Un actor de amenazas persistentes avanzadas (APT) vinculado a China ha estado apuntando a infraestructuras de telecomunicaciones críticas en América del Sur desde 2024, apuntando a sistemas Windows y Linux y dispositivos de borde con tres implantes diferentes.
Cisco Talos está rastreando la actividad bajo el nombre de UAT-9244describiéndolo como estrechamente asociado con otro género conocido como FamousSparrow.
Vale la pena señalar que se considera que FamousSparrow comparte superposiciones tácticas con Salt Typhoon, un género de espionaje del trabazón con China conocido por apuntar a proveedores de servicios de telecomunicaciones. A pesar de la huella similar entre UAT-9244 y Salt Typhoon, no hay evidencia concluyente que vincule a los dos grupos.
En la campaña analizada por la empresa de ciberseguridad, se descubrió que las cadenas de ataque distribuyen tres implantes previamente no documentados: TernDoor dirigido a Windows, PeerTime (todavía conocido como Angrypeer) dirigido a Linux y BruteEntry, que se instala en dispositivos de borde de red.
Se desconoce el método de acercamiento original exacto utilizado en los ataques, aunque el adversario se ha dirigido previamente a sistemas que ejecutan versiones obsoletas de Windows Server y Microsoft Exchange Server para exhalar shells web para actividades posteriores.
TernDoor se implementa mediante carga anexo de DLL, aprovechando el ejecutable genuino “wsprint.exe” para iniciar una DLL maliciosa (“BugSplatRc64.dll”) que descifra y ejecuta la carga útil final en la memoria. Se dice que UAT-9244 ha utilizado la puerta trasera, una variación de Crowdoor (en sí misma una variación de SparrowDoor), desde al menos noviembre de 2024.
Establece persistencia en el host mediante una tarea programada o la esencia Ejecutar registro. Asimismo presenta diferencias con CrowDoor al utilizar un conjunto dispar de códigos de comando e incorporar un regulador de Windows para suspender, reanudar y finalizar procesos. Por otra parte, solo admite un modificador de radio de comandos (“-u”) para desinstalarse del host y eliminar todos los artefactos asociados.
Una vez iniciado, ejecuta una comprobación para comprobar de que se haya inyectado en “msiexec.exe”, a posteriori de lo cual decodifica una configuración para extraer los parámetros de comando y control (C2). Luego, establece comunicación con el servidor C2, lo que le permite crear procesos, ejecutar comandos arbitrarios, repasar/escribir archivos, compendiar información del sistema e implementar el regulador para ocultar componentes maliciosos y ordenar procesos.
Un investigación más detallado de la infraestructura del UAT-9244 ha llevado al descubrimiento de una puerta trasera de igual a igual (P2P) de Linux denominada PeerTime, que está compilada para varias arquitecturas (es opinar, ARM, AARCH, PPC y MIPS) para infectar una variedad de sistemas integrados. La puerta trasera ELF, anejo con un binario de aparato, se implementa mediante un script de shell.
“El binario Instrumentor ELF comprobará la presencia de Docker en el host comprometido utilizando los comandos docker y docker –q”, dijeron los investigadores de Talos Asheer Malhotra y Brandon White. “Si se encuentra Docker, se ejecuta el cargador PeerTime. El aparato consta de cadenas de depuración en chino simplificado, lo que indica que es un binario personalizado creado e implementado por actores de amenazas de deje china”.
El objetivo principal del cargador es descifrar y descomprimir la carga útil final de PeerTime y ejecutarla directamente en la memoria. PeerTime viene en dos versiones: una interpretación escrita en C/C++ y una variación más nueva programada en Rust. Por otra parte de tener la capacidad de cambiarse el nombre a sí mismo como un proceso inofensivo para eludir la detección, la puerta trasera emplea el protocolo BitTorrent para obtener información C2, descargar archivos de sus pares y ejecutarlos en el sistema comprometido.
Asimismo se encuentran en los servidores del actor de amenazas un conjunto de scripts de shell y cargas avíos, incluido un escáner de fuerza bruta con nombre en código BruteEntry que se instala en dispositivos perimetrales para convertirlos en nodos proxy de escaneo masivo en el interior de una Operational Relay Box (ORB) capaz de forzar servidores Postgres, SSH y Tomcat por fuerza bruta.
Esto se logra mediante un script de shell que coloca dos componentes basados en Golang: un orquestador que entrega BruteEntry, que luego contacta a un servidor C2 para obtener la directorio de direcciones IP a las que se dirigirán los ataques de fuerza bruta. En última instancia, la puerta trasera informa los inicios de sesión exitosos al servidor C2.
“El ‘éxito’ indica si la fuerza bruta tuvo éxito (definitivo o falsificado), y las ‘notas’ proporcionan información específica sobre si la fuerza bruta tuvo éxito”, dijo Talos. “Si el inicio de sesión falló, la nota dice ‘Se intentaron todas las credenciales'”.
