.jpg)
Imaginamos que los piratas informáticos más exitosos del mundo escriben su propio código peligroso e invierten mucho en las tecnologías que utilizan para violar sus objetivos. Sin embargo, en los últimos meses, un nuevo grupo de ataques tuvo éxito con el enfoque opuesto.
De acuerdo a un informe lanzado el 24 de enero de SentinelOne, un actor de amenazas comprometió a varias organizaciones en China y Taiwán al crear un compuesto al estilo monstruo de Frankenstein de componentes de código abierto preexistentes. Entre ellos: múltiples herramientas para escalar privilegios de usuario en máquinas Home windows y para establecer persistencia y permitir la ejecución remota de código.
Además de adoptar el código de otros piratas informáticos, los atacantes también adoptaron libremente la infraestructura de otras organizaciones. En la puesta en escena de su malware, los piratas informáticos manipularon servidores ubicados en China, Hong Kong, Singapur y Taiwán, muchos de los cuales estaban alojados en negocios perfectamente comunes, incluida una galería de arte, un minorista de productos para bebés y empresas en las industrias de juegos y apuestas. .
Los investigadores de SentinelOne llamaron a la campaña «DragonSpark», un acrónimo que hace referencia a los enlaces en chino de los atacantes, y «SparkRAT», un troyano de acceso remoto (RAT) de código abierto nunca visto en la naturaleza hasta ahora.
Una fiesta de código abierto
Para obtener acceso inicial a sus objetivos, los atacantes de DragonSpark buscaron servidores internet expuestos a World-wide-web y servidores de bases de datos MySQL. Luego, con un pie en la puerta, comenzaron a implementar malware de código abierto.
«Las herramientas de código abierto y la infraestructura existente son muy prácticas para los actores de amenazas», dice a Dim Reading Aleksandar Milenkoski, investigador principal de amenazas en SentinelOne. Esto es especialmente cierto para «actores involucrados en actividades de ciberdelincuencia sin muchos recursos y preparación técnica profunda para desarrollar su propio conjunto de herramientas y configurar una infraestructura compleja, pero al mismo tiempo apuntan a ataques oportunistas a gran escala».
Los atacantes DragonSpark llevaron a cabo sus ataques oportunistas con programas como SharpToken y Papa mala, que permiten la ejecución de comandos a nivel del sistema operativo Home windows. SharpToken también brinda visibilidad a la información del usuario y del proceso permite que un usuario agregue, elimine o modifique libremente las contraseñas de los usuarios del sistema. BadPotato, señalaron los investigadores, había sido utilizado previamente por otros actores de amenazas chinos en una campaña de espionaje.
El siguiente en el arsenal fue Ir a HTTP, que facilita la persistencia, la transferencia de archivos y la visualización remota de pantallas. Pero el malware más noteworthy de todos fue KickRAT – «un desarrollo muy reciente en el panorama de amenazas», señaló Milenkoski. DragonSpark representa «la primera observación concreta de actores de amenazas que usan SparkRAT como parte de campañas más grandes».
Lanzado en su versión real el 1 de noviembre de 2022, SparkRAT es un juego de todos los oficios. Es compatible no solo con Home windows sino también con sistemas Linux y macOS. Sus características más notables son las siguientes, como describieron los investigadores:
- «Ejecución de comandos: incluida la ejecución de sistemas arbitrarios de Home windows y comandos de PowerShell
- Manipulación del sistema: incluyendo apagado, reinicio, hibernación y suspensión del sistema
- Manipulación de archivos y procesos: incluida la finalización del proceso, así como la carga, descarga y eliminación de archivos y
- Robo de información: incluida la exfiltración de información de la plataforma (CPU, pink, memoria, disco e información de tiempo de actividad del sistema), robo de capturas de pantalla y enumeración de procesos y archivos».
SparkRAT, SharpToken, Bad Potato y GotoHTTP están disponibles gratuitamente para descargar en línea. Como herramientas de código abierto, su uso también dificulta la atribución.
Enlaces a China
Todos los objetivos de DragonSpark eran organizaciones con sede en el este de Asia. Muchos de ellos «tienen una gran foundation de clientes», observa Milenkoski, «lo que lleva a creer que los actores de amenazas pueden estar apuntando a los datos de los clientes». No se determinó si el motivo fue el delito cibernético o el espionaje.
Aunque no pudieron atribuir a nadie en específico, los investigadores consideraron «muy probable» que los atacantes de DragonSpark hablaran chino. Eso se explica, en parte, por el hecho de que la mayor parte de su infraestructura y objetivos estaban ubicados en el este de Asia. Además, el shell world-wide-web que utilizaron para implementar su malware, una herramienta muy conocida llamada China Chopper, y todas las herramientas de código abierto descritas anteriormente fueron desarrolladas originalmente por desarrolladores y proveedores de habla china.
Esto es consistente con la actividad reciente en el mundo de los actores de amenazas chinos. Un alerta publicado el verano pasado por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) destacó cómo las APT patrocinadas por el estado de la República Popular «a menudo mezclan su conjunto de herramientas personalizadas con herramientas disponibles públicamente».
Todos los signos apuntan a más de este tipo de ataques en el futuro. SparkRAT en certain, aunque es un incipiente en la escena, «se actualiza regularmente con nuevas funciones», señalaron los investigadores de SentinelOne, y agregaron que «la RAT seguirá siendo atractiva para los ciberdelincuentes y otros actores de amenazas en el futuro».
