El congregación cibernético de espionaje vinculado a China rastreó como Apt41 se ha atribuido a una nueva campaña dirigida a los servicios de TI del gobierno en la región africana.
«Los atacantes usaron nombres codificados de servicios internos, direcciones IP y servidores proxy integrados interiormente de su malware», dijeron los investigadores de Kaspersky Denis Kulik y Daniil Pogorelov. «Uno de los C2 (servidores de comando y control) fue un servidor de SharePoint cautivo interiormente de la infraestructura de la víctima».
APT41 es el apodo asignado a un prolífico congregación chino de piratería-estatal-estatal que es conocido por apuntar a organizaciones que abarcan múltiples sectores, incluidos proveedores de telecomunicaciones y energía, instituciones educativas, organizaciones de atención médica y compañías de energía de TI en más de tres docenas de países.
Lo que hace que la campaña sea sobresaliente es su enfoque en África, que, como señaló el proveedor de ciberseguridad ruso, «había experimentado la beocio actividad» de este actor de amenaza específica. Dicho esto, los hallazgos se alinean con observaciones anteriores de Trend Micro que el continente se ha enfrentado en su mira desde finales de 2022.
Kaspersky dijo que comenzó una investigación posteriormente de que encontró una «actividad sospechosa» en múltiples estaciones de trabajo asociadas con una infraestructura de TI de una ordenamiento no identificada que involucraba a los atacantes ejecutando comandos para determinar la disponibilidad de su servidor C2, ya sea directamente o mediante un servidor proxy interno interiormente de la entidad comprometida.
«La fuente de la actividad sospechosa resultó ser un huésped sin monitorear que se había trillado comprometido», señalaron los investigadores. «Impacket se ejecutó en el contexto de una cuenta de servicio. Posteriormente de que los módulos Atexec y WMIEXEC terminaron de funcionar, los atacantes suspendieron temporalmente sus operaciones».
Poco posteriormente, se dice que los atacantes cosecharon credenciales asociadas con cuentas privilegiadas para solucionar la ascenso de privilegios y el movimiento pegado, en última instancia, desplegando huelga de cobalto para la comunicación C2 utilizando la carga pegado de DLL.
Las DLL maliciosas incorporan un cheque para confirmar los paquetes de idiomas instalados en el host y continúan con la ejecución solo si no se detectan los siguientes paquetes de idiomas: japonés, coreano (Corea del Sur), chino (China continental) y chino (Taiwán).
El ataque además se caracteriza por el uso de un servidor de SharePoint pirateado para fines C2, utilizándolo para expedir comandos que se ejecutan por un malware basado en C#cargado a los hosts de las víctimas.
«Distribuyeron archivos nombrados agentes.exe y agentex.exe a través del protocolo SMB para comunicarse con el servidor», explicó Kaspersky. «Cada uno de estos archivos es en existencia un C# troyano cuya función principal es ejecutar comandos que recibe de un shell web llamado CommandHandler.aspx, que está instalado en el servidor de SharePoint».
Este método combina la implementación tradicional de malware con tácticas de vida de la tierra, donde los servicios de confianza como SharePoint se convierten en canales de control encubiertos. Estos comportamientos se alinean con las técnicas categorizadas en MITER ATT & CK, incluidos T1071.001 (protocolos web) y T1047 (WMI), lo que hace que sean difíciles de detectar utilizando herramientas basadas en la firma solas.
Adicionalmente, los actores de amenaza han sido vistos que llevan a extremidad una actividad de seguimiento en máquinas consideradas valiosas agradecimiento auténtico. Esto se logra ejecutando un comando cmd.exe para descargar desde un apelación foráneo un archivo de aplicación html maliciosa (HTA) que contiene JavaScript integrado y ejecutarlo usando mshta.exe.
Actualmente se desconoce la naturaleza exacta de la carga útil entregada a través de la URL externa, un dominio que se hace producirse por GitHub («Github.githubassets (.) Neto») para sortear la detección. Sin secuestro, un prospección de uno de los scripts distribuidos previamente muestra que está diseñado para producir un caparazón inversa, otorgando así a los atacantes la capacidad de ejecutar comandos en el sistema infectado.
Además se usan en los ataques de los ataques y las utilidades de convento de credenciales para compilar datos confidenciales y exfiltrar los detalles a través del servidor de SharePoint. Algunas de las herramientas implementadas por el adversario se enumeran a continuación –
- Pilandas, aunque una interpretación modificada, para robar credenciales de navegadores, bases de datos y utilidades administrativas como Mobaxterm; código fuente; capturas de pantalla; sesiones de chat y datos; mensajes de correo electrónico; Sesiones SSH y FTP; Inventario de aplicaciones instaladas; salida de los comandos SystemInfo y TaskSist; e información de la cuenta de aplicaciones de chat y clientes de correo electrónico
- Consulte para robar información sobre archivos descargados y datos de polímero de crédito guardados en navegadores web como Yandex, Opera, OperaGX, Vivaldi, Google Chrome, Brave y CốC CốC.
- RawCopy para copiar archivos de registro sin procesar
- Mimikatz para volcar las credenciales de la cuenta
«Los atacantes ejercen una amplia viso de herramientas personalizadas y disponibles públicamente», dijo Kaspersky. «Específicamente, utilizan herramientas de prueba de penetración como Cobalt Strike en varias etapas de un ataque».
«Los atacantes se adaptan rápidamente a la infraestructura de su objetivo, actualizando sus herramientas maliciosas para tener en cuenta características específicas. Incluso pueden beneficiarse los servicios internos para la comunicación C2 y la exfiltración de datos».
Esta operación además destaca la carrera borrosa entre las herramientas del equipo rojo y la simulación adversaria del mundo auténtico, donde los actores de amenaza usan marcos públicos como Impacket, Mimikatz y Cobalt Strike adjunto con implantes personalizados. Estas superposiciones plantean desafíos para los equipos de detección centrados en el movimiento pegado, el camino a las credenciales y la entretenimiento de defensa en los entornos de Windows.
