Ciberseguridad 360 | Hackers chinos atacan industria electrica

Un actor de amenazas llamado Redfly ha sido vinculado a un compromiso de una red nacional ubicada en un pa�s asi�tico sin nombre durante nada menos que seis meses a principios de este a�o utilizando un conocido malware denominado ShadowPad.

"Los atacantes lograron robar credenciales y comprometer m�ltiples ordenadores de la red de la organizaci�n", dijo el equipo Symantec Threat Hunter, parte de Broadcom, en un informe compartido con The Hacker News. "El ataque es el �ltimo de una serie de intrusiones de espionaje contra objetivos [de infraestructuras nacionales cr�ticas]".

ShadowPad, tambi�n conocido como PoisonPlug, es la continuaci�n del troyano de acceso remoto PlugX y es un implante modular capaz de cargar plugins adicionales de forma din�mica desde un servidor remoto seg�n sea necesario para recopilar datos confidenciales de redes infectadas.

Ha sido ampliamente utilizado por una creciente lista de grupos de estados-naci�n vinculados a China desde al menos 2019 en ataques dirigidos a organizaciones en varios verticales de la industria.

"ShadowPad se descifra en memoria utilizando un algoritmo de descifrado personalizado", se�al� la Unidad de Contraamenazas (CTU) de Secureworks en febrero de 2022. "ShadowPad extrae informaci�n sobre el host, ejecuta comandos, interact�a con el sistema de archivos y el registro, y despliega nuevos m�dulos para ampliar la funcionalidad".

El primer indicio de un ataque dirigido a la entidad asi�tica se habr�a registrado el 23 de febrero de 2023, cuando se ejecut� ShadowPad en un �nico ordenador, al que sigui� la ejecuci�n de la puerta trasera tres meses despu�s, el 17 de mayo.

Tambi�n se despleg� por la misma �poca una herramienta llamada Packerloader que se utiliza para ejecutar shellcode arbitrario, us�ndolo para modificar los permisos de un archivo de controlador conocido como dump_diskfs.sys para conceder acceso a todos los usuarios, lo que plantea la posibilidad de que el controlador pueda haber sido utilizado para crear volcados del sistema de archivos para su posterior exfiltraci�n.

Adem�s, se ha observado a los autores de la amenaza ejecutando comandos PowerShell para recopilar informaci�n sobre los dispositivos de almacenamiento conectados al sistema, volcar credenciales del Registro de Windows y, al mismo tiempo, borrar los registros de eventos de seguridad de la m�quina.

"El 29 de mayo, los atacantes volvieron y utilizaron una versi�n renombrada de ProcDump (nombre de archivo: alg.exe) para volcar credenciales de LSASS", dijo Symantec. "El 31 de mayo, se utiliza una tarea programada para ejecutar oleview.exe, probablemente para realizar carga lateral y movimiento lateral".

Se sospecha que Redfly utiliz� credenciales robadas para propagar la infecci�n a otras m�quinas de la red. Tras un par�ntesis de casi dos meses, el adversario reapareci� en escena para instalar un keylogger el 27 de julio y volver a extraer credenciales de LSASS y del Registro el 3 de agosto.

Seg�n Symantec, la campa�a comparte infraestructura y herramientas con la actividad previamente identificada atribuida al grupo patrocinado por el estado chino denominado APT41 (alias Winnti), y Redly se centra casi exclusivamente en atacar entidades de infraestructuras cr�ticas.

Sin embargo, hasta la fecha no hay pruebas de que el grupo de hackers haya llevado a cabo ning�n ataque perturbador.

"Los actores de amenazas que mantienen una presencia persistente a largo plazo en una red nacional presentan un claro riesgo de ataques dise�ados para interrumpir el suministro de energ�a y otros servicios vitales en otros estados en momentos de mayor tensi�n pol�tica", dijo la compa��a.

Este hecho se produce cuando Microsoft ha revelado que actores afiliados a China est�n perfeccionando los medios visuales generados por IA para utilizarlos en operaciones de influencia dirigidas a Estados Unidos, as� como "llevando a cabo la recopilaci�n de inteligencia y la ejecuci�n de malware contra gobiernos e industrias regionales" en la regi�n del Mar de China Meridional desde principios de a�o.

"Raspberry Typhoon [antes Radium] apunta constantemente a ministerios gubernamentales, entidades militares y entidades corporativas conectadas a infraestructuras cr�ticas, particularmente telecomunicaciones", dijo el gigante tecnol�gico. "Desde enero de 2023, Raspberry Typhoon ha sido particularmente persistente".

Otros objetivos incluyen la base industrial de defensa de Estados Unidos (Circle Typhoon / DEV-0322, Mulberry Typhoon / Manganese y Volt Typhoon / DEV-0391), la infraestructura cr�tica de Estados Unidos, entidades gubernamentales en Europa y Estados Unidos (Storm-0558) y Taiw�n (Charcoal Typhoon / Chromium y Flax Typhoon / Storm-0919).

Tambi�n sigue a un informe del Atlantic Council seg�n el cual una ley china que obliga a las empresas que operan en el pa�s a revelar los fallos de seguridad de sus productos al Ministerio de Industria y Tecnolog�a de la Informaci�n (MIIT) permite al pa�s almacenar las vulnerabilidades y ayudar a los hackers estatales a "aumentar el ritmo, el �xito y el alcance de sus operaciones."

Fuente: thehackernews