Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Los piratas informáticos evolucionan las técnicas necesarias para burlar las soluciones de ciberseguridad
7 de abril de 2023 - Equipo de RRPP de TuxCare
Según una reciente campaña de Earth Preta, los hackers nacionales alineados con China son cada vez más expertos en burlar las soluciones de seguridad. El actor de la amenaza lleva activo al menos desde 2012 y se le conoce por los nombres de Bronze President, HoneyMyte, Mustang Panda, RedDelta y Red Lich.
El grupo inicia las cadenas de ataque con correos electrónicos de spear-phishing, desplegando una serie de herramientas para el acceso de puerta trasera, comando y control (C2), y la exfiltración de datos. Los mensajes contienen archivos maliciosos distribuidos a través de enlaces de Dropbox o Google Drive que emplean DLL de carga lateral, archivos de acceso directo LNK y extensiones de archivo falsas como vectores de llegada para obtener un punto de apoyo y colocar puertas traseras como TONEINS, TONESHELL, PUBLOAD y MQsTTang (también conocido como QMAGENT).
Según un nuevo análisis publicado por Trend Micro, "Earth Preta tiende a ocultar cargas útiles maliciosas en archivos falsos, disfrazándolos de legítimos, una técnica que ha demostrado su eficacia para evitar la detección". Este método de punto de entrada, detectado por primera vez el año pasado, ha sido modificado desde entonces. El enlace de descarga del archivo está incrustado dentro de otro documento señuelo y el archivo está protegido con contraseña para eludir las soluciones de gateway de correo electrónico.
Según los investigadores, "los archivos pueden extraerse del interior a través de la contraseña proporcionada en el documento. Utilizando esta técnica, el actor malicioso detrás del ataque puede eludir con éxito los servicios de escaneo."
Una vez que los hackers obtienen el acceso inicial al entorno de la víctima, proceden a las fases de descubrimiento de cuentas y escalada de privilegios. Mustang Panda utiliza herramientas personalizadas como ABPASS y CCPASS para eludir el Control de Cuentas de Usuario (UAC) en Windows 10.
Además, se ha observado al actor de la amenaza desplegando malware como "USB Driver.exe" (HIUPAN o MISTCLOAK) y "rzlog4cpp.dll" (ACNSHELL o BLUEHAZE) para instalarse en discos extraíbles y crear un shell inverso con el objetivo de desplazarse lateralmente por la red.
Otras utilidades desplegadas incluyen CLEXEC, una puerta trasera capaz de ejecutar comandos y borrar registros de eventos; COOLCLIENT y TROCLIENT, implantes diseñados para registrar pulsaciones de teclas, así como leer y borrar archivos; y PlugX. "Aparte de las herramientas legítimas conocidas, los autores de la amenaza también crearon herramientas altamente personalizadas utilizadas para la filtración", señalaron los investigadores. Se trata de NUPAKAGE y ZPAKAGE, ambas equipadas para recopilar archivos de Microsoft Office.
La investigación muestra que los actores del ciberespionaje chino están aumentando su ritmo operativo e invirtiendo constantemente en el avance de su armamento cibernético para evadir la detección. "Earth Preta es un actor de amenazas capaz y organizado que perfecciona continuamente sus TTP, refuerza sus capacidades de desarrollo y construye un arsenal versátil de herramientas y malware", concluyen los investigadores.
Las fuentes de este artículo incluyen un artículo en TheHackerNews.
