Los investigadores de ciberseguridad han advertido del descubrimiento de una nueva herramienta de equipo rojo posterior a la explotación llamada Splinter .

La Unidad 42 de Palo Alto Networks compartió sus hallazgos después de descubrir el programa en los sistemas de varios clientes.

«Tiene un conjunto estándar de características que se encuentran comúnmente en las herramientas de prueba de penetración y su desarrollador lo creó utilizando el lenguaje de programación Rust», dijo Dominik Reichel de Unit 42. «Si bien Splinter no es tan avanzado como otras herramientas de post-explotación conocidas como Cobalt Strike, aún presenta una amenaza potencial para las organizaciones si se usa de manera indebida».

Las herramientas de pruebas de penetración se utilizan a menudo en operaciones de equipos rojos para detectar posibles problemas de seguridad en la red de una empresa. Sin embargo, los actores de amenazas también pueden utilizar estas herramientas de simulación de adversarios para su propio beneficio.

La Unidad 42 afirmó que no ha detectado ninguna actividad de un actor de amenazas asociada con el conjunto de herramientas Splinter. Todavía no hay información sobre quién desarrolló la herramienta.

Los artefactos descubiertos por la empresa de ciberseguridad revelan que son «excepcionalmente grandes», con un tamaño de alrededor de 7 MB, principalmente debido a la presencia de 61 cajas de Rust en su interior.

Splinter no se diferencia de otros marcos de post-explotación en que viene con una configuración que incluye información sobre el servidor de comando y control (C2), que se analiza para establecer contacto con el servidor mediante HTTPS.

«Los implantes Splinter están controlados por un modelo basado en tareas, algo común entre los marcos de trabajo posteriores a la explotación», señaló Reichel. «Obtiene sus tareas del servidor C2 que el atacante ha definido».

Algunas de las funciones de la herramienta incluyen ejecutar comandos de Windows, ejecutar módulos a través de inyección de procesos remotos, cargar y descargar archivos, recopilar información de cuentas de servicios en la nube y eliminarse del sistema.

«La creciente variedad subraya la importancia de mantenerse actualizado en las capacidades de prevención y detección, ya que es probable que los delincuentes adopten cualquier técnica que sea efectiva para comprometer a las organizaciones», dijo Reichel.

La revelación se produce cuando Deep Instinct detalló dos métodos de ataque que podrían ser explotados por actores de amenazas para lograr una inyección de código sigilosa y una escalada de privilegios aprovechando una interfaz RPC en Microsoft Office y un shim malicioso , respectivamente.

«Aplicamos una corrección maliciosa en un proceso sin registrar un archivo SDB en el sistema», dijeron los investigadores Ron Ben-Yizhak y David Shandalov . «Evitamos eficazmente la detección de EDR escribiendo en un proceso secundario y cargando la DLL de destino desde el proceso secundario suspendido antes de que se pudiera establecer cualquier enlace de EDR».

En julio de 2024, Check Point también arrojó luz sobre una nueva técnica de inyección de procesos llamada Thread Name-Calling que permite implantar un shellcode en un proceso en ejecución abusando de la API para descripciones de subprocesos mientras se eluden los productos de protección de puntos finales.

«A medida que se agregan nuevas API a Windows, aparecen nuevas ideas para técnicas de inyección», dijo la investigadora de seguridad Aleksandra «Hasherezade» Doniec .

«Thread Name-Calling utiliza algunas de las API relativamente nuevas. Sin embargo, no puede evitar la incorporación de componentes más antiguos y conocidos, como las inyecciones de APC , API que siempre deben tenerse en cuenta como una amenaza potencial. De manera similar, la manipulación de los derechos de acceso dentro de un proceso remoto es una actividad sospechosa».

Fuente y redacción: thehackernews.com

Compartir