malware

Un equipo de piratería patrocinado por el estado chino ha resurgido con una nueva campaña dirigida a entidades gubernamentales, de salud, tecnología y fabricación con sede en Taiwán, Tailandia, Filipinas y Fiji después de más de seis meses sin actividad.

Trend Micro atribuyó el conjunto de intrusión a un grupo de espionaje cibernético que rastrea con el nombre Earth Longzhi , que es un subgrupo dentro de APT41 (también conocido como HOODOO o Winnti) y comparte superposiciones con varios otros grupos conocidos como Earth Baku, SparklingGoblin y GroupCC.

Earth Longzhi fue documentado por primera vez por la firma de ciberseguridad en noviembre de 2022, detallando sus ataques contra varias organizaciones ubicadas en el este y sureste de Asia, así como en Ucrania.

Las cadenas de ataque montadas por el actor de amenazas aprovechan las aplicaciones públicas vulnerables como puntos de entrada para implementar el shell web BEHINDER y luego aprovechan ese acceso para soltar cargas útiles adicionales, incluida una nueva variante de un cargador Cobalt Strike llamado CroxLoader.

«Esta campaña reciente […] abusa de un ejecutable de Windows Defender para realizar la carga lateral de DLL y, al mismo tiempo, explota un controlador vulnerable, zamguard.sys, para deshabilitar los productos de seguridad instalados en los hosts a través de un ataque de traer su propio controlador vulnerable (BYOVD) » . dijo Trend Micro.

De ninguna manera es la primera vez que Earth Longzhi aprovecha la técnica BYOVD, ya que las campañas anteriores utilizaron el controlador RTCore64.sys vulnerable para restringir la ejecución de productos de seguridad.

El malware, denominado SPHijacker, también emplea un segundo método denominado «ruido de pila» para lograr el mismo objetivo, que implica hacer que las aplicaciones de destino se bloqueen deliberadamente al iniciarse.

«Esta técnica es un tipo de ataque [de denegación de servicio] que abusa de los valores de MinimumStackCommitInBytes no documentados en la clave de registro [Opciones de ejecución de archivo de imagen]», explicó Trend Micro.

Grupo de hackers chinos

«El valor de MinimalStackCommitInBytes asociado con un proceso específico en la clave de registro de IFEO se usará para definir el tamaño mínimo de la pila para confirmar al inicializar el subproceso principal. Si el tamaño de la pila es demasiado grande, activará una excepción de desbordamiento de la pila y terminará el proceso actual».

Los enfoques gemelos están lejos de ser los únicos métodos que se pueden utilizar para perjudicar los productos de seguridad. Deep Instinct, el mes pasado, detalló una nueva técnica de inyección de código bautizada como Dirty Vanity que explota el mecanismo de bifurcación remota en Windows para los sistemas de detección de puntos finales ciegos.

Además, la carga útil del controlador se instala como un servicio de nivel de kernel mediante la llamada a procedimiento remoto ( RPC ) de Microsoft en lugar de las API de Windows para evadir la detección.

También se observa en los ataques el uso de un cuentagotas basado en DLL llamado Roxwrapper para entregar otro cargador Cobalt Strike etiquetado como BigpipeLoader, así como una herramienta de escalada de privilegios (dwm.exe) que abusa del Programador de tareas de Windows para iniciar una carga útil determinada con privilegios de SISTEMA.

La carga útil especificada, dllhost.exe, es un programa de descarga capaz de recuperar malware de próxima etapa de un servidor controlado por un actor.

Vale la pena señalar aquí que dwm.exe se basa en una prueba de concepto (PoC) de código abierto disponible en GitHub , lo que sugiere que el actor de amenazas se está inspirando en los programas existentes para perfeccionar su arsenal de malware.

Trend Micro dijo además que identificó documentos señuelo escritos en vietnamita e indonesio, lo que indica posibles intentos de dirigirse a usuarios en los dos países en el futuro.

«Earth Longzhi permanece activo y continúa mejorando sus tácticas, técnicas y procedimientos (TTP)», señalaron los investigadores de seguridad Ted Lee y Hara Hiroaki. «Las organizaciones deben mantenerse alerta contra el desarrollo continuo de nuevos esquemas sigilosos por parte de los ciberdelincuentes».

Fuente y redacción: thehackernews.com

Compartir