El prolífico actor-estado-nación chino conocido como APT41 (también conocido como Brass Typhoon, Earth Baku, Wicked Panda o Winnti) ha sido atribuido a un sofisticado ciberataque dirigido a la industria del juego.
“Durante un período de al menos seis meses, los atacantes recopilaron sigilosamente información valiosa de la empresa objetivo, incluidas, entre otras, configuraciones de red, contraseñas de usuario y secretos de proceso LSASS”, Ido Naor, cofundador y director ejecutivo de la empresa israelí de ciberseguridad. Security Joes, dijo en un comunicado. común con Las noticias de los hackers.
“Durante la intrusión, los atacantes actualizaron continuamente su conjunto de herramientas en función de la respuesta del equipo de seguridad. Al observar las acciones de los defensores, modificaron sus estrategias y herramientas para evadir la detección y mantener un acceso persistente a la red comprometida”.
El ataque de varias etapas, que tuvo como objetivo uno de sus clientes y duró casi nueve meses este año, se superpone con una serie de intrusiones rastreadas por el proveedor de ciberseguridad Sophos bajo el nombre Operation Crimson Palace.
Naor dijo que la compañía respondió al incidente hace cuatro meses y agregó que “estos ataques dependen de los tomadores de decisiones patrocinados por el estado. Esta vez, sospechamos con gran confianza que APT41 buscaba ganancias financieras”.
La campaña está diseñada pensando en el sigilo, aprovechando una multitud de tácticas para lograr sus objetivos utilizando un conjunto de herramientas personalizadas que no solo evita el software de seguridad instalado en el entorno, sino que también recopila revisiones de información y establece canales encubiertos para el acceso remoto persistente.
Security Joes describió a APT41 como “altamente calificado y metódico”, destacando su capacidad para lanzar ataques de espionaje y envenenar la cadena de suministro, lo que lleva al robo de propiedad intelectual e intrusiones con motivos financieros, como ransomware y minería de criptomonedas.
Actualmente se desconoce el vector de acceso inicial exacto utilizado en el ataque, pero la evidencia tiende a indicar que se trata de correos electrónicos de phishing, dada la falta de vulnerabilidades activas en las aplicaciones web accesibles en Internet o el compromiso de la cadena de suministro.
“Una vez dentro de la infraestructura objetivo, los atacantes ejecutaron un ataque DCSync, con el objetivo de recolectar hashes de contraseñas de cuentas de servicio y administrador para ampliar su acceso”, dijo la compañía en su informe. “A través de estas credenciales, establecieron persistencia y mantuvieron el control sobre la red, enfocándose particularmente en las cuentas de administrador y desarrollador”.
Según se informa, los atacantes llevaron a cabo metódicamente actividades de reconocimiento y post-explotación, a menudo modificando su conjunto de herramientas en respuesta a las medidas tomadas para contrarrestar la amenaza y aumentando sus privilegios con el objetivo final de descargar y ejecutar cargas útiles adicionales.
Algunos de los técnicas utilizados para lograr sus objetivos incluyen el secuestro de archivos DLL ocultos y el uso de la utilidad legítima wmic.exe, sin mencionar el abuso de su acceso a cuentas de servicio con privilegios de administrador para desencadenar la ejecución.
El siguiente paso es un archivo DLL malicioso llamado TSVIPSrv.dll que se recupera a través del protocolo SMB, después de lo cual la carga útil establece contacto con un servidor de comando y control (C2) codificado.
“Si el C2 codificado falla, el implante intenta actualizar su información de C2 eliminando a los usuarios de GitHub usando la siguiente URL: github[.]com/search?o=desc&q=pointers&s=joined&type=Users&.”
“El malware analiza el HTML devuelto por la solicitud de GitHub, buscando secuencias de palabras mayúsculas separadas solo por espacios. Recopila ocho de estas palabras y luego extrae solo las letras mayúsculas entre A y P. Este proceso genera una cadena de 8 caracteres. que codifica la dirección IP del nuevo servidor C2 que se utilizará en el ataque”.
El primer contacto con el servidor C2 allana el camino para perfilar el sistema infectado y recuperar otro malware que se ejecutará a través de una conexión de socket.
Security Joes dijo que los actores de amenazas permanecieron en silencio durante varias semanas después de que se detectaron sus actividades, pero finalmente regresaron con un enfoque renovado para ejecutar código JavaScript muy ofuscado presente en una versión modificada de un archivo XSL (“texttable.xsl”) usando LOLBIN. wmic.exe.
“Una vez que se ejecuta el comando WMIC.exe MEMORYCHIP GET, carga indirectamente el archivo texttable.xsl para formatear la salida, forzando la ejecución del código JavaScript malicioso inyectado por el atacante”, explican los investigadores.
JavaScript, por su parte, sirve como descargador que utiliza el dominio time.qnapntp.[.]com como servidor C2 para recuperar una carga útil de seguimiento que toma huellas digitales de la máquina y envía la información de regreso al servidor, sujeto a ciertos criterios de filtrado que probablemente sirvan para apuntar solo a las máquinas en las que está interesado el actor malicioso.
“Lo que realmente destaca en el código es el objetivo deliberado de máquinas cuyas direcciones IP contienen la subcadena ‘10.20.22’”, dijeron los investigadores. “
“Esto resalta qué dispositivos específicos son valiosos para el atacante, es decir, aquellos en las subredes 10.20.22.[0-9].[0-255]. Al correlacionar esta información con los registros de red y las direcciones IP de los dispositivos en los que se encontró el archivo, concluimos que el atacante estaba usando este mecanismo de filtrado para garantizar que solo los dispositivos de la subred VPN se vieran afectados.