Una supuesta operación de ciberespionaje con sede en China se ha dirigido a organizaciones militares del sudeste asiático como parte de una campaña patrocinada por el Estado que se remonta al menos a 2020.
La Unidad 42 de Palo Alto Networks está rastreando la actividad de amenazas bajo el apodo CL-STA-1087donde CL se refiere a grupo y STA significa motivación respaldada por el estado.
«La actividad demostró paciencia operativa estratégica y un enfoque en la recopilación de inteligencia muy específica, en lugar del robo masivo de datos», dijeron los investigadores de seguridad Lior Rochberger y Yoav Zemah. «Los atacantes detrás de este grupo buscaron y recopilaron activamente archivos muy específicos sobre capacidades militares, estructuras organizativas y esfuerzos de colaboración con las fuerzas armadas occidentales».
La campaña exhibe características comúnmente asociadas con operaciones avanzadas de amenazas persistentes (APT), incluidos métodos de entrega cuidadosamente diseñados, estrategias de evasión de defensa, infraestructura operativa altamente estable e implementación de carga útil personalizada diseñada para respaldar el acceso no autorizado sostenido a sistemas comprometidos.
Las herramientas utilizadas por el actor de amenazas en la actividad maliciosa incluyen puertas traseras llamadas AppleChris y MemFun, y un recolector de credenciales llamado Getpass.
El proveedor de ciberseguridad dijo que detectó la intrusión después de identificar una ejecución sospechosa de PowerShell, lo que permitió que el script entrara en estado de suspensión durante seis horas y luego creara shells inversos para un servidor de comando y control (C2) controlado por el actor de amenazas. Aún se desconoce el vector de acceso inicial exacto utilizado en el ataque.
La secuencia de infección implica la implementación de AppleChris, cuyas diferentes versiones se colocan en los puntos finales de destino luego del movimiento lateral para mantener la persistencia y evadir la detección basada en firmas. También se ha observado a los actores de amenazas realizando búsquedas relacionadas con actas de reuniones oficiales, actividades militares conjuntas y evaluaciones detalladas de las capacidades operativas.
«Los atacantes mostraron particular interés en archivos relacionados con estructuras y estrategias organizativas militares, incluidos sistemas de comando, control, comunicaciones, computadoras e inteligencia (C4I)», señalaron los investigadores.
Tanto las variantes de AppleChris como MemFun están diseñadas para acceder a una cuenta compartida de Pastebin, que actúa como un solucionador muerto para recuperar la dirección C2 real almacenada en formato decodificado en Base64. Una versión de AppleChris también depende de Dropbox para extraer la información C2, con el enfoque basado en Pastebin utilizado como opción alternativa. Las pastas Pastebin datan de septiembre de 2020.
Lanzado mediante secuestro de DLL, AppleChris inicia contacto con el servidor C2 para recibir comandos que le permiten realizar enumeraciones de unidades, listados de directorios, carga/descarga/eliminación de archivos, enumeración de procesos, ejecución remota de shell y creación silenciosa de procesos.
La segunda variante del tunelizador representa una evolución de su predecesor, utilizando solo Pastebin para obtener la dirección C2, además de introducir capacidades avanzadas de proxy de red.
«Para eludir los sistemas de seguridad automatizados, algunas de las variantes de malware emplean tácticas de evasión de espacio aislado en tiempo de ejecución», dijo la Unidad 42. «Estas variantes desencadenan una ejecución retrasada a través de temporizadores de suspensión de 30 segundos (EXE) y 120 segundos (DLL), lo que dura más que las típicas ventanas de monitoreo de los entornos aislados automatizados».
MemFun se inicia mediante una cadena de varias etapas: un cargador inicial inyecta un código shell responsable de iniciar un descargador en memoria, cuyo objetivo principal es recuperar los detalles de configuración de C2 de Pastebin, comunicarse con el servidor C2 y obtener una DLL que, a su vez, activa la ejecución de la puerta trasera.
Dado que la DLL se obtiene del C2 en tiempo de ejecución, les brinda a los actores de amenazas la capacidad de entregar fácilmente otras cargas útiles sin tener que cambiar nada. Este comportamiento transforma a MemFun en una plataforma de malware modular en lugar de una puerta trasera estática como AppleChris.
La ejecución de MemFun comienza con un cuentagotas que ejecuta comprobaciones antiforenses antes de alterar su propia marca de tiempo de creación de archivos para que coincida con la hora de creación del directorio del sistema de Windows. Posteriormente, inyecta la carga útil principal en la memoria de un proceso suspendido asociado con «dllhost.exe» utilizando una técnica conocida como vaciado de procesos.
Al hacerlo, el malware se ejecuta bajo la apariencia de un proceso legítimo de Windows para pasar desapercibido y evitar dejar artefactos adicionales en el disco.
También se utiliza en los ataques una versión personalizada de Mimikatz conocida como Getpass que aumenta los privilegios e intenta extraer contraseñas de texto plano, hashes NTLM y datos de autenticación directamente desde la memoria del proceso «lsass.exe».
«El actor de amenazas detrás del clúster demostró paciencia operativa y conciencia de seguridad», concluyó la Unidad 42. «Mantuvieron el acceso inactivo durante meses mientras se concentraban en la recopilación de inteligencia de precisión e implementaban sólidas medidas de seguridad operativa para garantizar la longevidad de la campaña».