Según un nuevo referencia de la firma de respuesta de incidentes, Sygnia, una importante compañía de telecomunicaciones importante ubicada en Asia fue violada por los piratas informáticos patrocinados por el estado que pasaron más de cuatro abriles interiormente de sus sistemas.
La compañía de ciberseguridad está rastreando la actividad bajo el nombre Hormiga de tejedordescribiendo al actor de amenaza como sigiloso y en gran medida persistente. No se reveló el nombre del proveedor de telecomunicaciones.
«Usando proyectiles web y túneles, los atacantes mantuvieron la persistencia y facilitaron el espionaje cibernético», dijo Sygnia. «El orden detrás de esta intrusión (…) tenía como objetivo obtener y persistir el paso continuo a los proveedores de telecomunicaciones y favorecer el espionaje cibernético mediante la compilación de información confidencial».
Se dice que la cautiverio de ataque implicó la explotación de una aplicación pública para soltar dos proyectiles web diferentes, una transformación encriptada del helicóptero de China y una útil maliciosa previamente indocumentada denominada InMemory. Vale la pena señalar que China Chopper ha sido utilizado por múltiples grupos de piratería chinos en el pasado.
InMemory, como su nombre lo indica, está diseñado para decodificar una cautiverio codificada de Base64 y ejecutarla completamente en la memoria sin escribirlo en el disco, sin dejar un sendero forense.
«El shell web ‘InMemory’ ejecutó el código C# contenido interiormente de un ejecutable portátil (PE) llamado ‘Eval.dll’, que finalmente ejecuta la carga útil entregada a través de una solicitud HTTP», dijo Sygnia.
Se ha antitético que los proyectiles web actúan como un trampolín para entregar cargas efectos de la próxima etapa, siendo la más sobresaliente una útil de túnel HTTP recursiva que se utiliza para favorecer el movimiento colateral sobre SMB, una táctica previamente adoptada por otros actores de amenaza como el escarabajo elefante.
Adicionalmente, el tráfico encriptado que pasa a través del túnel de shell web sirve como un conducto para realizar una serie de acciones posteriores a la explotación, que incluyen –
- El rastreo de eventos de parcheo para Windows (ETW) y la interfaz de escaneo de antimalware (AMSI) para evitar la detección
- Uso de System.Management.Automation.dll para ejecutar los comandos de PowerShell sin iniciar PowerShell.exe, y
- Ejecución de comandos de gratitud contra el entorno de Active Directory comprometido para identificar cuentas de stop privilegio y servidores críticos
Sygnia dijo que Weaver Ant exhibe sellos distintivos típicamente asociados con un orden de espionaje cibernético de China-Nexus oportuno a los patrones de orientación y los objetivos «correctamente definidos» de la campaña.
Este enlace asimismo se evidencia por la presencia de China Chopper Web Shell, el uso de una red de caja de relevos operativos (ORB) que comprende enrutadores Zyxel para representar el tráfico y oscurece su infraestructura, las horas de trabajo de los piratas informáticos y el despliegue de un respaldo basado en una luz atribuida anteriormente al Delegado Panda.
«A lo generoso de este período, Weaver Ant adaptó sus TTP al entorno de red en desarrollo, empleando métodos innovadores para recuperar el paso y persistir su punto de apoyo», dijo la compañía. «El modus operandi de los conjuntos de intrusos chino-nexo generalmente implica compartir herramientas, infraestructura y ocasionalmente mano de obra, como a través de contratistas compartidos».
China identifica a 4 piratas informáticos taiwaneses supuestamente detrás del espionaje
La divulgación se produce días luego de que el Ocupación de Seguridad del Estado de China (MSS) acusó a cuatro personas supuestamente vinculadas al ejército de Taiwán de realizar ataques cibernéticos contra el continente. Taiwán ha refutado las acusaciones.
El MSS dijo que los cuatro individuos son miembros del Comando de Información, Comunicaciones y Fuerza Electrónica de Taiwán (ICEFCOM), y que la entidad participa en ataques de phishing, correos electrónicos de propaganda dirigidos a agencias gubernamentales y militares, y campañas de desinformación utilizando apodo de redes sociales.
Asimismo se alega que las intrusiones han involucrado el uso extensivo de herramientas de código extenso como el shell web de Antsword, ICESCorpion, MetaSploit y Radiofuente Rat.
«El ‘Comando de Información, Comunicaciones y Fuerza Electrónica’ ha contratado específicamente a hackers y compañías de ciberseguridad como apoyo foráneo para ejecutar las directivas de combate cibernética emitidas por las autoridades del Partido Progresista Demócrata (DPP)», dijo. «Sus actividades incluyen espionaje, boicoteo y propaganda».
Coincidiendo con la exposición de MSS, las empresas chinas de seguridad cibernética Qianxin y Antiy tienen ataques detallados de phishing de garrocha orquestados por un actor de amenaza taiwanesa en el actor de nombre en código APT-Q-20 (asimismo conocido como APT-C-01, Greenspot, VenenE Cloud Vine y White White Dolphin) que conducen a la pareja de A C ++ Trojan y comandos (C2) (C2). Sliver.
Otros métodos de paso auténtico implican la explotación de vulnerabilidades de seguridad del día N y contraseñas débiles en dispositivos de Internet de las cosas como enrutadores, cámaras y firewalls, agregó Qianxin, caracterizando las actividades del actor de amenaza como «no particularmente inteligentes».
