Campaña de Ciberespionaje por APT41: Un Análisis Detallado

Fecha: 19 de julio de 2024

Recientemente, varias empresas en sectores de transporte y logística, medios y entretenimiento, tecnología, y automotriz en Italia, España, Taiwán, Tailandia, Turquía, y el Reino Unido, han sido blanco de una compleja campaña de ciberespionaje llevada a cabo por el grupo APT41, con origen en China. Este colectivo, conocido por sus sofisticadas tácticas y técnicas, ha logrado infiltrarse y mantener acceso no autorizado a redes de múltiples víctimas desde 2023.

Técnicas y Herramientas Utilizadas

De acuerdo con un informe reciente de la empresa de inteligencia de amenazas Mandiant, propiedad de Google, APT41 es especialmente distintivo debido al uso de malware no público típicamente reservado para operaciones de espionaje, lo cual trasciende las misiones patrocinadas por el estado.

Cadena de Ataques

La metodología de APT41 incluye la implementación de shells web, como ANTSWORD y BLUEBEAM, y el uso de droppers personalizados, tales como DUSTPAN y DUSTTRAP, además de herramientas disponibles públicamente como SQLULDR2 y PINEGROVE. Estas herramientas permiten la persistencia, la entrega de cargas maliciosas adicionales y la exfiltración de datos sensibles.

Web Shells y Droppers

1. Web Shells: Actúan como canal de descarga para el dropper DUSTPAN (también conocido como StealthVector), que carga Cobalt Strike Beacon para comunicación de comando y control (C2).
2. DUSTTRAP: Este dropper se despliega después del movimiento lateral dentro de la red, está configurado para descifrar una carga maliciosa y ejecutarla en memoria, estableciendo contacto con un servidor controlado por los atacantes o una cuenta comprometida de Google Workspace.

Según Google, las cuentas comprometidas de Workspace han sido remediadas para prevenir accesos no autorizados, aunque no se ha especificado cuántas cuentas fueron afectadas.

Herramientas de Exfiltración

Además de los droppers, APT41 utiliza SQLULDR2 para exportar datos desde bases de datos Oracle y PINEGROVE para transmitir grandes volúmenes de datos sensibles empleando Microsoft OneDrive como vector de exfiltración.

Componentes y Funcionamiento de DUSTTRAP

DUSTTRAP se destaca por ser un marco de complementos de múltiples etapas con varios componentes. Investigadores de Mandiant han identificado al menos 15 plugins capaces de:

• Ejecutar comandos de shell.
• Realizar operaciones en el sistema de archivos.
• Enumerar y terminar procesos.
• Capturar pulsaciones de teclado y pantallazos.
• Recopilar información del sistema.
• Modificar el Registro de Windows.

Además, está diseñado para sondear hosts remotos, realizar consultas DNS, listar sesiones de escritorio remoto, subir archivos, y manipular Microsoft Active Directory.

Los componentes de DUSTTRAP observados durante las intrusiones estaban firmados con certificados de firma de código presuntamente robados, incluyendo uno relacionado con una empresa surcoreana del sector de videojuegos.

Actividad Reciente de GhostEmperor

El grupo de amenazas GhostEmperor, también vinculado a China, ha sido involucrado en una campaña de ciberataques revelado por la empresa israelí de ciberseguridad Sygnia. Este grupo distribuye una variante del rootkit Demodex, empleando un malware de múltiples etapas para lograr ejecución encubierta y persistencia.

Método de Ataque

Aunque el método exacto de violación inicial no está claro, GhostEmperor ha sido observado explotando vulnerabilidades conocidas en aplicaciones expuestas a internet. El acceso inicial facilita la ejecución de un script por lotes de Windows que despliega un archivo CAB, lanzando finalmente un módulo de implante principal. Este implante gestiona las comunicaciones C2 e instala el rootkit Demodex usando un proyecto de código abierto llamado Cheat Engine para eludir el mecanismo de Enforzamiento de Firmas de Controlador de Windows (DSE).

Conclusión

La sofisticación y la persistencia de estos grupos destacan la necesidad crítica de mantener prácticas robustas de ciberseguridad. La capacidad de APT41 y GhostEmperor para integrar técnicas avanzadas en sus operaciones requiere una vigilancia continua y la implementación de medidas defensivas avanzadas para proteger redes e información sensible.

Para una lectura más detallada sobre los hallazgos de Mandiant, puedes consultar el informe completo.

Fuente: https://thehackernews.com/2024/07/apt41-infiltrates-networks-in-italy.html