Una puerta trasera previamente no documentada, encontrada recientemente dirigida a un minorista de computadoras con sede en EE. UU. no identificado, se ha relacionado con una operación de espionaje china de larga duración llamada Grayfly.
A fines de agosto, la empresa eslovaca de seguridad cibernética ESET publicó detalles sobre un implante llamado SideWalk, que está diseñado para cargar cualquier complemento enviado desde un servidor controlado por un atacante, recopilar información sobre procesos en ejecución en sistemas infectados y pasar los resultados a un servidor remoto. .
La firma de ciberseguridad ha acreditado a su grupo como SparklingGoblin, un adversario que se cree que está vinculado a la familia de malware Winnti (también conocido como APT41).
Sin embargo, la última investigación publicada por los investigadores de Symantec de Broadcom adjuntó la puerta trasera de SideWalk a un grupo de espionaje vinculado a China y señaló la superposición de malware con el malware Crosswalk más antiguo, y las últimas actividades de piratería de Grayfly destacaron una serie de organizaciones en México, Taiwán, Estados Unidos y Vietnam.
«El carácter de esta campaña reciente fue que una gran cantidad de objetivos estaban en el sector de las telecomunicaciones. El grupo también atacó organizaciones en los sectores de TI, medios y finanzas», dijo el equipo de Symantec Threat Hunter en un comunicado publicado el jueves.
Grayfly, que se sabe que está activo desde al menos marzo de 2017, actúa como el «brazo espía de APT41», que es conocido por apuntar a varias industrias en busca de datos confidenciales mediante el uso de sitios web de Microsoft Exchange disponibles públicamente o MySQL para instalar. conchas web para la intrusión inicial. antes de que se propague por la red e instale puertas traseras adicionales que permitan al actor de amenazas mantener el acceso remoto y filtrar la información recopilada.
En un caso que informó Symantec, la actividad cibernética insidiosa de un adversario comenzó a apuntar a un servidor Microsoft Exchange accesible por Internet para obtener soporte inicial en la red. A esto le siguió la ejecución de una cadena de comando de PowerShell para instalar un shell web no identificado, lo que eventualmente condujo a la implementación de las puertas traseras Sidewalk y la herramienta de almacenamiento de credenciales Mimikatz personalizada utilizada en ataques Grayfly anteriores.
La empresa señaló que no se observó ninguna actividad de seguimiento más allá de este punto.
«Grayfly es un jugador capaz que probablemente seguirá representando un riesgo para las organizaciones en Asia y Europa en una variedad de industrias, incluidas las telecomunicaciones, las finanzas y los medios», dijeron los investigadores. «Es probable que este grupo continúe desarrollando y refinando sus propias herramientas para mejorar las tácticas de escape, junto con el uso de herramientas básicas como exploits disponibles públicamente y shells web para ayudarlos en sus ataques».
