Las organizaciones gubernamentales y de telecomunicaciones en África, Medio Oriente y Asia se han convertido en el objetivo de un actor de estado-estado nación de China previamente indocumentado denominado Tauro fantasma En los últimos dos años y medio.
«Las principales áreas de enfoque de Phantom Taurus incluyen ministerios de asuntos exteriores, embajadas, eventos geopolíticos y operaciones militares», la Unidad de Palo Alto Networks 42 Investigador Lior Rochberger dicho. «El objetivo principal del grupo es el espionaje. Sus ataques demuestran sigilo, persistencia y la capacidad de adaptar rápidamente sus tácticas, técnicas y procedimientos (TTP)».
Vale la pena señalar que el grupo de piratería fue detallado por primera vez por la compañía de seguridad cibernética en junio de 2023 bajo el apodo Cl-STA-0043. Luego en mayo pasado, el clúster de amenazas se graduó a un grupo temporal, TGR-STA-0043después de las revelaciones sobre sus esfuerzos sostenidos de espionaje cibernético dirigidos a entidades gubernamentales desde al menos a fines de 2022 como parte de una campaña con nombre en código de la Operación Diplomática Spectre.
La unidad 42 dijo que su continua observación del grupo arrojó suficiente evidencia para clasificarlo como un nuevo actor de amenaza cuyo objetivo principal es permitir la recopilación de inteligencia a largo plazo y obtener datos confidenciales de objetivos que son de interés estratégico para China, tanto económica como geopolíticamente.
«El grupo se interesa por las comunicaciones diplomáticas, la inteligencia relacionada con la defensa y las operaciones de los ministerios gubernamentales críticos», dijo la compañía. «El momento y el alcance de las operaciones del grupo con frecuencia coinciden con los principales eventos globales y los asuntos de seguridad regionales».
Este aspecto es particularmente revelador, sobre todo porque otros grupos de piratería chinos también han adoptado un enfoque similar. Por ejemplo, un nuevo adversario rastreado por el futuro grabado como Rednovember es juzgado tener entidades dirigidas en Taiwán y Panamá muy cerca de «eventos geopolíticos y militares de interés estratégico clave para China».
El modus operandi de Phantom Taurus también se destaca debido al uso de herramientas y técnicas desarrolladas a medida que rara vez se observan en el panorama de amenazas. Esto incluye una suite de malware a medida nunca antes vista doblada Net-Star. Desarrollado en .NET, el programa está diseñado para apuntar a los servidores web de Servicios de Información de Internet (IIS).
Dicho esto, el equipo de piratería se ha basado en una infraestructura operativa compartida que ha empleado previamente grupos como AT27 (también conocido como Iron Taurus), APT41 (también conocido como Starchy Taurus o Winnti) y Mustang Panda (también conocido como Tauro Matrayly Tauro). Por el contrario, los componentes de infraestructura utilizados por el actor de amenaza no se han detectado en las operaciones llevados a cabo por otros, lo que indica algún tipo de «compartimentación operativa» dentro del ecosistema compartido.
El vector de acceso inicial exacto no está claro, pero las intrusiones anteriores han armado los Servicios de información de Internet en las instalaciones vulnerables (IIS) y los servidores de intercambio de Microsoft, que abusan de fallas como ProxyLogon y Proxyshell, para infiltrarse en redes objetivo.
«Hasta ahora los hemos visto explotar vulnerabilidades conocidas para los servidores de IIS y Microsoft Exchange (como Proxylogon y Proxyshell), pero eso no significa que no cambie en el futuro», dijo Assaf Dahan, director de investigación de amenazas en la Unidad 42, a The Hacker News. «El grupo es muy ingenioso y motivado: encontrarán una forma de una forma u otra».
Otra faceta significativa de los ataques es el cambio de recopilar correos electrónicos a la orientación directa de bases de datos utilizando un script por lotes que permite conectarse a una base de datos de SQL Server, exportar los resultados en forma de un archivo CSV y terminar la conexión. El script se ejecuta utilizando la instrumentación de administración de Windows (WMI) Infraestructura.
La Unidad 42 dijo que el actor de amenaza utilizó este método para buscar metódicamente documentos de interés e información relacionados con países específicos como Afganistán y Pakistán.
Los ataques recientes montados por Phantom Taurus también han aprovechado la estrella de la red, que consta de tres puertas traseras basadas en la web, cada una de las cuales realiza una función específica mientras mantiene el acceso al entorno IIS comprometido,
- Iiservercoreuna puerta trasera modular sin archivo cargada por medio de un shell web ASPX que admite la ejecución en memoria de argumentos de línea de comandos, comandos arbitrarios y cargas útiles, y transmite los resultados en un canal de comunicación de comando y control (C2) cifrado (C2)
- AssemantyExecuter v1que carga y ejecuta cargas útiles de .NET adicionales en la memoria
- AssemantyExecuter v2una versión mejorada de EnsambleyExecuter V1 que también viene equipada con la capacidad de evitar la interfaz de escaneo de antimalware (AMSI) y el rastreo de eventos para Windows (ETW)
«El suite de malware Net-Star demuestra las técnicas de evasión avanzada de Phantom Taurus y una comprensión profunda de la arquitectura .NET, que representa una amenaza significativa para los servidores orientados a Internet», dijo la Unidad 42. «IIServerCore también admite un comando llamado ChangelastModified. Esto sugiere que el malware tiene capacidades activas de tiempo de tiempo, diseñada para confundir analistas de seguridad y herramientas forenses digitales».
Fuente