Un actor de amenazas llamado Redfly ha estado vinculado a un compromiso de una red nacional ubicada en un país asiático anónimo durante seis meses a principios de este año utilizando un malware conocido llamado ShadowPad.
“Los atacantes lograron robar credenciales y comprometer varias computadoras en la red de la organización”, dijo Symantec Threat Hunter Team, parte de Broadcom, en un informe compartido con The Hacker News. “El ataque es el último de una serie de intrusiones de espionaje contra objetivos [de infraestructura nacional crítica]”.
ShadowPad, también conocido como PoisonPlug, es una continuación del troyano de acceso remoto PlugX y es un implante modular capaz de cargar complementos adicionales dinámicamente desde un servidor remoto según sea necesario para recopilar datos confidenciales de redes violadas.
Ha sido ampliamente utilizado por una lista cada vez mayor de grupos de estados-nación del nexo con China desde al menos 2019 en ataques dirigidos a organizaciones en diversos sectores verticales de la industria.
Se dice que la primera señal de un ataque dirigido a la entidad asiática se registró el 23 de febrero de 2023, cuando se ejecutó ShadowPad en una sola computadora, seguido de la ejecución de la puerta trasera tres meses después, el 17 de mayo.
También se implementó casi al mismo tiempo una herramienta llamada Packerloader que se usa para ejecutar shellcode arbitrario, usándolo para modificar permisos para un archivo de controlador conocido como dump_diskfs.sys para otorgar acceso a todos los usuarios, lo que aumenta la posibilidad de que el controlador se haya utilizado para cree volcados del sistema de archivos para su posterior filtración.
Además, se ha observado que los actores de amenazas ejecutan comandos de PowerShell para recopilar información sobre los dispositivos de almacenamiento conectados al sistema, volcar credenciales del Registro de Windows y, al mismo tiempo, borrar registros de eventos de seguridad de la máquina.
“El 29 de mayo, los atacantes regresaron y utilizaron una versión renombrada de ProcDump (nombre de archivo: alg.exe) para volcar las credenciales de LSASS”, dijo Symantec. “El 31 de mayo, se utiliza una tarea programada para ejecutar oleview.exe, que probablemente realizará carga lateral y movimiento lateral”.
Se sospecha que Redfly utilizó credenciales robadas para propagar la infección a otras máquinas dentro de la red. Después de una pausa de casi dos meses, el adversario reapareció en escena para instalar un keylogger el 27 de julio y nuevamente extraer credenciales de LSASS y el Registro el 3 de agosto.
Symantec dijo que la campaña comparte superposiciones de infraestructura y herramientas con actividades previamente identificadas atribuidas al grupo patrocinado por el estado chino denominado APT41 (también conocido como Winnti), y Redly se centra casi exclusivamente en apuntar a entidades de infraestructura crítica.
Sin embargo, no hay pruebas de que el grupo de piratas informáticos, haya llevado a cabo ningún ataque perturbador hasta la fecha.
El desarrollo se produce cuando Microsoft reveló que actores afiliados a China están perfeccionando los medios visuales generados por IA para usarlos en operaciones de influencia dirigidas a los EE. UU., así como para “llevar a cabo la recopilación de inteligencia y la ejecución de malware contra gobiernos e industrias regionales” en la región del Mar de China Meridional. desde principios de año.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian