Los actores de amenazas incluyen una variedad de individuos y grupos que plantean diferentes riesgos de ciberseguridad. Sus actividades y tácticas han evolucionado significativamente con el tiempo y están dirigidas principalmente al “espionaje”, la “perturbación” y el “beneficio financiero”.
El equipo de DFIR Report Threat Intel reveló recientemente el conjunto de herramientas y el historial de actividad de los piratas informáticos chinos.
Entre enero y febrero de 2024, los investigadores descubrieron un grupo de hackers chino llamado “You Dun” (también conocido como “Equipo técnico de Dark Cloud Shield”) a través de un “Directorio abierto” público y su completo Revelando la “infraestructura de ataque”.
El grupo utilizó herramientas de reconocimiento avanzadas, que incluyen:
WebLogicScan (escáner de vulnerabilidades de WebLogic basado en Python) Vulmap (para una evaluación amplia de vulnerabilidades web) Xray (para escaneo de vulnerabilidades de sitios web especializados) dirsearch (para descubrimiento de rutas URL)
Su principal método de ataque incluía apuntar a una empresa farmacéutica de Corea del Sur y explotar la instalación del software 'Zhiyuan OA' mediante un ataque de 'inyección SQL' utilizando 'SQLmap'.
Proteja su red y sus terminales con Under Defense MDR: solicite una demostración gratuita
Como parte de nuestros esfuerzos posteriores a la explotación, implementamos herramientas avanzadas de escalada de privilegios como 'traitor' (para sistemas Linux) y 'CDK' (particularmente para entornos 'Docker' y 'Kubernetes').
La infraestructura C2 del grupo estará impulsada por “Cobalt Strike” (mejorado con complementos “TaoWu” y “Ladon” para extensiones) y un control remoto llamado “Viper” del 18 de enero al 10 de febrero de 2024. En cuanto al marco de acceso, el informe del DFIR afirma:
En una notable expansión de sus actividades ilegales, el grupo ha aprovechado el creador de ransomware “LockBit 3.0” filtrado para crear una variante de ransomware personalizada (“LB3.exe”) que apunta a las víctimas como El usuario fue dirigido al grupo de Telegram “You_Dun '' administrado por “You_Dun.'' Eva”.
El grupo llevó a cabo una variedad de actividades maliciosas, incluidas “ventas ilegales de datos”, “ataques DDoS” y “operaciones de ransomware”, mientras se hacía pasar por un “servicio legítimo de pruebas de penetración”.
Esto indica un alto grado de fusión tanto de “experiencia técnica” como de “actividad criminal”.
Modelo de diamante (Fuente – Informe DFIR)
Los analistas de seguridad creen que los atacantes están utilizando una clave de licencia descifrada ('marca de agua: 987654321') para implementar 'Cobalt Strike' (una herramienta de acceso remoto) en la dirección IP '116.212.120.32' durante la operación. estaban acostumbrados a
El atacante dejó un archivo llamado “红队版.zip''. Este archivo contenía herramientas de ataque adicionales como TaoWu y Landon (una extensión de Cobalt Strike para una funcionalidad mejorada).
A continuación, para administrar la infraestructura de ataque, instalamos un marco de comando y control (C2) llamado Viper, configurado en el puerto 60000 con un certificado SSL predeterminado.
La funcionalidad Metasploit (vipermsf) incorporada de Viper se utilizó para comprometer un sitio web de WordPress alojado en Amazon Web Services (AWS) a través de una vulnerabilidad de seguridad en el complemento WPCargo (CVE-2021-25003).
Para obtener mayores niveles de acceso al sistema, utilizaron herramientas de escalada de privilegios.
CDK (para evitar las limitaciones del contenedor Docker) CDK (Fuente: informe DFIR) Traitor (contiene múltiples exploits de escalada de privilegios de Linux) Traitor (Fuente: informe DFIR)
Su objetivo final parece ser implementar el ransomware LockBit (específicamente la versión LB3.exe vinculada al canal de Telegram “You_Dun” en hXXps://t.me/You_Dun).
Canales de Telegram mencionados en la nota de rescate revisada (Fuente: informe DFIR)
La campaña de ataque tuvo como objetivo organizaciones en varios países asiáticos, incluidos Corea del Sur, China, Tailandia, Taiwán e Irán, con especial atención al gobierno, la educación y la salud, “Departamento de Logística”.
Países objetivo (Fuente – Informe DFIR)
A través de un servidor proxy alojado por 'Forewin Telecom Group Limited', los atacantes pudieron acceder a múltiples direcciones IP ('43.228.89.245-248', '103.228.108.247', '115.126.107.244', '116.212.120.32', ” 163.53.216.157″) se utilizó para realizar el ataque. ”) para ocultar su verdadera ubicación.
Realice análisis privados de malware en tiempo real en máquinas virtuales Windows y Linux. ¡Obtén una prueba gratuita de 14 días en ANY.RUN!
