Microsoft ha detectado que el grupo de origen chino DEV-0147 estarĆa implementando ShadowPad RAT para atacar objetivos diplomĆ”ticos en AmĆ©rica del Sur, expandiĆ©ndose desde su territorio de ataque tradicional en Asia y Europa.
Por Apurva Venkat | Original de IDGN
SegĆŗn los reportes recientes del equipo de especialistas de Inteligencia y ciberseguridad que lideran los sistemas de defensa de Microsoft – una de las empresas mĆ”s mimetizadas por los grupos de phishing -, se ha observado que el actor de ciberespionaje con sede en China DEV-0147 estarĆa implementando ShadowPad RAT para atacar objetivos diplomĆ”ticos en AmĆ©rica del Sur.Ā
En un tuit reciente, el equipo de Microsoft seƱaló que que tal iniciativa es:Ā
“Una expansión notable de las operaciones de exfiltración de datos del grupo que tradicionalmente se dirigĆan a agencias gubernamentales y grupos de expertos en Asia y Europa”.
Microsoft precisó en su tuit que los ataques de DEV-0147 en AmĆ©rica del Sur incluyeron actividades posteriores a la explotación que involucraron:Ā
- La violación de la infraestructura de identidad local para reconocimiento y movimiento lateral
- Asà como el uso de Cobalt Strike (una herramienta de prueba de penetración) para comando y control y exfiltración de datos
Cabe destacar que Microsoft 365 Defender detectĆ“ estos ataques DEV-0147 a travĆ©s de Microsoft Defender for Identity y Defender for Endpoint.Ā Ā
“TambiĆ©n se recomienda encarecidamente a las organizaciones que hagan cumplir MF”, seƱaló la emprrsa.
ShadowPad RAT entra en la escena con atacantes chinos
Iguslmnete, el equipo de identificación de amenazas de Microsoft precisó que DEV-0147 implementa ShadowPad, un RAT (troyano de acceso remoto) para lograr la persistencia.Ā Ā
TambiĆ©n utiliza QuasarLoader, un cargador de paquetes web, para descargar y ejecutar malware adicional, segĆŗn los especialista de seguridad de MD.Ā Ā
Otro de sus recursos esĀ Webpack, un paquete de módulos para JavaScript.Ā Varios investigadores han asociado a ShadowPad con otros actores de APT con sede en China como:Ā
- APT23Ā
- APT41Ā
- Axiom
- Dagger Panda
- Earth Lusca
- Tonto TeamĀ
- Y Wet Panda
ShadowPad, tambiĆ©n conocido como PoisonPlug, es el sucesor de PlugX RAT implementado por el grupo de amenazas Bronze Atlas patrocinado por el gobierno chino desde – al menos – 2017, segĆŗn un reporte realizado hace ya algĆŗn tiempo por Secureworks.
āEl anĆ”lisis de las muestras de ShadowPad reveló grupos de actividad vinculados a conjuntos de amenazas afiliados a la agencia de inteligencia civil del Ministerio de Seguridad del Estado (MSS) de China y al EjĆ©rcito Popular de Liberación (EPL)ā, ratificó Secureworks.
ShadowPad se descifra en la memoria mediante un algoritmo personalizado. Se han identificado varias versiones de ShadowPad basadas en distintos algoritmos.
El RAT:Ā
- Extrae información sobre el host
- Ejecuta comandosĀ
- InteractĆŗa con el sistema de archivos y el registro
- E implementa nuevos módulos para ampliar la funcionalidad
Las cargas Ćŗtiles de ShadowPad se implementan en un host, ya sea encriptadas dentro de un cargador de DLL (biblioteca de vĆnculos dinĆ”micos) o en un archivo separado junto con un cargador de DLL.Ā Ā
Secure works explicó que estos cargadores de DLL descifran y ejecutan ShadowPad en la memoria despuĆ©s de haber sido transferidos por un ejecutable legĆtimo que es vulnerable al secuestro del orden de bĆŗsqueda de DLL.
En septiembre del aƱo pasado el grupo NCC observó un ataque a una organización no identificada que aprovechó una falla en el software de WSO2 para entregar ShadowPad.Ā Ā
WOS2 proporciona herramientas de software para el desarrollo de aplicaciones e IAM.
Igualmente, a principios del aƱo pasado, en junio, la empresa de seguridad cibernĆ©tica Kaspersky informó haber observado a un actor de amenazas de habla china previamente desconocido que atacaba a organizaciones de:Ā
- TelecomunicacionesĀ
- FabricaciónĀ
- Y transporteĀ
en varios paĆses asiĆ”ticos, como PakistĆ”n, AfganistĆ”n y Malasia.Ā Ā
Durante los ataques iniciales, el grupo aprovechó una vulnerabilidad de MS Exchange para implementar el malware ShadowPad y se infiltró en los sistemas de automatización de edificios.