Un especie de amenazas previamente indocumentado en línea con China denominado LongNosedGoblin se ha atribuido a una serie de ataques cibernéticos dirigidos a entidades gubernamentales en el sudeste oriental y Japón.
El objetivo final de estos ataques es el ciberespionaje, afirmó la empresa eslovaca de ciberseguridad ESET en un noticia publicado hoy. Se ha evaluado que el especie de actividad de amenazas está activo desde al menos septiembre de 2023.
“LongNosedGoblin utiliza la Política de especie para implementar malware en la red comprometida y servicios en la aglomeración (por ejemplo, Microsoft OneDrive y Google Drive) como servidores de comando y control (C&C)”, dijeron los investigadores de seguridad Anton Cherepanov y Peter Strýček.
La política de especie es un mecanismo para dirigir la configuración y los permisos en máquinas con Windows. Según Microsoft, la Política de especie se puede utilizar para concretar configuraciones para grupos de usuarios y computadoras cliente, así como para dirigir computadoras servidor.
Los ataques se caracterizan por el uso de un variado conjunto de herramientas personalizadas que consiste principalmente en aplicaciones C#/.NET.
- NosyHistorian, para compendiar el historial del navegador de Google Chrome, Microsoft Edge y Mozilla Firefox
- NosyDoor, una puerta trasera que utiliza Microsoft OneDrive como C&C y ejecuta comandos que le permiten filtrar archivos, eliminar archivos y ejecutar comandos de shell
- NosyStealer, para filtrar datos del navegador de Google Chrome y Microsoft Edge a Google Drive en forma de un archivo TAR enigmático
- NosyDownloader, para descargar y ejecutar una carga útil en la memoria, como NosyLogger
- NosyLogger, una lectura modificada de DuckSharp que se utiliza para registrar pulsaciones de teclas
 |
| Sujeción de ejecución de NosyDoor |
ESET dijo que detectó por primera vez actividad asociada con el especie de piratas informáticos en febrero de 2024 en un sistema de una entidad ministerial en el sudeste oriental y finalmente descubrió que se utilizó la Política de especie para entregar el malware a múltiples sistemas de la misma ordenamiento. Actualmente se desconocen los métodos exactos de ataque original utilizados en los ataques.
Un observación más detallado ha determinado que, si perfectamente muchas víctimas se vieron afectadas por NosyHistorian entre enero y marzo de 2024, solo un subconjunto de estas víctimas fueron infectadas con NosyDoor, lo que indica un enfoque más específico. En algunos casos, se ha descubierto que el cuentagotas utilizado para implementar la puerta trasera mediante la inyección de AppDomainManager contiene “barandillas de seguridad de ejecución” que están diseñadas para localizar la operación a las máquinas de las víctimas específicas.
LongNosedGoblin asimismo emplea otras herramientas como un proxy SOCKS5 inverso, una utilidad que se utiliza para ejecutar una grabadora de video para capturar audio y video, y un cargador Cobalt Strike.
La compañía de ciberseguridad señaló que el oficio del actor de amenazas comparte tenues superposiciones con grupos rastreados como ToddyCat y Erudite Mogwai, pero enfatizó la descuido de evidencia definitiva que los vincule. Dicho esto, las similitudes entre NosyDoor y LuckyStrike Agent y la presencia de la frase “Traducción paga” en la ruta PDB de LuckyStrike Agent han planteado la posibilidad de que el malware pueda venderse o licenciarse a otros actores de amenazas.
“Más tarde identificamos otro caso de una transformación de NosyDoor dirigida a una ordenamiento en un país de la UE, empleando una vez más diferentes TTP y utilizando el servicio en la aglomeración Yandex Disk como servidor C&C”, señalaron los investigadores. “El uso de esta transformación NosyDoor sugiere que el malware puede compartirse entre múltiples grupos de amenazas alineados con China”.
