Se sospecha de APT patrocinado por el estado chino en atacantes de ransomware recientes

 Los análisis de los investigadores de seguridad sobre los recientes ataques de malware a múltiples empresas indican que un grupo de piratería patrocinado por un estado chino, APT, puede estar en esta operación.

Los atacantes ocurrieron en el año 2020 en al menos cinco empresas. Los atacantes alcanzaron los objetivos a través de un tercer proveedor de servicios, que ha sido infectado a través de otro proveedor externo, dijeron investigadores de las firmas Profero y Security Joes.

Los actores de amenazas confiaban en BitLocker. Cifraron con éxito varios servicios centrales utilizando una herramienta de cifrado de unidades en Windows. Las muestras de malware vinculadas a DRBControl, informadas por Trend Micro y atribuidas a APT27 y Winnti que estaban activas desde 2010.

Profero y Security Joes presentaron conjuntamente un informe que es la clara evidencia de que estos dos grupos están utilizando una puerta trasera Clambling a la utilizada en la campaña DRBControl. Además, descubrieron el webshell ASPXSpy, cuya versión modificada se ha visto en el ataque atribuido a APT27.

El informe también dice: «Con respecto a quién está detrás de esta cadena de infección específica, existen vínculos extremadamente fuertes con APT27 / Emissary Panda, en términos de similitudes de código y TTP [tácticas, técnicas y procedimientos].

Los actores maliciosos implementaron el malware PlugX y Clambing en la memoria del sistema utilizando un ejecutable de actualización de Google más antiguo vulnerable a la carga lateral de DLL.

«Para cada una de las dos muestras, había un ejecutable legítimo, una DLL maliciosa y un archivo binario que constaba de shellcode responsable de extraer la carga útil de sí mismo y ejecutarlo en la memoria. Ambas muestras usaban el actualizador de Google firmado y ambas DLL etiquetado goopdate.dll, sin embargo, el archivo binario PlugX se llamó license.rtf, y el archivo binario Clambling se llamó English.rtf «.

Además, se aprovechó una vulnerabilidad de 2017 (CVE-2017-0213) que supuestamente se había aprovechado para escalar privilegios en el sistema.

El analista de seguridad de Security Joes dijo que la conclusión clave de estos ataques es la participación del grupo de hackers en una campaña impulsada por las finanzas.

 Un grupo tan malicioso es una señal de que los gobiernos deben tener un enfoque unificado para luchar contra estas amenazas, dijeron los investigadores de Profero.