El grupo cibernético de espionaje vinculado a China rastreó como Apt41 se ha atribuido a una nueva campaña dirigida a los servicios de TI del gobierno en la región africana.
«Los atacantes usaron nombres codificados de servicios internos, direcciones IP y servidores proxy integrados dentro de su malware», dijeron los investigadores de Kaspersky Denis Kulik y Daniil Pogorelov. «Uno de los C2 (servidores de comando y control) fue un servidor de SharePoint cautivo dentro de la infraestructura de la víctima».
APT41 es el apodo asignado a un prolífico grupo chino de piratería-estatal-estatal que es conocido por apuntar a organizaciones que abarcan múltiples sectores, incluidos proveedores de telecomunicaciones y energía, instituciones educativas, organizaciones de atención médica y compañías de energía de TI en más de tres docenas de países.
Lo que hace que la campaña sea notable es su enfoque en África, que, como señaló el proveedor de ciberseguridad ruso, «había experimentado la menor actividad» de este actor de amenaza específica. Dicho esto, los hallazgos se alinean con observaciones anteriores de Trend Micro que el continente se ha encontrado en su mira desde finales de 2022.
Kaspersky dijo que comenzó una investigación después de que encontró una «actividad sospechosa» en múltiples estaciones de trabajo asociadas con una infraestructura de TI de una organización no identificada que involucraba a los atacantes ejecutando comandos para determinar la disponibilidad de su servidor C2, ya sea directamente o mediante un servidor proxy interno dentro de la entidad comprometida.
«La fuente de la actividad sospechosa resultó ser un huésped sin monitorear que se había visto comprometido», señalaron los investigadores. «Impacket se ejecutó en el contexto de una cuenta de servicio. Después de que los módulos Atexec y WMIEXEC terminaron de funcionar, los atacantes suspendieron temporalmente sus operaciones».
Poco después, se dice que los atacantes cosecharon credenciales asociadas con cuentas privilegiadas para facilitar la escalada de privilegios y el movimiento lateral, en última instancia, desplegando huelga de cobalto para la comunicación C2 utilizando la carga lateral de DLL.
Las DLL maliciosas incorporan un cheque para verificar los paquetes de idiomas instalados en el host y continúan con la ejecución solo si no se detectan los siguientes paquetes de idiomas: japonés, coreano (Corea del Sur), chino (China continental) y chino (Taiwán).
El ataque también se caracteriza por el uso de un servidor de SharePoint pirateado para fines C2, utilizándolo para enviar comandos que se ejecutan por un malware basado en C#cargado a los hosts de las víctimas.
«Distribuyeron archivos nombrados agentes.exe y agentex.exe a través del protocolo SMB para comunicarse con el servidor», explicó Kaspersky. «Cada uno de estos archivos es en realidad un C# troyano cuya función principal es ejecutar comandos que recibe de un shell web llamado CommandHandler.aspx, que está instalado en el servidor de SharePoint».
Este método combina la implementación tradicional de malware con tácticas de vida de la tierra, donde los servicios de confianza como SharePoint se convierten en canales de control encubiertos. Estos comportamientos se alinean con las técnicas categorizadas en MITER ATT & CK, incluidos T1071.001 (protocolos web) y T1047 (WMI), lo que hace que sean difíciles de detectar utilizando herramientas basadas en la firma solas.
Además, los actores de amenaza han sido vistos que llevan a cabo una actividad de seguimiento en máquinas consideradas valiosas reconocimiento inicial. Esto se logra ejecutando un comando cmd.exe para descargar desde un recurso externo un archivo de aplicación html maliciosa (HTA) que contiene JavaScript integrado y ejecutarlo usando mshta.exe.
Actualmente se desconoce la naturaleza exacta de la carga útil entregada a través de la URL externa, un dominio que se hace pasar por GitHub («Github.githubassets (.) Neto») para evadir la detección. Sin embargo, un análisis de uno de los scripts distribuidos previamente muestra que está diseñado para generar un caparazón inversa, otorgando así a los atacantes la capacidad de ejecutar comandos en el sistema infectado.
También se usan en los ataques de los ataques y las utilidades de recolección de credenciales para recopilar datos confidenciales y exfiltrar los detalles a través del servidor de SharePoint. Algunas de las herramientas implementadas por el adversario se enumeran a continuación –
- Pilandas, aunque una versión modificada, para robar credenciales de navegadores, bases de datos y utilidades administrativas como Mobaxterm; código fuente; capturas de pantalla; sesiones de chat y datos; mensajes de correo electrónico; Sesiones SSH y FTP; Lista de aplicaciones instaladas; salida de los comandos SystemInfo y TaskSist; e información de la cuenta de aplicaciones de chat y clientes de correo electrónico
- Consulte para robar información sobre archivos descargados y datos de tarjeta de crédito guardados en navegadores web como Yandex, Opera, OperaGX, Vivaldi, Google Chrome, Brave y CốC CốC.
- RawCopy para copiar archivos de registro sin procesar
- Mimikatz para volcar las credenciales de la cuenta
«Los atacantes ejercen una amplia gama de herramientas personalizadas y disponibles públicamente», dijo Kaspersky. «Específicamente, utilizan herramientas de prueba de penetración como Cobalt Strike en varias etapas de un ataque».
«Los atacantes se adaptan rápidamente a la infraestructura de su objetivo, actualizando sus herramientas maliciosas para tener en cuenta características específicas. Incluso pueden aprovechar los servicios internos para la comunicación C2 y la exfiltración de datos».
Esta operación también destaca la línea borrosa entre las herramientas del equipo rojo y la simulación adversaria del mundo real, donde los actores de amenaza usan marcos públicos como Impacket, Mimikatz y Cobalt Strike junto con implantes personalizados. Estas superposiciones plantean desafíos para los equipos de detección centrados en el movimiento lateral, el acceso a las credenciales y la evasión de defensa en los entornos de Windows.