26 de septiembre de 2024Ravie LakshmananSeguridad en la nube/Ciberespionaje
Se ha observado que actores de amenazas avanzadas vinculados a la India utilizan múltiples proveedores de servicios en la nube para facilitar la recopilación de credenciales, la entrega de malware y el comando y control (C2).
La empresa de seguridad e infraestructura web Cloudflare está rastreando esta actividad bajo el nombre de SloppyLemming (también conocido como Outrider Tiger y Fishing Elephant).
“Desde finales de 2022 hasta el presente, SloppyLemming ha utilizado regularmente Cloudflare Workers, probablemente como parte de una campaña de espionaje más amplia dirigida a países del sur y este de Asia”, dijo Cloudflare en su análisis.
Se estima que SloppyLemming ha estado activo desde al menos julio de 2021, y campañas anteriores aprovecharon malware como Ares RAT y WarHawk. WarHawk también está asociado con un conocido grupo de hackers llamado SideWinder. Mientras tanto, el uso de Ares RAT está asociado con SideCopy, un actor de amenazas que se cree es de origen paquistaní.
Las operaciones de SloppyLemming se dirigen a organizaciones gubernamentales, policiales, energéticas, educativas, de comunicaciones y tecnológicas en Pakistán, Sri Lanka, Bangladesh, China, Nepal e Indonesia.
Una serie de ataques implican el envío de correos electrónicos de phishing a los objetivos, creando una falsa sensación de urgencia para completar un proceso requerido dentro de las 24 horas, engañando a los destinatarios para que hagan clic en un enlace malicioso.
Al hacer clic en la URL, la víctima accede a una página de recolección de credenciales, que sirve como mecanismo para que los actores de amenazas obtengan acceso no autorizado a la cuenta de correo electrónico del objetivo dentro de la organización de interés.
“Los atacantes utilizaron una herramienta personalizada llamada CloudPhish para crear un Cloudflare Worker malicioso que maneja la lógica de registro de credenciales y la exfiltración de las credenciales de la víctima al actor de la amenaza”, dijo la compañía.
Algunos de los ataques llevados a cabo por SloppyLemming utilizaron técnicas similares para capturar tokens OAuth de Google y también explotaron una falla en WinRAR (CVE-2023-38831) que podría conducir a la ejecución remota de código, utilizando un archivo RAR instalado ('CamScanner 06-10). -2024 15.29.rar').
Además de mostrar un documento señuelo, el archivo RAR contiene un ejecutable que carga secretamente CRYPTSP.dll, que actúa como un descargador para recuperar un troyano de acceso remoto alojado en Dropbox.
Vale la pena mencionar aquí que el año pasado, el actor SideCopy apuntó al gobierno y al sector de defensa de la India con “DocScanner_AUG_2023.zip'' y “DocScanner-Oct'' diseñados para desencadenar la misma vulnerabilidad. Hemos detallado una campaña similar realizada para. Distribuya Ares RAT utilizando archivos ZIP llamados .zip.
La tercera secuencia de infección utilizada por SloppyLemming utiliza un señuelo de phishing para atraer objetivos potenciales a un sitio web falso que se hace pasar por la Junta de Tecnología de la Información del Punjab (PITB) de Pakistán, que luego utiliza accesos directos a Internet (URL) para redirigir al usuario a otro sitio que contiene el archivo.
El archivo URL tiene código incrustado para descargar otro archivo (un ejecutable llamado PITB-JR5124.exe) desde el mismo servidor. El binario es un archivo legítimo que se utiliza para descargar una DLL maliciosa llamada profapi.dll, que luego se comunica con Cloudflare Worker.
Según la empresa, estas URL de Cloudflare Worker actúan como intermediarios, transmitiendo solicitudes al dominio C2 real utilizado por los atacantes (“aljazeerak(.)online”).
Cloudflare dijo que había “observado un esfuerzo concertado por parte de Sloppy Lemmings para atacar a la fuerza policial de Pakistán y otras agencias encargadas de hacer cumplir la ley”, y agregó: “Este atacante es una organización involucrada en la operación y mantenimiento de la única planta de energía nuclear de Pakistán. Hay indicios de que están apuntando”.
Otros objetivos de las operaciones de recolección de credenciales incluyen organizaciones gubernamentales y militares en Sri Lanka y Bangladesh y, en menor medida, organizaciones energéticas y académicas chinas.
¿Te pareció interesante este artículo? sígueme Gorjeo Para leer más contenido exclusivo nuestro, visítenos en LinkedIn.
https://thehackernews.com/2024/09/cloudflare-warns-of-india-linked.html
