Según los informes, una gran organización estadounidense con una presencia significativa en China fue víctima de un ataque de actores maliciosos con sede en China que persistió en sus redes de abril a agosto de 2024.
De acuerdo a Investigadores de amenazas de Symantecla operación parecía centrarse en la recopilación de inteligencia, involucrando múltiples máquinas comprometidas y apuntando a servidores Exchange, probablemente para la filtración de correo electrónico y datos.
Los investigadores no nombraron explícitamente a la organización estadounidense víctima de la intrusión, pero mencionaron que la misma entidad había sido objetivo del grupo de amenazas “Daggerfly” con sede en China en 2023.
Cronología del ataque
Aunque la intrusión puede haber comenzado antes, la visibilidad de Symantec sobre el incidente comenzó el 11 de abril de 2024, cuando se ejecutaron comandos sospechosos del Instrumental de administración de Windows (WMI) y volcados de registro.
El vector de infección inicial sigue siendo desconocido, pero Symantec pudo observar PowerShell ejecutándose para consultar Active Directory en busca de nombres principales de servicios (SPN) y tokens Kerberos, una técnica conocida como “Kerberoasting”.
El 2 de junio, los actores de amenazas recurrieron a una segunda máquina y utilizaron un componente FileZilla renombrado (putty.exe), probablemente para la filtración de datos, que luego fue facilitada por PowerShell, WinRAR y un cliente PSCP.
En esta máquina, los actores de amenazas utilizaron los archivos “ibnettle-6.dll” y “textinputhost.dat” para la persistencia, que ya fueron observados anteriormente (por Sophos y RecordedFuture) en ataques llevados a cabo por el grupo de amenazas chino “Crimson Palace”. .
Casi al mismo tiempo, los atacantes infectaron dos máquinas adicionales en las que aseguraron la persistencia mediante la manipulación del registro y las utilizaron para vigilancia y movimiento lateral.
En estos, los piratas informáticos utilizaron WMI para consultar los registros de eventos de Windows para inicios de sesión y bloqueos de cuentas, PowerShell para probar la conectividad de red como RPC en el puerto 135 y PDR en el puerto 3389, y PsExec para consultar grupos de dominios, incluidos los servidores Exchange.
Finalmente, el 13 de junio, una quinta máquina de la organización quedó comprometida, donde los atacantes lanzaron “iTunesHelper.exe” para cargar una DLL maliciosa (“CoreFoundation.dll”) para ejecutar la carga útil.
Un aspecto interesante del ataque es que los piratas informáticos asignaron roles distintos a cada una de las máquinas infectadas y siguieron un enfoque estructurado que les permitió persistir y recopilar inteligencia sistemáticamente.
La atribución basada en actividades pasadas en la organización y los archivos de destino es débil.
Sin embargo, Symantec también señala que el uso intensivo de herramientas para “vivir de la tierra” como PsExec, PowerShell, WMI y herramientas de código abierto como FileZilla, Impacket y PuTTY SSH se alinea con las tácticas de los hackers chinos.