Thursday, March 28, 2024
Todo sobre la información más reciente


La vereda de la puerta de atras

By Admin , in Tecnología , at diciembre 14, 2021

La vereda de la puerta de atras Las campañas de Grayfly han lanzado el nuevo malware contra empresas en Taiwán, Vietnam, Estados Unidos y México y están dirigidas a servidores Exchange y MySQL.

La novedosa técnica de puerta trasera llamada SideWalk, vista en campañas dirigidas a los medios y minoristas estadounidenses a fines del mes pasado, se ha relacionado con un adversario que existe desde hace bastante tiempo: a saber, el grupo de espionaje Grayfly vinculado a China.

ESET también dijo que la puerta trasera SideWalk es similar a la utilizada por Winnti (también conocido como APT41, Barium, Wicked Panda o Wicked Spider, una APT conocida por el ciberespionaje y el ciberdelito financiero respaldados por el estado nacional) llamada CrossWalk (Backdoor.Motnug). Tanto CrossWalk como SideWalk son puertas traseras modulares que se utilizan para extraer información del sistema y pueden ejecutar el código de shell enviado por el servidor de comando y control (C2).

Boletín Infosec Insiders

Según un informe publicado por Symantec el jueves, el malware SideWalk se ha implementado en campañas recientes de Grayfly contra organizaciones en Taiwán, Vietnam, Estados Unidos y México. El equipo Threat Hunter de Symantec ha observado campañas recientes que han involucrado exploits dirigidos a servidores Exchange y MySQL.

Además de atacar organizaciones en los sectores de TI, medios y finanzas, el grupo también se ha concentrado en el sector de telecomunicaciones, según el informe.

Acusado pero impertérrito
Estados Unidos acusó a varios miembros de APT41 en septiembre de 2020, todos ellos residentes y ciudadanos chinos. Un gran jurado federal los acusó de cometer decenas de delitos, incluido presuntamente facilitar «el robo de código fuente, certificados de firma de código de software, datos de cuentas de clientes e información comercial valiosa», lo que a su vez «facilitó otros esquemas delictivos, incluido el ransomware». y cryptojacking. »

Como dijo el Departamento de Justicia (DOJ) en ese momento, uno de los acusados, Jiang Lizhi, presuntamente se jactaba de tener una «relación de trabajo» con el Ministerio de Seguridad del Estado chino: una relación que le daría a él y a sus presuntos cómplices cierto grado de protección estatal.

Según los investigadores de Symantec, la campaña SideWalk sugiere que los arrestos y la publicidad no pueden haber hecho mella en la actividad del grupo.
Mosca gris molesta
Es posible que conozca mejor a Grayfly por sus también conocidos, que incluyen GREF y Wicked Panda. Symantec dijo que a pesar de que Grayfly APT a veces se etiqueta como APT41, sus investigadores consideran que Grayfly es un brazo distinto de APT41 que se dedica al espionaje. Esto es similar a cómo Symantec rastrea por separado otros subgrupos de APT41, como Blackfly, el brazo de delitos cibernéticos de APT.

Grayfly, un grupo de ataque dirigido, ha existido desde al menos marzo de 2017, utilizando la puerta trasera CrossWalk / Backdoor.Motnug (también conocido como TOMMYGUN). El grupo también ha utilizado un cargador personalizado llamado Trojan.Chattak, Cobalt Strike (también conocido como Trojan.Agentemis, la herramienta legítima y disponible comercialmente utilizada por los probadores de penetración de red y, cada vez más, por los delincuentes) y herramientas auxiliares en sus ataques.

Los investigadores han visto a Grayfly apuntando a varios países de Asia, Europa y América del Norte en una variedad de industrias, que incluyen alimentos, finanzas, atención médica, hotelería, manufactura y telecomunicaciones. Recientemente, ha seguido atormentando a las telecomunicaciones, pero también ha perseguido a los proveedores de servicios de medios, finanzas y TI.

El modus operandi típico de Grayfly es apuntar a servidores web de cara al público para instalar shells web para la intrusión inicial antes de extenderse más dentro de la red, dijo Symantec. Una vez que ha penetrado en una red, Grayfly podría instalar sus puertas traseras personalizadas en más sistemas. Eso les da a los operadores acceso remoto a la red y conexiones proxy que les permiten acceder a segmentos difíciles de alcanzar de la red de un objetivo, según el informe.

Caminando por la acera resbaladiza
Los investigadores de Symantec observaron que en la reciente campaña SideWalk, Grayfly parecía estar particularmente interesado en atacar servidores Microsoft Exchange o MySQL expuestos, sugiriendo que «el vector inicial puede ser la explotación de múltiples vulnerabilidades contra servidores públicos».

De hecho, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) emitió recientemente una alerta urgente sobre un aumento en los ataques ProxyShell, ya que los atacantes lanzaron 140 shells web contra 1.900 servidores de Microsoft Exchange sin parches. Los investigadores de seguridad de Huntress informaron haber visto vulnerabilidades de ProxyShell explotadas activamente durante el mes de agosto para instalar el acceso de puerta trasera una vez que se publicó el código de explotación de ProxyShell el 6 de agosto: unas semanas después, se produjo el aumento.
En al menos uno de los ataques SideWalk que observaron los investigadores de Symantec, la actividad sospechosa de Exchange fue seguida por comandos de PowerShell utilizados para instalar un shell web no identificado. Eso puede sonar familiar, dado que una de las vulnerabilidades que Huntress describió el mes pasado fue CVE-2021-34523: un error que permite a los actores malintencionados ejecutar código arbitrario después de la autenticación en los servidores de Microsoft Exchange debido a una falla en el servicio PowerShell que no valida correctamente. tokens de acceso.

Los atacantes Grayfly ejecutaron la puerta trasera maliciosa SideWalk después de que se instaló el shell web. Luego, implementaron una versión personalizada de la herramienta de descarga de credenciales de código abierto Mimikatz que, según Symantec, se ha utilizado en ataques anteriores de Grayfly. El informe de Symantec profundiza en los detalles técnicos, incluidos los indicadores de compromiso.

Sigue leyendo más artículos

Comments


Deja una respuesta


Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *