Una reciente campaña de ataque, llamada SLOW#TEMPEST y sin vínculo conocido con algún actor específico, tiene como punto de inicio archivos ZIP maliciosos que, al descomprimirse, activan un proceso de infección, desencadenando la instalación de un kit de herramientas de post-explotación en sistemas comprometidos.
Esta campaña incluye un archivo de acceso directo de Windows (LNK) disfrazado como un archivo de Microsoft Word llamado «违规远程控制软件人员名单.docx.lnk,» que se traduce aproximadamente como «Lista de personas que violaron las regulaciones del software de control remoto.»
El archivo LNK actúa como un conducto para lanzar un archivo binario legítimo de Microsoft («LicensingUI.exe») que a su vez utiliza la carga lateral de DLL para ejecutar una DLL falsa («dui70.dll»). Ambos archivos forman parte del archivo ZIP y se encuentran en un directorio llamado «\ 其他信息 \. __ MACOS__ \. _MACOS_ \ __MACOSX \ _MACOS_.» Este ataque marca la primera vez que se informa de una carga lateral de DLL a través de LicensingUI.exe.
El archivo DLL es un implante de Cobalt Strike que permite el acceso persistente y sigiloso al host infectado, al mismo tiempo que establece contacto con un servidor remoto («123.207.74[.]22«).
Se reporta que el acceso remoto permitió a los atacantes llevar a cabo diversas actividades prácticas, como la implementación de cargas útiles adicionales para reconocimiento y el establecimiento de conexiones proxy.
La cadena de infección también establece una tarea programada para ejecutar periódicamente un ejecutable malicioso llamado «lld.exe» que puede ejecutar código de shell arbitrario directamente en la memoria, minimizando así las huellas en el disco.
«Los atacantes se habilitaron para ocultarse en los sistemas comprometidos al elevar manualmente los privilegios de la cuenta de usuario Invitado incorporada,» informaron los investigadores.
«Esta cuenta, típicamente desactivada y con privilegios mínimos, se transformó en un potente punto de acceso al agregarla al grupo administrativo crítico y asignarle una nueva contraseña. Este backdoor les permite mantener acceso al sistema con una detección mínima, ya que la cuenta de Invitado a menudo no es monitoreada tan de cerca como otras cuentas de usuario.»
El actor de amenazas desconocido procedió posteriormente a moverse lateralmente a través de la red utilizando el Protocolo de Escritorio Remoto (RDP) y credenciales obtenidas a través de la herramienta de extracción de contraseñas Mimikatz, seguido por el establecimiento de conexiones remotas con su servidor de comando y control (C2) desde cada una de esas máquinas.
La fase de post-explotación se caracteriza además por la ejecución de varios comandos de enumeración y el uso de la herramienta BloodHound para el reconocimiento de directorio activo (AD), cuyos resultados luego fueron extraídos en forma de un archivo ZIP.
Las conexiones con China se ven reforzadas por el hecho de que todos los servidores C2 están alojados en China por Shenzhen Tencent Computer Systems Company Limited. Además, la mayoría de los artefactos conectados con la campaña han originado desde China.
«Aunque no había evidencia sólida que vincule este ataque a ningún grupo APT conocido, es probable que sea orquestado por un actor de amenazas experimentado que tenía experiencia en el uso de marcos avanzados de explotación como Cobalt Strike y una amplia gama de otras herramientas de post-explotación,» concluyeron los investigadores.
«La complejidad de la campaña es evidente en su enfoque metódico para la compromisión inicial, persistencia, escalada de privilegios y movimiento lateral a través de la red.»
Vía The Hacker News
