Un instituto de investigación afiliado al gobierno de Taiwán que se especializa en informática y tecnologías relacionadas fue pirateado por actores de amenazas estatales con vínculos con China, según nuevos hallazgos de Cisco Talos.
La organización anónima fue atacada a mediados de julio de 2023 para proporcionar una variedad de puertas traseras y herramientas posteriores al compromiso como ShadowPad y Cobalt Strike. Se atribuyó con confianza media a un prolífico grupo de hackers seguido bajo el nombre APT41.
«El malware ShadowPad utilizado en la campaña actual aprovechó una versión vulnerable y obsoleta del binario IME de Microsoft Office como cargador para cargar el cargador personalizado de segunda etapa para lanzar la carga útil», dijeron los investigadores de seguridad Joey Chen, Ashley Shen y Vitor Ventura. dicho.
“El actor de amenazas comprometió tres hosts en el entorno objetivo y pudo extraer ciertos documentos de la red. »
Cisco Talos dijo que descubrió la actividad en agosto de 2023 después de detectar lo que describió como «comandos de PowerShell anormales» que se conectaban a una dirección IP para descargar y ejecutar scripts de PowerShell en el entorno comprometido.
Se desconoce el vector de acceso inicial exacto utilizado en el ataque, aunque implicó el uso de un web shell para mantener el acceso persistente y soltar cargas útiles adicionales como ShadowPad y Cobalt Strike, este último entregado mediante un cargador Cobalt Strike basado en Go. llamado CS-Evitar-matar.
«El malware Cobalt Strike se desarrolló utilizando un cargador anti-AV para evitar la detección de AV y evitar la cuarentena de productos de seguridad», dijeron los investigadores.
Alternativamente, se observó al actor de amenazas ejecutando comandos de PowerShell para iniciar scripts responsables de ejecutar ShadowPad en la memoria y recuperar el malware Cobalt Strike de un servidor de comandos y control (C2) comprometido. El cargador ShadowPad basado en DLL, también llamado Abeja dispersase ejecuta mediante carga lateral de DLL.
Algunos de los otros pasos tomados como parte de la intrusión incluyeron el uso de Mimikatz para extraer contraseñas y ejecutar múltiples comandos para recopilar información sobre cuentas de usuario, estructura de directorios y configuraciones de red.
«APT41 creó un cargador personalizado para inyectar una prueba de concepto para CVE-2018-0824 «directamente en la memoria, utilizando una vulnerabilidad de ejecución remota de código para lograr una escalada de privilegios local», dijo Talos, señalando la carga útil final, DemariscalPwnSe activa después de pasar por tres etapas diferentes.
El equipo de ciberseguridad también destacó los intentos del adversario de evitar la detección interrumpiendo su propia actividad cuando detecta otros usuarios en el sistema. «Una vez que se implementan las puertas traseras, el actor de amenazas eliminará el shell web y la cuenta de invitado que permitió el acceso inicial», dijeron los investigadores.
Esta revelación llega cuando Alemania reveló A principios de esta semana, actores estatales chinos estuvieron detrás de un ciberataque en 2021 a la agencia cartográfica nacional del país, la Oficina Federal de Cartografía y Geodesia (BKG), con fines de espionaje.
En respuesta a las acusaciones, la Embajada de China en Berlín dicho La acusación es infundada y pide a Alemania que «deje de utilizar cuestiones de ciberseguridad para difamar a China políticamente y en los medios».
