Ciberseguridad 360 | Atacantes vinculados a China aprovechan una falla de Check Point para implementar ShadowPad y ransomware

Un grupo de actividades de amenazas previamente desconocido apunt� a organizaciones europeas, particularmente aquellas del sector de la salud, para implementar PlugX y su sucesor, ShadowPad; las intrusiones finalmente llevaron a la implementaci�n de un ransomware llamado NailaoLocker en algunos casos.

La campa�a, cuyo nombre en c�digo es Green Nailao y que fue desarrollada por Orange Cyberdefense CERT, implic� la explotaci�n de una falla de seguridad recientemente parcheada en los productos de seguridad de la puerta de enlace de red de Check Point ( CVE-2024-24919 , puntuaci�n CVSS: 7,5). Los ataques se observaron entre junio y octubre de 2024.

"La campa�a se bas� en el secuestro del orden de b�squeda de DLL para implementar ShadowPad y PlugX, dos implantes a menudo asociados con intrusiones dirigidas al nexo con China", dijo la compa��a en un informe t�cnico compartido con The Hacker News.

Se dice que el acceso inicial proporcionado mediante la explotaci�n de instancias vulnerables de Check Point permiti� a los actores de la amenaza recuperar las credenciales del usuario y conectarse a la VPN utilizando una cuenta leg�tima.

En la siguiente etapa, los atacantes realizaron un reconocimiento de red y un movimiento lateral a trav�s del protocolo de escritorio remoto (RDP) para obtener privilegios elevados, seguido de la ejecuci�n de un binario leg�timo ("logger.exe") para cargar lateralmente una DLL falsa ("logexts.dll") que luego sirve como cargador para una nueva versi�n del malware ShadowPad .

Se ha descubierto que iteraciones anteriores de los ataques detectados en agosto de 2024 aprovechan una t�cnica similar para distribuir PlugX , que tambi�n emplea la carga lateral de DLL mediante un ejecutable de McAfee ("mcoemcpy.exe") para cargar lateralmente "McUtil.dll".

Al igual que PlugX, ShadowPad es un malware de venta privada que es utilizado exclusivamente por actores de espionaje chinos desde al menos 2015. La variante identificada por Orange Cyberdefense CERT presenta sofisticadas medidas de ofuscaci�n y antidepuraci�n, adem�s de establecer comunicaci�n con un servidor remoto para crear acceso remoto persistente a los sistemas de las v�ctimas.

Existen pruebas que sugieren que los actores de la amenaza intentaron exfiltrar datos accediendo al sistema de archivos y creando archivos ZIP. Las intrusiones culminaron con el uso de Windows Management Instrumentation (WMI) para transmitir tres archivos, un ejecutable leg�timo firmado por Beijing Huorong Network Technology Co., Ltd ("usysdiag.exe"), un cargador llamado NailaoLoader ("sensapi.dll") y NailaoLocker ("usysdiag.exe.dat").

Una vez m�s, el archivo DLL se carga a trav�s de "usysdiag.exe" para descifrar y activar la ejecuci�n de NailaoLocker, un ransomware basado en C++ que cifra archivos, les agrega una extensi�n ".locked" y deja una nota de rescate que exige a las v�ctimas que realicen un pago en bitcoins o los contacten a una direcci�n de Proton Mail.

"NailaoLocker es relativamente poco sofisticado y est� mal dise�ado; aparentemente no est� pensado para garantizar un cifrado completo", dijeron los investigadores Marine Pichon y Alexis Bonnefoi.

"No escanea recursos compartidos de red, no detiene servicios o procesos que podr�an impedir el cifrado de ciertos archivos importantes y no controla si se est� depurando".

Orange ha atribuido la actividad con un nivel de confianza medio a un actor de amenazas alineado con China debido al uso del implante ShadowPad, el uso de t�cnicas de carga lateral de DLL y el hecho de que esquemas de ransomware similares se han atribuido a otro grupo de amenazas chino denominado Bronze Starlight .

Es m�s, el uso de "usysdiag.exe" para cargar de forma lateral cargas �tiles de la siguiente etapa se ha observado anteriormente en ataques montados por un conjunto de intrusiones vinculado a China rastreado por Sophos bajo el nombre Cluster Alpha (tambi�n conocido como STAC1248).

Si bien no est�n claros los objetivos exactos de la campa�a de espionaje y ransomware, se sospecha que los actores de la amenaza buscan obtener ganancias r�pidas de manera paralela.

"Esto podr�a ayudar a explicar el contraste de sofisticaci�n entre ShadowPad y NailaoLocker, ya que NailaoLocker a veces incluso intenta imitar las t�cnicas de carga de ShadowPad", dijeron los investigadores. "Si bien estas campa�as a veces se pueden realizar de manera oportunista, a menudo permiten a los grupos de amenazas obtener acceso a sistemas de informaci�n que pueden usarse m�s tarde para realizar otras operaciones ofensivas".

Fuente: TheHackerNews.