Según un nuevo informe de la firma de respuesta de incidentes, Sygnia, una importante compañía de telecomunicaciones importante ubicada en Asia fue violada por los piratas informáticos patrocinados por el estado que pasaron más de cuatro años dentro de sus sistemas.
La compañía de ciberseguridad está rastreando la actividad bajo el nombre Hormiga de tejedordescribiendo al actor de amenaza como sigiloso y altamente persistente. No se reveló el nombre del proveedor de telecomunicaciones.
«Usando proyectiles web y túneles, los atacantes mantuvieron la persistencia y facilitaron el espionaje cibernético», dijo Sygnia. «El grupo detrás de esta intrusión (…) tenía como objetivo obtener y mantener el acceso continuo a los proveedores de telecomunicaciones y facilitar el espionaje cibernético mediante la recopilación de información confidencial».
Se dice que la cadena de ataque implicó la explotación de una aplicación pública para soltar dos proyectiles web diferentes, una variante encriptada del helicóptero de China y una herramienta maliciosa previamente indocumentada denominada InMemory. Vale la pena señalar que China Chopper ha sido utilizado por múltiples grupos de piratería chinos en el pasado.
InMemory, como su nombre lo indica, está diseñado para decodificar una cadena codificada de Base64 y ejecutarla completamente en la memoria sin escribirlo en el disco, sin dejar un sendero forense.
«El shell web ‘InMemory’ ejecutó el código C# contenido dentro de un ejecutable portátil (PE) llamado ‘Eval.dll’, que finalmente ejecuta la carga útil entregada a través de una solicitud HTTP», dijo Sygnia.
Se ha encontrado que los proyectiles web actúan como un trampolín para entregar cargas útiles de la próxima etapa, siendo la más notable una herramienta de túnel HTTP recursiva que se utiliza para facilitar el movimiento lateral sobre SMB, una táctica previamente adoptada por otros actores de amenaza como el escarabajo elefante.
Además, el tráfico encriptado que pasa a través del túnel de shell web sirve como un conducto para realizar una serie de acciones posteriores a la explotación, que incluyen –
- El rastreo de eventos de parcheo para Windows (ETW) y la interfaz de escaneo de antimalware (AMSI) para evitar la detección
- Uso de System.Management.Automation.dll para ejecutar los comandos de PowerShell sin iniciar PowerShell.exe, y
- Ejecución de comandos de reconocimiento contra el entorno de Active Directory comprometido para identificar cuentas de alto privilegio y servidores críticos
Sygnia dijo que Weaver Ant exhibe sellos distintivos típicamente asociados con un grupo de espionaje cibernético de China-Nexus debido a los patrones de orientación y los objetivos «bien definidos» de la campaña.
Este enlace también se evidencia por la presencia de China Chopper Web Shell, el uso de una red de caja de relevos operativos (ORB) que comprende enrutadores Zyxel para representar el tráfico y oscurece su infraestructura, las horas de trabajo de los piratas informáticos y el despliegue de un respaldo basado en una luz atribuida anteriormente al Emisario Panda.
«A lo largo de este período, Weaver Ant adaptó sus TTP al entorno de red en evolución, empleando métodos innovadores para recuperar el acceso y mantener su punto de apoyo», dijo la compañía. «El modus operandi de los conjuntos de intrusos chino-nexo generalmente implica compartir herramientas, infraestructura y ocasionalmente mano de obra, como a través de contratistas compartidos».
China identifica a 4 piratas informáticos taiwaneses supuestamente detrás del espionaje
La divulgación se produce días después de que el Ministerio de Seguridad del Estado de China (MSS) acusó a cuatro personas supuestamente vinculadas al ejército de Taiwán de realizar ataques cibernéticos contra el continente. Taiwán ha refutado las acusaciones.
El MSS dijo que los cuatro individuos son miembros del Comando de Información, Comunicaciones y Fuerza Electrónica de Taiwán (ICEFCOM), y que la entidad participa en ataques de phishing, correos electrónicos de propaganda dirigidos a agencias gubernamentales y militares, y campañas de desinformación utilizando alias de redes sociales.
También se alega que las intrusiones han involucrado el uso extensivo de herramientas de código abierto como el shell web de Antsword, ICESCorpion, MetaSploit y Quasar Rat.
«El ‘Comando de Información, Comunicaciones y Fuerza Electrónica’ ha contratado específicamente a hackers y compañías de ciberseguridad como apoyo externo para ejecutar las directivas de guerra cibernética emitidas por las autoridades del Partido Progresista Democrático (DPP)», dijo. «Sus actividades incluyen espionaje, sabotaje y propaganda».
Coincidiendo con la declaración de MSS, las empresas chinas de seguridad cibernética Qianxin y Antiy tienen ataques detallados de phishing de lanza orquestados por un actor de amenaza taiwanesa en el actor de nombre en código APT-Q-20 (también conocido como APT-C-01, Greenspot, VenenE Cloud Vine y White White Dolphin) que conducen a la pareja de A C ++ Trojan y comandos (C2) (C2). Sliver.
Otros métodos de acceso inicial implican la explotación de vulnerabilidades de seguridad del día N y contraseñas débiles en dispositivos de Internet de las cosas como enrutadores, cámaras y firewalls, agregó Qianxin, caracterizando las actividades del actor de amenaza como «no particularmente inteligentes».