Sistemas de automatización de edificios APT Pwns respaldados por China con ProxyLogon



Una amenaza persistente avanzada (APT) de habla china previamente desconocida está explotando la vulnerabilidad ProxyLogon Microsoft Trade para implementar el malware ShadowPad, dijeron los investigadores, con el objetivo closing de hacerse cargo de los sistemas de automatización de edificios (BAS) y profundizar en las redes.

Eso es según los investigadores de Kaspersky ICS CERT, quienes dijeron que las infecciones afectaron los sistemas de command industrial (ICS) y las empresas de telecomunicaciones en Afganistán y Pakistán, así como una organización de logística y transporte en Malasia. Los ataques salieron a la luz en octubre, pero parecen remontarse a marzo de 2021.

«Creemos que es muy probable que este actor de amenazas vuelva a atacar y encontremos nuevas víctimas en diferentes países», según el análisis de Kaspersky del lunes.

En esta serie específica de ataques, Kaspersky observó un conjunto único de tácticas, técnicas y procedimientos (TTP) que vinculaban los incidentes, incluidos los atacantes que comprometían las computadoras de ingeniería de BAS como su punto de acceso inicial. Los investigadores notaron que este es un movimiento inusual para un grupo APT, a pesar de que el malware de prueba de concepto está disponible para tales plataformas.

«Los sistemas de automatización de edificios son objetivos raros para los actores de amenazas avanzados», dijo Kirill Kruglov, experto en seguridad de Kaspersky ICS CERT, en la alerta. «Sin embargo, esos sistemas pueden ser una fuente valiosa de información altamente confidencial y pueden proporcionar a los atacantes una puerta trasera a otras áreas de infraestructura más seguras».

Los ataques también amenazan la integridad física de los edificios, advirtieron los investigadores. La infraestructura BAS une características operativas, como electricidad, iluminación, sistemas HVAC, alarmas contra incendios y cámaras de seguridad, para que puedan administrarse desde una única consola de administración.

«Una vez que se compromete un BAS, todos los procesos dentro de él están en riesgo, incluidos los relacionados con la seguridad de la información», según Kaspersky. alerta sobre los ataques.

En un ejemplo del mundo serious de este raro tipo de ataque, el pasado mes de diciembre, una empresa de ingeniería de automatización de edificios perdió repentinamente el contacto con cientos de sus dispositivos BAS, incluidos interruptores de luz, detectores de movimiento, controladores de persianas y otros, después de quedar bloqueados con el sistema. propia clave de seguridad electronic, que los atacantes secuestraron. La empresa tuvo que volver a encender y apagar manualmente los interruptores automáticos centrales para encender las luces del edificio.

ProxyLogon conduce al malware ShadowPad en infecciones sigilosas

En muchos casos, los atacantes cibernéticos explotaron la vulnerabilidad de ejecución remota de código (RCE) de ProxyLogon en MS Trade (CVE-2021-26855), agregó la firma. Cuando se utilizan en una cadena de ataques, los exploits para estos ProxyLogon podrían permitir que un atacante se autentique como el servidor de Trade e implemente un shell net para que pueda controlar de forma remota el servidor de destino.

ProxyLogon se reveló en marzo de 2021 después de ser explotado como un error de día cero por un grupo patrocinado por el estado chino que Microsoft llama Hafnium, pero pronto una vertiginosa variedad de grupos de amenazas se amontonaron para explotar el problema y permitir diferentes tipos de ataques.

En este caso, una vez dentro, el APT implementa el troyano de acceso remoto (RAT) ShadowPad, una puerta trasera y un cargador populares utilizados por varios APT chinos. Según un análisis anterior de Secureworks, ShadowPad es avanzado y modularimplementado por primera vez por el grupo de amenazas «Bronze Atlas» en 2017. «Una lista creciente de otros grupos de amenazas chinos lo han implementado globalmente desde 2019 en ataques contra organizaciones en varios sectores verticales de la industria», señaló el informe.

Los investigadores de Kaspersky dijeron que en los ataques BAS, «la puerta trasera ShadowPad se descargó en las computadoras atacadas bajo la apariencia de program legítimo».

Específicamente, el malware originalmente se hizo pasar por el archivo mscoree.dll, que es un archivo de biblioteca de Microsoft esencial para la ejecución de aplicaciones de «código administrado» escritas para usar con .Web Framework. Como tal, el malware fue lanzado por la aplicación legítima AppLaunch.exe, que a su vez se ejecutó creando una tarea en el Programador de tareas de Windows. El otoño pasado, los atacantes pasaron a usar la técnica de secuestro de DLL en computer software legítimo para ver objetos OLE-COM (OleView). El Programador de tareas de Windows también se united states en el enfoque más nuevo. En ambos casos, el uso de tales herramientas de vivir fuera de la tierra (es decir, software nativo legítimo) significa que es poco probable que la actividad genere señales de intrusión en el sistema.

Después de la infección inicial, los atacantes primero enviaron comandos manualmente y luego automáticamente para implementar herramientas adicionales. Los investigadores dijeron que estos incluían lo siguiente:

  • El marco CobaltStrike (para movimiento lateral)
  • Mimikatz (por robar credenciales)
  • El conocido PlugX RAT
  • Archivos BAT (para robar credenciales)
  • Shells website (para acceso remoto al servidor web)
  • La utilidad Nextnet (para escanear hosts de red)

«Los artefactos encontrados indican que los atacantes robaron las credenciales de autenticación de dominio de al menos una cuenta en cada organización atacada (probablemente de la misma computadora que se usó para penetrar en la red)», según Kaspersky. «Estas credenciales se usaron para propagar aún más el ataque a través de la red… no sabemos el objetivo ultimate del atacante. Creemos que probablemente fue la recolección de datos».

Cómo protegerse contra ataques APT dirigidos a BAS, infraestructura crítica

Los ataques se desarrollan «extremadamente rápido», dijo Kaspersky, por lo que la detección y mitigación tempranas son clave para minimizar el daño. Los investigadores recomendaron las siguientes mejores prácticas para proteger la infraestructura industrial, incluidas las huellas de BAS:

  • Actualice regularmente los sistemas operativos y cualquier program de aplicación que forme parte de la crimson de la empresa. Aplique correcciones y parches de seguridad a los equipos de purple de tecnología operativa (OT) como BAS, tan pronto como estén disponibles.
  • Realice auditorías periódicas de seguridad de los sistemas OT para identificar y eliminar posibles vulnerabilidades.
  • Utilice soluciones de monitoreo, análisis y detección de tráfico de crimson OT para una mejor protección contra ataques que potencialmente amenazan los sistemas OT y los principales activos de la empresa.
  • Proporcione capacitación dedicada a la seguridad de OT para los equipos de seguridad de TI y los ingenieros de OT.
  • Proporcione al equipo de seguridad responsable de proteger ICS información actualizada sobre amenazas.
  • Utilice soluciones de seguridad en capas para puntos finales y redes de OT.



Enlace a la noticia original