Se ha observado que un actor de amenazas avanzado con conexión con la India utiliza múltiples proveedores de servicios en la nube para facilitar la recolección de credenciales, la distribución de malware y el comando y control (C2).
La empresa de seguridad e infraestructura web Cloudflare rastrea la actividad bajo el nombre Lemming descuidadoque también se llama El tigre y el elefante pescador..
“Desde finales de 2022 hasta el presente, SloppyLemming ha utilizado regularmente Cloudflare Workers, probablemente como parte de una amplia campaña de espionaje dirigida a países del sur y este de Asia”, dijo Cloudflare. dicho en un análisis.
Según se informa, SloppyLemming ha estado activo desde al menos julio de 2021, con campañas anteriores que explotan malware como Ares RAT y WarHawk, el último de los cuales también está vinculado a un conocido equipo de piratería llamado SideWinder. El uso de Ares RAT, por otro lado, se ha relacionado con SideCopy, un actor de amenazas probablemente de origen paquistaní.
Los objetivos comerciales de SloppyLemming cubren entidades gubernamentales, policiales, energéticas, educativas, de telecomunicaciones y tecnológicas ubicadas en Pakistán, Sri Lanka, Bangladesh, China, Nepal e Indonesia.
Las cadenas de ataques implican el envío de correos electrónicos de phishing a objetivos cuyo objetivo es engañar a los destinatarios para que hagan clic en un enlace malicioso induciendo una falsa sensación de urgencia, alegando que deben completar un proceso obligatorio dentro de las próximas 24 horas.
Al hacer clic en la URL, la víctima es redirigida a una página de recopilación de credenciales, que luego sirve como mecanismo para que el actor de la amenaza obtenga acceso no autorizado a cuentas de correo electrónico específicas dentro de las organizaciones que le interesan.
“El actor utiliza una herramienta personalizada llamada CloudPhish para crear un Cloudflare Worker malicioso para manejar la lógica de registro de credenciales y la exfiltración de las credenciales de la víctima al actor de la amenaza”, dijo la compañía.
Algunos de los ataques emprendidos por SloppyLemming utilizaron técnicas similares para capturar tokens OAuth de Google, así como archivos RAR con trampas explosivas (“CamScanner 06-10-2024 15.29.rar”) que probablemente explotan una vulnerabilidad de WinRAR (CVE-2023-38831). para lograr la ejecución remota de código.
El archivo RAR contiene un ejecutable que, además de mostrar el documento señuelo, carga de forma sigilosa “CRYPTSP.dll”, que sirve como descargador para recuperar un troyano de acceso remoto alojado en Dropbox.
Vale la pena mencionar aquí que la empresa de ciberseguridad SEQRITE detalló una campaña análoga emprendida por actores de SideCopy el año pasado dirigida al gobierno indio y a los sectores de defensa para distribuir Ares RAT utilizando archivos ZIP llamados “DocScanner_AUG_2023 zip” y “DocScanner-Oct.zip”. están diseñados para desencadenar la misma vulnerabilidad.
Una tercera secuencia de infección empleada por SloppyLemming implica el uso de señuelos de phishing para llevar a objetivos potenciales a un sitio web falso que se hace pasar por la Junta de Tecnología de la Información de Punjab (PITB) en Pakistán, después de lo cual son redirigidos a otro sitio que contiene un archivo de acceso directo a Internet (URL).
El archivo URL contiene código para descargar otro archivo, un ejecutable llamado PITB-JR5124.exe, desde el mismo servidor. El binario es un archivo legítimo que se utiliza para cargar una DLL maliciosa llamada profapi.dll que luego se comunica con un trabajador de Cloudflare.
Estas URL de Cloudflare Worker, señaló la compañía, actúan como intermediarias, transmitiendo solicitudes al dominio C2 real utilizado por el adversario (“aljazeerak[.]en línea”).
Cloudflare dijo que había “observado esfuerzos concertados por parte de SloppyLemming para atacar a la policía paquistaní y otras agencias encargadas de hacer cumplir la ley”, y agregó que “hay indicios de que el actor ha apuntado a entidades involucradas en la operación y mantenimiento de la única instalación nuclear de Pakistán”.
Otros objetivos de las actividades de recopilación de credenciales incluyen organizaciones gubernamentales y militares en Sri Lanka y Bangladesh y, en menor medida, entidades energéticas y académicas chinas.