Home Ciberguerra Atacantes chinos de Cloud Hopper, usan Zerologon en su nueva campaña

Atacantes chinos de Cloud Hopper, usan Zerologon en su nueva campaña

Ciberdelincuentes patrocinados por el estado chino, están operando una gran campaña global contra múltiples verticales que explotan la vulnerabilidad del Zerologon, según una nueva investigación de Symantec.

El gigante de la seguridad afirmó que el grupo Cicada (alias APT10, Cloud Hopper) está atacando a las empresas japonesas y sus filiales en 17 países con ataques de robo de información. Los sectores afectados son el automotriz, el farmacéutico, el de la ingeniería y el de los proveedores de servicios gestionados (MSP).

APT10 es bien conocido por los investigadores, ya que ha sido desenmascarado como la entidad que está detrás de la infame campaña de Cloud Hopper contra los MSP mundiales en 2017 – en ese momento calificada como “una de las mayores campañas mundiales de ciberespionaje sostenido”.

Se dice que la actual campaña está en curso desde octubre de 2019, y que los atacantes han mantenido la persistencia en las redes de algunas de sus víctimas durante un año, aunque para otros los ataques duraron sólo unos días.

Symantec fue alertada por primera vez de la campaña cuando notó una actividad sospechosa de carga lateral de DLL en una de las redes de sus clientes. De hecho, la técnica fue utilizada por APT10 durante las múltiples etapas de los ataques para cargar malware en procesos legítimos, según el informe.

Otras técnicas clásicas utilizadas por el grupo incluyen “vivir de la tierra” mediante el uso de funciones legítimas de Windows como PowerShell, herramientas de doble uso y disponibles públicamente como WMIExec, y malware personalizado como el recién descubierto Backdoor.Hartip.

También se observó al grupo explotando el error de elevación de privilegios de Zerologon parcheado en agosto, para secuestrar remotamente un dominio y comprometer todos los servicios de identidad de Active Directory.

Con información de: Info Security Magazine.