NSA

Las agencias de inteligencia y seguridad cibernética de EE. UU. revelaron el martes que varios grupos de piratería de estados nacionales potencialmente se dirigieron a una «red empresarial de la organización del Sector de la Base Industrial de Defensa (DIB)» como parte de una campaña de espionaje cibernético.

«Los actores [de amenazas persistentes avanzadas] utilizaron un conjunto de herramientas de código abierto llamado Impacket para afianzarse en el entorno y comprometer aún más la red, y también utilizaron una herramienta de exfiltración de datos personalizada, CovalentStealer, para robar los datos confidenciales de la víctima», dijeron las autoridades.

El aviso conjunto , que fue escrito por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Oficina Federal de Investigaciones (FBI) y la Agencia de Seguridad Nacional (NSA), dijo que los adversarios probablemente tenían acceso a largo plazo al entorno comprometido.

Los hallazgos son el resultado de los esfuerzos de respuesta a incidentes de CISA en colaboración con una empresa de seguridad externa confiable desde noviembre de 2021 hasta enero de 2022. No atribuyó la intrusión a un actor o grupo de amenazas conocido.

También se desconoce el vector de infección inicial utilizado para violar la red, aunque se dice que algunos de los actores de APT obtuvieron una cabeza de playa digital para el servidor Microsoft Exchange del objetivo a mediados de enero de 2021.

Las actividades posteriores a la explotación en febrero implicaron una combinación de esfuerzos de reconocimiento y recopilación de datos, el último de los cuales resultó en la exfiltración de información confidencial relacionada con el contrato. También se implementó durante esta fase la herramienta Impacket para establecer la persistencia y facilitar el movimiento lateral.

Un mes después, los actores de APT explotaron las fallas de ProxyLogon en Microsoft Exchange Server para instalar 17 shells web de China Chopper e HyperBro , una puerta trasera utilizada exclusivamente por un grupo de amenazas chino llamado Lucky Mouse (también conocido como APT27, Bronze Union, Budworm o Emissary Panda).

Los intrusos, desde finales de julio hasta mediados de octubre de 2021, emplearon además una variedad de malware a medida llamada CovalentStealer contra la entidad sin nombre para desviar documentos almacenados en archivos compartidos y cargarlos en una carpeta en la nube de Microsoft OneDrive.

Se recomienda a las organizaciones que supervisen los registros en busca de conexiones de VPN inusuales, uso de cuentas sospechosas, uso de línea de comandos anómalo y malicioso conocido, y cambios no autorizados en las cuentas de usuario.

Fuente y redacción: thehackernews.com

Compartir