PowerMax mejora eficiencia y resiliencia en servidores
Microsoft ha detectado que el grupo de origen chino DEV-0147 estarĆa implementando ShadowPad RAT para atacar objetivos diplomĆ”ticos en AmĆ©rica del Sur, expandiĆ©ndose desde su territorio de ataque tradicional en Asia y Europa.
Por Apurva Venkat | Original de IDGN
SegĆŗn los reportes recientes del equipo de especialistas de Inteligencia y ciberseguridad que lideran los sistemas de defensa de Microsoft – una de las empresas mĆ”s mimetizadas por los grupos de phishing -, se ha observado que el actor de ciberespionaje con sede en China DEV-0147 estarĆa implementando ShadowPad RAT para atacar objetivos diplomĆ”ticos en AmĆ©rica del Sur.Ā
En un tuit reciente, el equipo de Microsoft seƱalĆ³ que que tal iniciativa es:Ā
“Una expansiĆ³n notable de las operaciones de exfiltraciĆ³n de datos del grupo que tradicionalmente se dirigĆan a agencias gubernamentales y grupos de expertos en Asia y Europa”.
Microsoft precisĆ³ en su tuit que los ataques de DEV-0147 en AmĆ©rica del Sur incluyeron actividades posteriores a la explotaciĆ³n que involucraron:Ā
- La violaciĆ³n de la infraestructura de identidad local para reconocimiento y movimiento lateral
- AsĆ como el uso de Cobalt Strike (una herramienta de prueba de penetraciĆ³n) para comando y control y exfiltraciĆ³n de datos
Cabe destacar que Microsoft 365 Defender detectĆ“ estos ataques DEV-0147 a travĆ©s de Microsoft Defender for Identity y Defender for Endpoint.Ā Ā
“TambiĆ©n se recomienda encarecidamente a las organizaciones que hagan cumplir MF”, seƱalĆ³ la emprrsa.
ShadowPad RAT entra en la escena con atacantes chinos
Iguslmnete, el equipo de identificaciĆ³n de amenazas de Microsoft precisĆ³ que DEV-0147 implementa ShadowPad, un RAT (troyano de acceso remoto) para lograr la persistencia.Ā Ā
TambiĆ©n utiliza QuasarLoader, un cargador de paquetes web, para descargar y ejecutar malware adicional, segĆŗn los especialista de seguridad de MD.Ā Ā
Otro de sus recursos esĀ Webpack, un paquete de mĆ³dulos para JavaScript.Ā Varios investigadores han asociado a ShadowPad con otros actores de APT con sede en China como:Ā
- APT23Ā
- APT41Ā
- Axiom
- Dagger Panda
- Earth Lusca
- Tonto TeamĀ
- Y Wet Panda
ShadowPad, tambiĆ©n conocido como PoisonPlug, es el sucesor de PlugX RAT implementado por el grupo de amenazas Bronze Atlas patrocinado por el gobierno chino desde – al menos – 2017, segĆŗn un reporte realizado hace ya algĆŗn tiempo por Secureworks.
āEl anĆ”lisis de las muestras de ShadowPad revelĆ³ grupos de actividad vinculados a conjuntos de amenazas afiliados a la agencia de inteligencia civil del Ministerio de Seguridad del Estado (MSS) de China y al EjĆ©rcito Popular de LiberaciĆ³n (EPL)ā, ratificĆ³ Secureworks.
ShadowPad se descifra en la memoria mediante un algoritmo personalizado. Se han identificado varias versiones de ShadowPad basadas en distintos algoritmos.
El RAT:Ā
- Extrae informaciĆ³n sobre el host
- Ejecuta comandosĀ
- InteractĆŗa con el sistema de archivos y el registro
- E implementa nuevos mĆ³dulos para ampliar la funcionalidad
Las cargas Ćŗtiles de ShadowPad se implementan en un host, ya sea encriptadas dentro de un cargador de DLL (biblioteca de vĆnculos dinĆ”micos) o en un archivo separado junto con un cargador de DLL.Ā Ā
Secure works explicĆ³ que estos cargadores de DLL descifran y ejecutan ShadowPad en la memoria despuĆ©s de haber sido transferidos por un ejecutable legĆtimo que es vulnerable al secuestro del orden de bĆŗsqueda de DLL.
En septiembre del aƱo pasado el grupo NCC observĆ³ un ataque a una organizaciĆ³n no identificada que aprovechĆ³ una falla en el software de WSO2 para entregar ShadowPad.Ā Ā
WOS2 proporciona herramientas de software para el desarrollo de aplicaciones e IAM.
Igualmente, a principios del aƱo pasado, en junio, la empresa de seguridad cibernĆ©tica Kaspersky informĆ³ haber observado a un actor de amenazas de habla china previamente desconocido que atacaba a organizaciones de:Ā
- TelecomunicacionesĀ
- FabricaciĆ³nĀ
- Y transporteĀ
en varios paĆses asiĆ”ticos, como PakistĆ”n, AfganistĆ”n y Malasia.Ā Ā
Durante los ataques iniciales, el grupo aprovechĆ³ una vulnerabilidad de MS Exchange para implementar el malware ShadowPad y se infiltrĆ³ en los sistemas de automatizaciĆ³n de edificios.
