Las organizaciones japonesas están siendo atacadas por un actor de amenazas de estado-nación chino que está explotando familias de malware como LODEINFO y NOOPDOOR para recopilar información confidencial de hosts comprometidos mientras permanece sigilosamente fuera del radar en algunos casos durante un período de tiempo que oscila entre dos y tres años. .
La empresa israelí de ciberseguridad Cybereason está siguiendo la campaña bajo el nombre Lanza de cucoatribuyéndolo como vinculado a un conjunto conocido de intrusiones denominado APT10, también conocido como Bronze Riverside, ChessMaster, Cicada, Cloudhopper, MenuPass, MirrorFace, Purple Typhoon (anteriormente Potassium) y Stone Panda.
“Los actores detrás de NOOPDOOR no sólo utilizaron LODEINFO durante la campaña, sino que también utilizaron la nueva puerta trasera para filtrar datos de redes corporativas comprometidas”, dijo. dicho.
Los resultados llegan unas semanas después del JPCERT/CC prevenido ciberataques lanzados por el actor malicioso dirigido a entidades japonesas utilizando las dos cepas de malware.
A principios de enero, ITOCHU Cyber & Intelligence reveló que había descubierto una versión actualizada de la puerta trasera LODEINFO que incorpora técnicas anti-escaneo, destacando el uso de correos electrónicos de phishing para difundir el malware.
Trend Micro, que originalmente acuñó el término MenuPass para describir al actor de amenazas, ha caracterizada APT10 es un grupo paraguas formado por dos grupos llamados Earth Tengshe y Earth Kasha. Se sabe que el equipo de hackers ha estado operativo desde al menos 2006.
Mientras que Earth Tengshe está vinculado a campañas que distribuyen SigLoader y SodaMaster, Earth Kasha se atribuye al uso exclusivo de LODEINFO y NOOPDOOR. Se ha observado que ambos subgrupos apuntan a aplicaciones públicas con el objetivo de filtrar datos e información a través de la red.
También se dice que la Tierra Tengshe es relacionado a otro grupo llamado Bronze Starlight (también conocido como Emperor Dragonfly o Storm-0401), que tiene un historial de explotación de familias de ransomware de corta duración como LockFile, Atom Silo, Rook, Night Sky, Pandora y Cheerscrypt.
Por otro lado, se descubrió que Earth Kasha estaba modificando sus métodos de acceso iniciales explotando aplicaciones públicas desde abril de 2023, aprovechando fallas no parcheadas en Array AG (CVE-2023-28461), Fortinet (CVE-2023-27997), y Proyo (CVE-2023-45727) instancias para distribuir LODEINFO y NOOPDOOR (también conocido como Cara oculta).
LODEINFO viene con varios comandos para ejecutar shellcode arbitrario, registrar pulsaciones de teclas, tomar capturas de pantalla, finalizar procesos y filtrar archivos a un servidor controlado por actores. NOOPDOOR, que comparte similitudes de código con otra puerta trasera APT10 conocida como ANEL Loader, ofrece funcionalidad para descargar y cargar archivos, ejecutar código shell y ejecutar más programas.
“LODEINFO parece usarse como puerta trasera principal y NOOPDOOR actúa como puerta trasera secundaria, lo que permite mantener la persistencia dentro de la red corporativa comprometida durante más de dos años”, dijo Cybereason. “Los actores maliciosos mantienen la persistencia dentro del entorno abusando de las tareas programadas. »