El grupo chino de ciberespionaje APT41 se ha relacionado con campañas de malware aparentemente dispares, según una investigación reciente que mapeó otras partes de la infraestructura de red del grupo para atacar una campaña patrocinada por el estado que utiliza cebos de phishing COVID para atacar a las víctimas en India.
“La imagen que revelamos fue una campaña patrocinada por el estado que juega con las esperanzas de la gente de terminar rápidamente con la pandemia como un cebo para encarcelar a sus víctimas”, dijo el equipo de Investigación e Inteligencia de BlackBerry en un informe compartido con The Hacker News. «Y una vez que la amenaza llega a la computadora del usuario, se integra en la madera digital con su propio perfil personalizado para ocultar el tráfico de la red».
APT41 (también conocido como Bario o Winnti) es un apodo asignado a un prolífico grupo chino de amenazas cibernéticas que ha estado realizando actividades de espionaje patrocinadas por el estado en relación con operaciones motivadas financieramente para beneficio personal desde 2012. Llamamos al grupo «Doble Dragón» por su doble propósito, Mandiant (anteriormente FireEye) señaló el compromiso del equipo con las huelgas en los sectores de salud, alta tecnología y telecomunicaciones para crear acceso a largo plazo y facilitar el robo de propiedad intelectual.
Además, el grupo es conocido por organizar intrusiones de delitos cibernéticos que se centran en el código fuente y el robo de certificados digitales, la manipulación de moneda virtual y el despliegue de ransomware, además de comprometer la cadena de suministro de software al insertar código malicioso en archivos legítimos antes de distribuir el software. actualizar.
La última investigación de BlackBerry se basa en los hallazgos anteriores de Mandiant en marzo de 2020, que detallaron la «campaña de interrupción global» lanzada por APT41 al explotar una serie de vulnerabilidades conocidas públicamente que afectan a los dispositivos Cisco y Citrix para reducir y activar la siguiente fase de las cargas útiles. cargador de arranque en sistemas comprometidos. El cargador de arranque se destacó por usar un perfil de comando y control flexible (C2), que permitió a Beacon combinar su comunicación de red con un servidor remoto en tráfico legítimo que se originaba en la red de la víctima.
BlackBerry, que encontró un perfil C2 similar cargado en GitHub el 29 de marzo por un investigador de seguridad chino con el seudónimo «1135», usó información de configuración de metadatos para identificar un nuevo grupo de dominios relacionados con APT41 que intentaban disfrazar el tráfico de Beacon que parece ser legítimo. . tráfico de los sitios de Microsoft, con direcciones IP y nombres de dominio encontrados en las campañas de Higaisa APT y Winnti publicadas en el último año.
La investigación posterior de las URL reveló hasta tres PDF maliciosos que ingresaron a uno de los dominios recién descubiertos, que anteriormente también albergaba el servidor Cobalt Strike Team. Los documentos, probablemente utilizados junto con correos electrónicos de phishing como vector principal de la infección, afirmaban ser alertas de COVID-19 emitidas por el gobierno indio o contenían información sobre la última legislación fiscal sobre la renta dirigida a los no residentes indios.
Los archivos adjuntos de spear-phishing aparecen en forma de archivos comprimidos .LNK o .ZIP, que cuando se abren muestran el documento PDF de la víctima, mientras que, en segundo plano, la cadena de infección conduce a la ejecución de cobalto. Baliza de ataque. Aunque un grupo de intrusiones que usaban señuelos de phishing similares y que se descubrieron en septiembre de 2020 se adjuntaron al grupo Evilnum, BlackBerry dijo que los indicadores de compromiso apuntan a una campaña relacionada con APT41.
«Con los recursos de un grupo de amenazas a nivel de estado nación, es posible crear un nivel verdaderamente asombroso de diversidad en su infraestructura», dijeron los investigadores.
