Los actores de amenaza de procedencia desconocida se han atribuido a una campaña maliciosa dirigida predominantemente a organizaciones en Japón desde enero de 2025.
«El atacante ha explotado la vulnerabilidad CVE-2024-4577, una falla de ejecución de código remoto (RCE) en la implementación de PHP-CGI de PHP en Windows, para obtener acceso inicial a máquinas de víctimas», dijo el investigador de Cisco Talos Chetan Raghuprasad en un informe técnico publicado el jueves.
«El atacante utiliza complementos del kit de huelga de cobalto disponible públicamente ‘Taowu’ para actividades de explotación postales».
Los objetivos de la actividad maliciosa abarcan empresas en sectores de tecnología, telecomunicaciones, entretenimiento, educación y comercio electrónico en Japón.
Todo comienza con la amenaza que los actores que explotan la vulnerabilidad CVE-2024-4577 para obtener acceso inicial y ejecutar scripts de PowerShell para ejecutar la carga útil de shellcode HTTP de Cobalt Strike para otorgarse el acceso remoto persistente al punto final comprometido.
El siguiente paso implica llevar a cabo el reconocimiento, la escalada de privilegios y el movimiento lateral utilizando herramientas como JuicyPotato, Rottenpotato, Sweetpotato, FSCan y Seatbelt. La persistencia adicional se establece a través de modificaciones del registro de Windows, tareas programadas y servicios a medida que utilizan los complementos del kit Cobalt Strike llamado Taowu.
«Para mantener sigiloso, borran registros de eventos utilizando comandos de Wevtutil, eliminando rastros de sus acciones de los registros de seguridad, sistema y aplicaciones de Windows», señaló Raghuprasad. «Eventualmente, ejecutan comandos de Mimikatz para descargar y exfiltrar contraseñas y hashes NTLM de la memoria en la máquina de la víctima».
Los ataques culminan con la tripulación de piratería que roba contraseñas y hashes NTLM de los hosts infectados. Un análisis posterior de los servidores de comando y control (C2) asociados con la herramienta de huelga de cobalto ha revelado que el actor de amenaza dejó los listados de directorio accesibles a través de Internet, exponiendo así el conjunto completo de herramientas y marcos adversos alojados en los servidores de la nube de Alibaba.
Notable entre las herramientas se enumeran a continuación –
- Marco de explotación del navegador (carne de res), un software Pentesting disponible públicamente para ejecutar comandos dentro del contexto del navegador
- Viper C2, un marco modular C2 que facilita la ejecución de comandos remotos y la generación de cargas útiles de shell inverso de meterpreter
- Blue-Lotus, un marco de ataques de scripts de sitios internos de JavaScript webshell (XSS) que permite la creación de cargas útiles de shell web de JavaScript para realizar ataques XSS, capturar capturas de pantalla, obtener shell inverso, robar cookies del navegador y crear nuevas cuentas en el sistema de gestión de contenido (CMS)
«Evaluamos con una confianza moderada de que el motivo del atacante se extiende más allá de la cosecha de credenciales, en función de nuestra observación de otras actividades de explotación posteriores, como establecer la persistencia, elevar al privilegio a nivel del sistema y un acceso potencial a marcos adversos, que indica la probabilidad de ataques futuros», dijo Raghuprasad.