APT chinas que llevan a cabo ataques de ransomware utilizando herramientas legítimas

Investigadores de seguridad de Profero y Security Joes firman detalles sobre una APT china, que se está moviendo hacia ataques de ransomware. El grupo se identifica como APT27, también conocido como Panda Emissary y otros nombres. Los investigadores encontraron evidencia de que APT27 usa malware de puerta trasera y cifrado de archivos.

Grupos chinos de ciberespionaje implicados en ransomware

APT chinas que llevan a cabo ataques de ransomware utilizando herramientas legítimas

Es inusual que los grupos de ciberespionaje se involucren en ataques de ransomware, ya que solo se preocupan por las actividades de espionaje y robo de datos para su gobierno de apoyo. Pero, investigadores de Profero y Seguridad Joes empresas de seguridad han descubierto que la APT china, identificada como APT 27 ingresó al espacio del ransomware recientemente.

El grupo también se identifica con varios nombres, como Panda emisario, TG-3390, Panda emisario, LuckyMouse, BRONZE UNION y Iron-Tiger. Se dice que el grupo está utilizando varias herramientas diseñadas para cifrar los sistemas de destino. Esto incluye servicios legítimos, como actualizaciones de Google y BitLocker, el software de cifrado de unidades de Microsoft.

Según los ataques observados el año pasado, APT 27 tiene como objetivo al menos cinco empresas en el espacio de los juegos de azar en línea a nivel mundial y ¡ha cifrado con éxito sus servidores principales utilizando BitLocker! Se informa que lo lograron mediante la explotación de un servicio de terceros en la red del objetivo, que a su vez lo obtuvo de otro servicio de terceros.

Al examinar el ataque, los investigadores encontraron muestras de malware como DRBControl, que es la misma herramienta descrita por Trend Micro en una campaña anterior atribuida al uso de APT 27 y Winnti, ambos grupos de ciberespionaje apoyados por China.

En un informe conjunto Lanzado recientemente, Security Joes y Profero afirman haber encontrado una muestra de puerta trasera Clambling, que se utiliza para definir puertas traseras en el sistema de destino para el reconocimiento. También tienen ASPXSpy shell web y PlugX RAT, donde este último fue mencionado varias veces en campañas vinculadas a grupos chinos.

Además de estos dos APT chinos, los investigadores de Positive Technologies vincularon APT27 con un ataque que tuvo lugar en Polar en abril de 2020.Se dice que el grupo APT 27 está utilizando medios generales para acercarse e infectar objetivos, como estos PlugX y Clambling. , ambos ingresaron en la memoria del sistema a través de un ejecutable de Google Updater más antiguo, que tiene un error de carga lateral de DLL.

Además, los atacantes están explotando una vulnerabilidad previamente conocida, rastreada como CVE-2017-0213 para escalar privilegios en el sistema. En resumen, se afirma firmemente que las APT chinas se están moviendo gradualmente hacia ataques con motivación financiera, lo cual es poco común en los grupos de hackers apoyados por el estado-nación.