Entidades gubernamentales anónimas en Medio Oriente y Malasia han sido el objetivo de una persistente campaña cibernética orquestada por un actor malicioso conocido como Tropic Trooper desde junio de 2023.
«Al ver este grupo [Tactics, Techniques, and Procedures] «La llegada de estos nuevos miembros a entidades gubernamentales críticas en Medio Oriente, particularmente aquellas relacionadas con estudios de derechos humanos, marca un nuevo paso estratégico para ellos», dijo Sherif Magdy, investigador de seguridad de Kaspersky. dicho.
El proveedor ruso de ciberseguridad dijo que detectó la actividad en junio de 2024 después de descubrir una nueva versión de Web Shell China Chopper, una herramienta compartida por muchos actores de amenazas de habla china para el acceso remoto a servidores comprometidos, en un servidor web público que aloja un código abierto. sistema de gestión de contenidos (CMS) llamado Umbraco.
La cadena de ataque está diseñada para entregar un implante de malware llamado Puerta de entradauna variación de la puerta trasera SparrowDoor documentada por ESET en septiembre de 2021. Los esfuerzos finalmente no tuvieron éxito.
Tropic Trooper, también conocido como APT23, Earth Centaur, KeyBoy y Pirate Panda, es conocido por sus ataques al gobierno, la salud, el transporte y los sectores de alta tecnología en Taiwán, Hong Kong y Filipinas. Se cree que el colectivo de habla china ha estado activo desde 2011 y comparte estrechos vínculos con otro grupo de intrusión rastreado bajo el nombre de FamousSparrow.
La última intrusión descubierta por Kaspersky es importante para la compilación del web shell de China Chopper como un módulo .NET de Umbraco CMS, cuya explotación posterior conduce al despliegue de análisis de red, movimiento lateral y otras herramientas para evadir la defensa, antes de lanzar Crowdoor utilizando. Técnicas de carga lateral de DLL.
Se sospecha que los web shells se entregan explotando vulnerabilidades de seguridad conocidas en aplicaciones web disponibles públicamente, como Adobe ColdFusion (CVE-2023-26360) y Microsoft Exchange Server (CVE-2021-34473, CVE-2021-34523Y CVE-2021-31207).
Crowdoor, observado por primera vez en junio de 2023, también funciona como un cargador para eliminar Cobalt Strike y mantener la persistencia en los hosts infectados, al mismo tiempo que actúa como una puerta trasera para recopilar información confidencial, iniciar un shell inverso, borrar datos y otros archivos maliciosos y finalizar.
“Cuando el actor se dio cuenta de que sus puertas traseras habían sido detectadas, intentó cargar nuevas muestras para evadir la detección, aumentando el riesgo de que su nuevo conjunto de muestras fuera detectado en un futuro próximo”, señaló Magdy.
“La importancia de esta intrusión radica en el hecho de que un actor de habla china atacó una plataforma de gestión de contenidos que publicaba estudios sobre derechos humanos en Oriente Medio, centrándose específicamente en la situación en torno al conflicto entre Israel y Hamas. »
“Nuestro análisis de esta intrusión reveló que todo el sistema fue el único objetivo durante el ataque, lo que indica un enfoque deliberado en este contenido específico. »