APT aprovecha el error de Microsoft Zerologon: apunta a empresas japonesas - Calendae | Informática, Electrónica, CMS, Ciberseguridad

APT aprovecha el error de Microsoft Zerologon: apunta a empresas japonesas

Hola y mil gracias por leerme. Soy Eduardo Arroyo y en el día de hoy hablaremos sobre APT aprovecha el error de Microsoft Zerologon: apunta a empresas japonesas

APT aprovecha el error de Microsoft Zerologon: apunta a empresas japonesas

Los actores de amenazas organizan campañas de espionaje de un año, exfiltración de datos, robo de credenciales e instalación de puertas traseras en las redes de las víctimas.

APT Cicada, respaldado por China, se une a la lista de actores de amenazas que explotan el error Zerologon de Microsoft para organizar ataques contra sus objetivos. En este caso, las víctimas son grandes y conocidas organizaciones japonesas y sus subsidiarias, incluidas oficinas en Estados Unidos.

Los investigadores observaron una «campaña de ataque a gran escala dirigida a múltiples empresas japonesas» en 17 regiones y varias industrias involucradas en una variedad de actividades maliciosas, como robo de credenciales, exfiltración de datos y reconocimiento de redes. . Según un informe reciente, los atacantes también instalaron la puerta trasera de código abierto QuasarRAT y la nueva herramienta Backdoor.Hartip para continuar con la vigilancia de los sistemas de las víctimas.

Debido a algunas actividades distintivas importantes, los ataques parecen ser el trabajo de Cicada (también conocido como APT10, Stone Panda, Cloud Hopper), un grupo de amenazas patrocinado por el estado que tiene vínculos con el gobierno chino, dijeron investigadores de Symantec de Broadcom.

«Esta campaña ha estado funcionando desde al menos mediados de octubre de 2019, hasta principios de octubre de 2020, con el grupo de huelga activo en las redes de algunas de sus víctimas durante casi un año», escribieron los investigadores en un informe. relación Publicado Online. «La campaña es muy grande, con víctimas en una gran cantidad de regiones del mundo».

Un conjunto de patrones y técnicas de amenazas observados en la campaña que vinculan la empresa a Cicada, incluida una DLL de tercera etapa con una exportación denominada «F ** kYouAnti»; una DLL de tercera fase que usa la técnica CppHostCLR para inyectar y ejecutar el ensamblaje del cargador .NET; Ofuscación de .NET Loader usando ConfuserEx v1.0.0; y la entrega de QuasarRAT como carga útil final.

Los investigadores observaron que los atacantes explotan Zerologon, o CVE-2020-1472, una vulnerabilidad de elevación de día cero de Microsoft revelada y corregida por primera vez el 11 de agosto. La falla, que se deriva del protocolo Netlogon Remote disponible en los controladores de dominio de Windows, permite a los atacantes falsificar una cuenta de controlador de dominio y luego usarla para robar credenciales de dominio, tomar el control del dominio y comprometer completamente todos los servicios de dominio. Identidad de Active Directory.

«Entre las máquinas comprometidas durante esta campaña de ataque se encontraban controladores de dominio y servidores de archivos, y hubo evidencia de archivos exfiltrados de algunas de las máquinas comprometidas», anotaron los investigadores.

Zerologon ha sido una espina clavada en el costado de Microsoft durante algún tiempo, con más APT y otros atacantes explotando sistemas sin parches. El mes pasado, Microsoft advirtió que el grupo iraní MERCURY APT explotó activamente la falla, mientras que la banda de ransomware Ryuk lo usó para lanzar un ataque ultrarrápido que pasó del phishing inicial al cifrado de todo el dominio en solo cinco horas.

Dada la duración de la campaña descubierta, Cicada puede ser uno de los primeros grupos APT en explotar Zerologon. El grupo es conocido por atacar objetivos en Japón y MSP con herramientas vivas y malware personalizado. En esta última categoría, la última campaña utiliza Backdoor.Hartip, que según los investigadores es una nueva herramienta para el grupo.

Además de Zerologon, los atacantes también utilizaron la carga lateral de DLL ampliamente en la campaña, una táctica común de los grupos APT que «ocurre cuando los atacantes pueden reemplazar una biblioteca legítima con una maliciosa, lo que les permite cargar malware en los procesos». legítimo «, dijeron los investigadores. De hecho, la actividad sospechosa en torno a la carga lateral de DLL es lo que llevó a los investigadores de Symantec a lanzar una campaña cuando activó una alerta en la herramienta Cloud Analytics de Symantec, dijeron.

«Los atacantes utilizan archivos DLL de carga lateral para tratar de ocultar su actividad haciéndola parecer legítima y también les ayuda a evitar la detección por parte del software de seguridad», según el informe.

Otras herramientas que los atacantes aprovecharon en la campaña incluyeron: Almacenamiento RAR, que puede transferir archivos a servidores intermedios antes de la exfiltración; WMIExec, utilizado para el movimiento lateral y para realizar controles remotos; Certutil, una utilidad de línea de comandos que se puede utilizar para descifrar información, descargar archivos e instalar certificados raíz del navegador; y PowerShell, un entorno del sistema operativo Windows que a menudo sufre abusos de amenazas. La campaña también utilizó un servicio legítimo de alojamiento de archivos en la nube para la exfiltración, dijeron los investigadores.

.

Puedes compartir en tus redes sociales para que tus colegas lo sepan

??? ? ? ???

Comparte

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *