El liga cibernético de espionaje vinculado a China rastreó como Apt41 se ha atribuido a una nueva campaña dirigida a los servicios de TI del gobierno en la región africana.
“Los atacantes usaron nombres codificados de servicios internos, direcciones IP y servidores proxy integrados internamente de su malware”, dijeron los investigadores de Kaspersky Denis Kulik y Daniil Pogorelov. “Uno de los C2 (servidores de comando y control) fue un servidor de SharePoint cautivo internamente de la infraestructura de la víctima”.
APT41 es el apodo asignado a un prolífico liga chino de piratería-estatal-estatal que es conocido por apuntar a organizaciones que abarcan múltiples sectores, incluidos proveedores de telecomunicaciones y energía, instituciones educativas, organizaciones de atención médica y compañías de energía de TI en más de tres docenas de países.
Lo que hace que la campaña sea importante es su enfoque en África, que, como señaló el proveedor de ciberseguridad ruso, “había experimentado la pequeño actividad” de este actor de amenaza específica. Dicho esto, los hallazgos se alinean con observaciones anteriores de Trend Micro que el continente se ha antitético en su mira desde finales de 2022.
Kaspersky dijo que comenzó una investigación a posteriori de que encontró una “actividad sospechosa” en múltiples estaciones de trabajo asociadas con una infraestructura de TI de una ordenamiento no identificada que involucraba a los atacantes ejecutando comandos para determinar la disponibilidad de su servidor C2, ya sea directamente o mediante un servidor proxy interno internamente de la entidad comprometida.
“La fuente de la actividad sospechosa resultó ser un huésped sin monitorear que se había gastado comprometido”, señalaron los investigadores. “Impacket se ejecutó en el contexto de una cuenta de servicio. Luego de que los módulos Atexec y WMIEXEC terminaron de funcionar, los atacantes suspendieron temporalmente sus operaciones”.
Poco a posteriori, se dice que los atacantes cosecharon credenciales asociadas con cuentas privilegiadas para solucionar la ascensión de privilegios y el movimiento pegado, en última instancia, desplegando huelga de cobalto para la comunicación C2 utilizando la carga pegado de DLL.
Las DLL maliciosas incorporan un cheque para repasar los paquetes de idiomas instalados en el host y continúan con la ejecución solo si no se detectan los siguientes paquetes de idiomas: japonés, coreano (Corea del Sur), chino (China continental) y chino (Taiwán).
El ataque además se caracteriza por el uso de un servidor de SharePoint pirateado para fines C2, utilizándolo para dirigir comandos que se ejecutan por un malware basado en C#cargado a los hosts de las víctimas.
“Distribuyeron archivos nombrados agentes.exe y agentex.exe a través del protocolo SMB para comunicarse con el servidor”, explicó Kaspersky. “Cada uno de estos archivos es en ingenuidad un C# troyano cuya función principal es ejecutar comandos que recibe de un shell web llamado CommandHandler.aspx, que está instalado en el servidor de SharePoint”.
Este método combina la implementación tradicional de malware con tácticas de vida de la tierra, donde los servicios de confianza como SharePoint se convierten en canales de control encubiertos. Estos comportamientos se alinean con las técnicas categorizadas en MITER ATT & CK, incluidos T1071.001 (protocolos web) y T1047 (WMI), lo que hace que sean difíciles de detectar utilizando herramientas basadas en la firma solas.
Encima, los actores de amenaza han sido vistos que llevan a angla una actividad de seguimiento en máquinas consideradas valiosas examen original. Esto se logra ejecutando un comando cmd.exe para descargar desde un apelación forastero un archivo de aplicación html maliciosa (HTA) que contiene JavaScript integrado y ejecutarlo usando mshta.exe.
Actualmente se desconoce la naturaleza exacta de la carga útil entregada a través de la URL externa, un dominio que se hace producirse por GitHub (“Github.githubassets (.) Neto”) para sortear la detección. Sin incautación, un descomposición de uno de los scripts distribuidos previamente muestra que está diseñado para crear un caparazón inversa, otorgando así a los atacantes la capacidad de ejecutar comandos en el sistema infectado.
Todavía se usan en los ataques de los ataques y las utilidades de cosecha de credenciales para compendiar datos confidenciales y exfiltrar los detalles a través del servidor de SharePoint. Algunas de las herramientas implementadas por el adversario se enumeran a continuación –
- Pilandas, aunque una interpretación modificada, para robar credenciales de navegadores, bases de datos y utilidades administrativas como Mobaxterm; código fuente; capturas de pantalla; sesiones de chat y datos; mensajes de correo electrónico; Sesiones SSH y FTP; Índice de aplicaciones instaladas; salida de los comandos SystemInfo y TaskSist; e información de la cuenta de aplicaciones de chat y clientes de correo electrónico
- Consulte para robar información sobre archivos descargados y datos de maleable de crédito guardados en navegadores web como Yandex, Opera, OperaGX, Vivaldi, Google Chrome, Brave y CốC CốC.
- RawCopy para copiar archivos de registro sin procesar
- Mimikatz para volcar las credenciales de la cuenta
“Los atacantes ejercen una amplia variedad de herramientas personalizadas y disponibles públicamente”, dijo Kaspersky. “Específicamente, utilizan herramientas de prueba de penetración como Cobalt Strike en varias etapas de un ataque”.
“Los atacantes se adaptan rápidamente a la infraestructura de su objetivo, actualizando sus herramientas maliciosas para tener en cuenta características específicas. Incluso pueden emplear los servicios internos para la comunicación C2 y la exfiltración de datos”.
Esta operación además destaca la recta borrosa entre las herramientas del equipo rojo y la simulación adversaria del mundo actual, donde los actores de amenaza usan marcos públicos como Impacket, Mimikatz y Cobalt Strike inmediato con implantes personalizados. Estas superposiciones plantean desafíos para los equipos de detección centrados en el movimiento pegado, el ataque a las credenciales y la diversión de defensa en los entornos de Windows.
