Investigadores de ciberseguridad han revelado detalles de un grupo de amenazas no documentado previamente llamado Neblina marina inmarcesible que se cree que ha estado activo desde 2018.
La intrusión apuntó a organizaciones de alto nivel en los países del Mar de China Meridional, en particular objetivos militares y gubernamentales, dijo Bitdefender en un informe compartido con The Hacker News.
«La investigación reveló una tendencia preocupante más allá del contexto histórico», dijo Martin Zugec, director de soluciones técnicas de Bitdefender. dichoañadiendo que identificó un total de ocho víctimas hasta la fecha.
«En particular, los atacantes recuperaron repetidamente el acceso a los sistemas comprometidos. Esta explotación resalta una vulnerabilidad crítica: mala higiene de las credenciales y prácticas inadecuadas de parcheo en dispositivos y servicios web expuestos».
Hay algunos indicios de que el actor de amenazas detrás de los ataques está operando con objetivos alineados con los intereses chinos a pesar de que las firmas del ataque no se superponen con las de ningún grupo de hackers conocido.
Esto incluye la huella de victimología, con países como Filipinas y otras organizaciones en el Pacífico Sur que anteriormente fueron blanco de ataques vinculados a China. actor mustang panda.
También se utilizan en los ataques varias iteraciones del Malware Gh0st RATun troyano básico conocido por ser utilizado por actores de amenazas de habla china.
«Una técnica específica empleada por Unfading Sea Haze (ejecutar código JScript a través de una herramienta llamada SharpJSHandler) se parecía a una característica que se encuentra en el ‘divertidointerruptor‘puerta trasera, que se ha vinculado a APT41″, dijo Bitdefender. «Ambas implican cargar ensamblados .NET y ejecutar código JScript. Sin embargo, se trata de una similitud aislada.»
Actualmente se conoce la vía de acceso inicial exacta utilizada para infiltrarse en los objetivos, aunque, en un giro interesante, se ha observado que Unfading Sea Haze recupera el acceso a las mismas entidades a través de correos electrónicos de phishing que contienen archivos con trampas explosivas.
Estos archivos vienen equipados con archivos de acceso directo de Windows (LNK) que, cuando se inician, desencadenan el proceso de infección ejecutando un comando diseñado para recuperar la carga útil de la siguiente etapa desde un servidor remoto. Esta carga útil es una puerta trasera denominada SerialPktdoor que está diseñada para ejecutar scripts de PowerShell, enumerar directores, descargar/cargar archivos y eliminar archivos.
Es más, el comando aprovecha Microsoft Build Engine (MSBuild) para ejecutar sin archivos un archivo ubicado en una ubicación remota, sin dejar rastros en el host de la víctima y reduciendo las posibilidades de detección.
Las cadenas de ataques se caracterizan por el uso de tareas programadas como una forma de establecer la persistencia, donde los nombres de las tareas se hacen pasar por archivos legítimos de Windows que se emplean para ejecutar un ejecutable inofensivo que es susceptible a Carga lateral de DLL para cargar una DLL maliciosa.
«Más allá de utilizar tareas programadas, el atacante empleó otra técnica de persistencia: manipular cuentas de administrador local», afirmó la firma rumana de ciberseguridad. «Esto implicó intentos de habilitar la cuenta de administrador local deshabilitada, seguido de restablecer su contraseña».
Al menos desde septiembre de 2022, se sabe que Unfading Sea Haze incorpora herramientas de gestión y monitoreo remoto (RMM) disponibles comercialmente, como ITarian RMM, para afianzarse en las redes de víctimas, una táctica que no se observa comúnmente entre los actores estatales que prohíben la Grupo iraní MuddyWater.
La sofisticación del adversario se evidencia en una amplia variedad de herramientas personalizadas en su arsenal, que comprende variantes de Gh0st RAT como SilentGh0st y su sucesor evolutivo InsidiousGh0st (que viene en versiones C++, C# y Go), TranslucentGh0st, FluffyGh0st y EtherealGh0st. los tres últimos son modulares y adoptan un enfoque basado en complementos.
También se utiliza un cargador conocido como Ps2dllLoader que puede omitir la interfaz de escaneo antimalware (AMSI) y actúa como un conducto para entregar SharpJSHandler, que opera escuchando solicitudes HTTP y ejecuta el código JavaScript codificado usando la biblioteca Microsoft.JScript.
Bitdefender dijo que descubrió dos versiones más de SharpJSHandler que son capaces de recuperar y ejecutar una carga útil desde servicios de almacenamiento en la nube como Dropbox y Microsoft OneDrive, y exportar los resultados a la misma ubicación.
Ps2dllLoader también contiene otra puerta trasera con nombre en código Stubbedoor que es responsable de iniciar un ensamblado .NET cifrado recibido de un servidor de comando y control (C2).
Otros artefactos implementados durante el transcurso de los ataques incluyen un registrador de teclas llamado xkeylog, un ladrón de datos del navegador web, una herramienta para monitorear la presencia de dispositivos portátiles y un programa de exfiltración de datos personalizado llamado DustyExfilTool que se utilizó entre marzo de 2018 y enero de 2022. .
Eso no es todo. Entre el complejo arsenal de agentes y herramientas maliciosos utilizados por Unfading Sea Haze está presente una tercera puerta trasera conocida como SharpZulip que utiliza la API del servicio de mensajería Zulip para recuperar comandos para su ejecución desde una secuencia llamada «NDFUIBNFWDNSA». En Zulip, las transmisiones (ahora llamadas canales) son análogas a los canales de Discord y Slack.
Hay evidencia que sugiere que el actor de la amenaza realiza manualmente la filtración de datos para capturar información de interés, incluidos datos de aplicaciones de mensajería como Telegram y Viber, y empaquetarlos en forma de un archivo protegido con contraseña.
«Esta combinación de herramientas personalizadas y disponibles en el mercado, junto con la extracción manual de datos, muestra una imagen de una campaña de espionaje dirigida a adquirir información confidencial de sistemas comprometidos», señaló Zugec.
«Su arsenal de malware personalizado, incluida la familia Gh0st RAT y Ps2dllLoader, muestra un enfoque en la flexibilidad y las técnicas de evasión. El cambio observado hacia la modularidad, los elementos dinámicos y la ejecución en memoria resalta sus esfuerzos por eludir las medidas de seguridad tradicionales».
