El APT41 de China adopta un enfoque desconcertante para dejar caer la carga útil de ataque de cobalto



Un análisis de las actividades del actor de amenazas persistentes avanzadas (APT) respaldado por China, APT41, ha demostrado que el grupo está utilizando un método único, y algo inexplicable, para implementar su carga útil principal de Cobalt Strike en los sistemas de las víctimas.

Los investigadores de Group-IB, con sede en Singapur, también descubrieron que el adversario está utilizando una variedad de herramientas de doble uso para realizar reconocimientos.

Hasta el momento, Team-IB ha identificado al menos 13 organizaciones importantes en todo el mundo que se han visto comprometidas en cuatro campañas separadas, con APT obteniendo diferentes niveles de acceso. Las víctimas incluyeron organizaciones en los sectores de gobierno, atención médica, manufactura, logística, hospitalidad y medios de comunicación en los EE. UU., así como en China, India, Taiwán y Vietnam.

El proveedor de seguridad concluyó que el número true de víctimas de APT41 podría ser mucho más altobasado, entre otras cosas, en el hecho de que observó signos de actividad relacionada con APT en un complete de 80 organizaciones privadas y gubernamentales en 2021.

Desconcertante estrategia de despliegue de carga útil para Cobalt Strike

Un aspecto interesante de las campañas que analizó Group-IB fue la tendencia de APT41 a codificar su principal binario Cobalt Strike personalizado en Foundation64 y luego dividirlo en fragmentos más pequeños de 775 caracteres. Luego se agregan a un archivo de texto. En un caso, los actores de amenazas tuvieron que repetir la acción 154 veces para escribir toda la carga útil en el archivo.

En otro caso, los investigadores de Team-IB observaron que el actor de amenazas dividía el código en fragmentos de 1024 caracteres antes de escribir la carga útil en un archivo de texto mediante 128 iteraciones del proceso.

Nikita Rostovcev, analista del equipo de investigación APT de Group-IB, dice que no está claro por qué APT41 podría haber adoptado la estrategia, pero supone que puede ser un intento de permanecer bajo el radar.

«No sabemos completamente por qué los atacantes eligieron este método porque SQLmap tiene un gran límite de transferencia de datos, lo que significa que se hizo intencionalmente, muy probablemente para evitar su detección», dice.

Sin embargo, detectar la artimaña no es difícil, especialmente considerando que el payload estaba codificado en Foundation64 al last, agrega: «Este es un hallazgo único. No hemos visto a ningún otro atacante usar este método en sus ataques».

Inyección SQL y herramientas de doble uso

El análisis de Team-IB muestra que los actores de la amenaza habían cambiado de táctica para el acceso inicial, realizando ataques de inyección SQL utilizando la herramienta SQLmap para afianzarse en algunas organizaciones objetivo. SQLmap descubre y explota automáticamente las vulnerabilidades de SQL. Los ataques de inyección SQL permiten a los actores APT41 obtener acceso al shell de comandos en algunos servidores objetivo.

La táctica marca una desviación del patrón habitual de APT41 de usar phishing, ataques de abrevadero y credenciales robadas como vectores de acceso inicial.

APT41 buscaba principalmente bases de datos con información sobre cuentas de usuario existentes, listas de empleados y contraseñas almacenadas en texto sin formato y en formato hash. En overall, los actores de APT41 atacaron 86 sitios world-wide-web y aplicaciones vulnerables pertenecientes a las organizaciones objetivo, y pudieron comprometer la mitad de ellos mediante inyección SQL.

«Por lo standard, los atacantes de APT41 están interesados ​​en la información sobre los usuarios existentes y sus cuentas y cualquier dato que pueda usarse para un mayor movimiento lateral», dice Rostovcev.

Una vez que el actor de amenazas ha obtenido acceso a una crimson de destino, se sabe que implementa muchas otras herramientas personalizadas para llevar a cabo su misión. En su informe de principios de este año, Cybereason identificó algunas de estas herramientas como DeployLog, para implementar el principal rootkit a nivel de kernel del grupo de amenazas, una carga útil inicial llamada Spyder Loader una herramienta para almacenar payloads llamada StashLog y uno para la escalada de privilegios denominado PrivateLog.

En las campañas de 2021 que investigó Group-IB, descubrió actores APT41 que usaban herramientas como el escáner de vulnerabilidades world-wide-web de Acunetix, Nmap y OneForAll, y herramientas de prueba de penetración como subdomain3, subDomainsBrute y Sublist3r.

«Todas estas utilidades, excepto Acunetix, están disponibles para el público y se usan no solo en ataques de piratas informáticos sino también en pruebas de penetración, por ejemplo», dice Rostovcev.

Rostovcev explain las herramientas como pertenecientes a múltiples categorías, incluidas las que se pueden usar para buscar directores ocultos y archivos de copia de seguridad olvidados, y aquellas para escanear puertos y los servicios que se ejecutan en ellos.

Un actor de amenazas patrocinado por el estado prolífico y persistente

APT41 (también conocido como Winnti, Wicked Panda, Bario y Blackfly) es un conocido grupo APT que apareció por primera vez en 2010 con ataques a empresas como Google y Yahoo. Se cree que el grupo trabaja en nombre del gobierno chino, o al menos con su apoyo tácito. Algunos han descrito a APT41 como una representación de una colección de actores de amenazas cibernéticas que llevan a cabo las directivas de las agencias de inteligencia de China.

Aunque el gobierno de EE. UU. acusó a cinco miembros de APT41 en 2020 y varios proveedores de seguridad registraron sus actividades y TTP, el actor de amenazas ha continuado con sus actividades sin inmutarse. El informe de Cybereason muestra que APT41 robó cientos de gigabytes de datos confidenciales de 30 organizaciones en América del Norte en una reciente campaña de ciberespionaje.



Enlace a la noticia primary