hormiga de tejedordescribiendo al actor de amenaza como sigiloso y en extremo persistente. No se reveló el nombre del proveedor de telecomunicaciones.
“Usando proyectiles web y túneles, los atacantes mantuvieron la persistencia y facilitaron el espionaje cibernético”, dijo Sygnia. “El clase detrás de esta intrusión (…) tenía como objetivo obtener y surtir el comunicación continuo a los proveedores de telecomunicaciones y favorecer el espionaje cibernético mediante la compilación de información confidencial”.
Se dice que la dependencia de ataque implicó la explotación de una aplicación pública para soltar dos proyectiles web diferentes, una variable encriptada del helicóptero de China y una útil maliciosa previamente indocumentada denominada InMemory. Vale la pena señalar que China Chopper ha sido utilizado por múltiples grupos de piratería chinos en el pasado.
InMemory, como su nombre lo indica, está diseñado para decodificar una dependencia codificada de Base64 y ejecutarla completamente en la memoria sin escribirlo en el disco, sin dejar un sendero forense.
“El shell web ‘InMemory’ ejecutó el código C# contenido internamente de un ejecutable portátil (PE) llamado ‘Eval.dll’, que finalmente ejecuta la carga útil entregada a través de una solicitud HTTP”, dijo Sygnia.
Se ha antitético que los proyectiles web actúan como un trampolín para entregar cargas avíos de la próxima etapa, siendo la más trascendente una útil de túnel HTTP recursiva que se utiliza para favorecer el movimiento adjunto sobre SMB, una táctica previamente adoptada por otros actores de amenaza como el escarabajo elefante.
Encima, el tráfico encriptado que pasa a través del túnel de shell web sirve como un conducto para realizar una serie de acciones posteriores a la explotación, que incluyen –
- El rastreo de eventos de parcheo para Windows (ETW) y la interfaz de escaneo de antimalware (AMSI) para evitar la detección
- Uso de System.Management.Automation.dll para ejecutar los comandos de PowerShell sin iniciar PowerShell.exe, y
- Ejecución de comandos de gratitud contra el entorno de Active Directory comprometido para identificar cuentas de parada privilegio y servidores críticos
Sygnia dijo que Weaver Ant exhibe sellos distintivos típicamente asociados con un clase de espionaje cibernético de China-Nexus correcto a los patrones de orientación y los objetivos “admisiblemente definidos” de la campaña.
Este enlace asimismo se evidencia por la presencia de China Chopper Web Shell, el uso de una red de caja de relevos operativos (ORB) que comprende enrutadores Zyxel para representar el tráfico y oscurece su infraestructura, las horas de trabajo de los piratas informáticos y el despliegue de un respaldo basado en una luz atribuida anteriormente al Comisionado Panda.
“A lo liberal de este período, Weaver Ant adaptó sus TTP al entorno de red en crecimiento, empleando métodos innovadores para recuperar el comunicación y surtir su punto de apoyo”, dijo la compañía. “El modus operandi de los conjuntos de intrusos chino-nexo generalmente implica compartir herramientas, infraestructura y ocasionalmente mano de obra, como a través de contratistas compartidos”.
China identifica a 4 piratas informáticos taiwaneses supuestamente detrás del espionaje
La divulgación se produce días a posteriori de que el Profesión de Seguridad del Estado de China (MSS) acusó a cuatro personas supuestamente vinculadas al ejército de Taiwán de realizar ataques cibernéticos contra el continente. Taiwán ha refutado las acusaciones.
El MSS dijo que los cuatro individuos son miembros del Comando de Información, Comunicaciones y Fuerza Electrónica de Taiwán (ICEFCOM), y que la entidad participa en ataques de phishing, correos electrónicos de propaganda dirigidos a agencias gubernamentales y militares, y campañas de desinformación utilizando apodo de redes sociales.
Igualmente se alega que las intrusiones han involucrado el uso extensivo de herramientas de código hendido como el shell web de Antsword, ICESCorpion, MetaSploit y Radiofuente Rat.
“El ‘Comando de Información, Comunicaciones y Fuerza Electrónica’ ha contratado específicamente a hackers y compañías de ciberseguridad como apoyo foráneo para ejecutar las directivas de extirpación cibernética emitidas por las autoridades del Partido Progresista Tolerante (DPP)”, dijo. “Sus actividades incluyen espionaje, boicot y propaganda”.
Coincidiendo con la enunciación de MSS, las empresas chinas de seguridad cibernética Qianxin y Antiy tienen ataques detallados de phishing de pica orquestados por un actor de amenaza taiwanesa en el actor de nombre en código APT-Q-20 (asimismo conocido como APT-C-01, Greenspot, VenenE Cloud Vine y White White Dolphin) que conducen a la pareja de A C ++ Trojan y comandos (C2) (C2). Sliver.
Otros métodos de comunicación original implican la explotación de vulnerabilidades de seguridad del día N y contraseñas débiles en dispositivos de Internet de las cosas como enrutadores, cámaras y firewalls, agregó Qianxin, caracterizando las actividades del actor de amenaza como “no particularmente inteligentes”.
