Pérdida de datos: lo que Western Digital descubrió en Latam
Microsoft ha detectado que el grupo de origen chino DEV-0147 estaría implementando ShadowPad RAT para atacar objetivos diplomáticos en América del Sur, expandiéndose desde su territorio de ataque tradicional en Asia y Europa.
Por Apurva Venkat | Original de IDGN
Según los reportes recientes del equipo de especialistas de Inteligencia y ciberseguridad que lideran los sistemas de defensa de Microsoft – una de las empresas más mimetizadas por los grupos de phishing -, se ha observado que el actor de ciberespionaje con sede en China DEV-0147 estaría implementando ShadowPad RAT para atacar objetivos diplomáticos en América del Sur.
En un tuit reciente, el equipo de Microsoft señaló que que tal iniciativa es:
“Una expansión notable de las operaciones de exfiltración de datos del grupo que tradicionalmente se dirigían a agencias gubernamentales y grupos de expertos en Asia y Europa”.
Microsoft precisó en su tuit que los ataques de DEV-0147 en América del Sur incluyeron actividades posteriores a la explotación que involucraron:
- La violación de la infraestructura de identidad local para reconocimiento y movimiento lateral
- Así como el uso de Cobalt Strike (una herramienta de prueba de penetración) para comando y control y exfiltración de datos
Cabe destacar que Microsoft 365 Defender detectô estos ataques DEV-0147 a través de Microsoft Defender for Identity y Defender for Endpoint.
“También se recomienda encarecidamente a las organizaciones que hagan cumplir MF”, señaló la emprrsa.
ShadowPad RAT entra en la escena con atacantes chinos
Iguslmnete, el equipo de identificación de amenazas de Microsoft precisó que DEV-0147 implementa ShadowPad, un RAT (troyano de acceso remoto) para lograr la persistencia.
También utiliza QuasarLoader, un cargador de paquetes web, para descargar y ejecutar malware adicional, según los especialista de seguridad de MD.
Otro de sus recursos es Webpack, un paquete de módulos para JavaScript. Varios investigadores han asociado a ShadowPad con otros actores de APT con sede en China como:
- APT23
- APT41
- Axiom
- Dagger Panda
- Earth Lusca
- Tonto Team
- Y Wet Panda
ShadowPad, también conocido como PoisonPlug, es el sucesor de PlugX RAT implementado por el grupo de amenazas Bronze Atlas patrocinado por el gobierno chino desde – al menos – 2017, según un reporte realizado hace ya algún tiempo por Secureworks.
“El análisis de las muestras de ShadowPad reveló grupos de actividad vinculados a conjuntos de amenazas afiliados a la agencia de inteligencia civil del Ministerio de Seguridad del Estado (MSS) de China y al Ejército Popular de Liberación (EPL)”, ratificó Secureworks.
ShadowPad se descifra en la memoria mediante un algoritmo personalizado. Se han identificado varias versiones de ShadowPad basadas en distintos algoritmos.
El RAT:
- Extrae información sobre el host
- Ejecuta comandos
- Interactúa con el sistema de archivos y el registro
- E implementa nuevos módulos para ampliar la funcionalidad
Las cargas útiles de ShadowPad se implementan en un host, ya sea encriptadas dentro de un cargador de DLL (biblioteca de vínculos dinámicos) o en un archivo separado junto con un cargador de DLL.
Secure works explicó que estos cargadores de DLL descifran y ejecutan ShadowPad en la memoria después de haber sido transferidos por un ejecutable legítimo que es vulnerable al secuestro del orden de búsqueda de DLL.
En septiembre del año pasado el grupo NCC observó un ataque a una organización no identificada que aprovechó una falla en el software de WSO2 para entregar ShadowPad.
WOS2 proporciona herramientas de software para el desarrollo de aplicaciones e IAM.
Igualmente, a principios del año pasado, en junio, la empresa de seguridad cibernética Kaspersky informó haber observado a un actor de amenazas de habla china previamente desconocido que atacaba a organizaciones de:
- Telecomunicaciones
- Fabricación
- Y transporte
en varios países asiáticos, como Pakistán, Afganistán y Malasia.
Durante los ataques iniciales, el grupo aprovechó una vulnerabilidad de MS Exchange para implementar el malware ShadowPad y se infiltró en los sistemas de automatización de edificios.
