Los atacantes pueden utilizar Splinter, una nueva herramienta post-explotación, para ejecutar comandos de Windows, robar archivos, recopilar información de cuentas de servicios en la nube y descargar malware adicional en los sistemas de las víctimas y causar estragos en el entorno de TI de la víctima después de la intrusión inicial.
La Unidad 42 de Threat Hunter de Palo Alto Networks dice que ha descubierto una nueva herramienta de prueba de penetración oculta en múltiples sistemas de los clientes de la empresa, que luego elimina automáticamente el código malicioso.
“Aunque Splinter no es tan sofisticado como otras herramientas post-explotación conocidas como Cobalt Strike, aún puede representar una amenaza potencial para las organizaciones si se explota”, dijo el analista de la Unidad 42 Dominic Reichel este mes.
A diferencia de Splinter, Cobalt Strike es una herramienta legal del equipo rojo. Sin embargo, las copias descifradas se utilizan a menudo con fines ilegales y son populares entre los operadores de ransomware y los ciberespías.
El código recién descubierto es un recordatorio de que los atacantes son astutos y continúan invirtiendo en herramientas para pasar desapercibidos en las redes de las víctimas.
La Unidad 42 aún no ha identificado al desarrollador de Splinter. El equipo descubrió el nombre del proyecto interno de la herramienta en los artefactos de depuración.
El malware está escrito en Rust y sus muestras son “inusualmente” grandes para Rust, con una muestra típica de alrededor de 7 MB. Según se informa, esto se debe principalmente a la gran cantidad de bibliotecas externas que utiliza el archivo.
Splinter también utiliza el formato JSON para los datos de configuración, incluida la identificación del implante, la identificación del punto final de destino y los detalles del servidor de comando y control (C2).
“Una vez ejecutado, el ejemplo analiza los datos de configuración y utiliza la información de la red para conectarse al servidor C2 mediante HTTPS con las credenciales de inicio de sesión”, señaló Reichel.
Luego, el software malicioso comienza a comunicarse con el servidor C2 y realiza las tareas indicadas por el atacante. Esto incluye ejecutar comandos de Windows, ejecutar módulos mediante inyección remota de procesos, cargar archivos desde el sistema de la víctima al servidor del atacante, descargar archivos maliciosos a la máquina de la víctima y descargar archivos de cuentas de servicios en la nube. Incluye recopilación de información, autodestrucción, etc.
La Unidad 42 también enumera hashes de muestra junto con rutas URL que el servidor C2 del atacante utiliza para comunicarse con el implante, realizar tareas y descargar y cargar archivos. Recomendamos verificarlos para asegurarse de que no haya ningún código no deseado acechando en su sistema.
Como señala Reichel, esto también es un buen recordatorio de que Cobalt Strike no es realmente la única herramienta del equipo rojo de la que preocuparse. ®
https://www.theregister.com/2024/09/23/splinter_red_team_tool/
