Un grupo de amenazas previamente indocumentado alineado con China denominado LongNosedGoblin se ha atribuido a una serie de ataques cibernéticos dirigidos a entidades gubernamentales en el sudeste asiático y Japón.
El objetivo final de estos ataques es el ciberespionaje, afirmó la empresa eslovaca de ciberseguridad ESET en un informe publicado hoy. Se ha evaluado que el grupo de actividad de amenazas está activo desde al menos septiembre de 2023.
«LongNosedGoblin utiliza la Política de grupo para implementar malware en la red comprometida y servicios en la nube (por ejemplo, Microsoft OneDrive y Google Drive) como servidores de comando y control (C&C)», afirman los investigadores de seguridad Anton Cherepanov y Peter Strýček. dicho.
Política de grupo es un mecanismo para administrar configuraciones y permisos en máquinas con Windows. Según Microsoft, la Política de grupo se puede utilizar para definir configuraciones para grupos de usuarios y computadoras cliente, así como para administrar computadoras servidor.
Los ataques se caracterizan por el uso de un variado conjunto de herramientas personalizadas que consiste principalmente en aplicaciones C#/.NET.
- NosyHistorian, para recopilar el historial del navegador de Google Chrome, Microsoft Edge y Mozilla Firefox
- NosyDoor, una puerta trasera que utiliza Microsoft OneDrive como C&C y ejecuta comandos que le permiten filtrar archivos, eliminar archivos y ejecutar comandos de shell
- NosyStealer, para filtrar datos del navegador de Google Chrome y Microsoft Edge a Google Drive en forma de un archivo TAR cifrado
- NosyDownloader, para descargar y ejecutar una carga útil en la memoria, como NosyLogger
- NosyLogger, una versión modificada de patoafilado que se utiliza para registrar pulsaciones de teclas
 |
| Cadena de ejecución de NosyDoor |
ESET dijo que detectó por primera vez actividad asociada con el grupo de piratas informáticos en febrero de 2024 en un sistema de una entidad gubernamental en el sudeste asiático y finalmente descubrió que se utilizó la Política de grupo para entregar el malware a múltiples sistemas de la misma organización. Actualmente se desconocen los métodos exactos de acceso inicial utilizados en los ataques.
«En la mayoría de los casos que investigamos, los atacantes ya estaban dentro de la red, por lo que no pudimos determinar el método de acceso inicial que utilizaron», dijo a The Hacker News Cherepanov, investigador senior de malware de ESET.
Un análisis más detallado ha determinado que, si bien muchas víctimas se vieron afectadas por NosyHistorian entre enero y marzo de 2024, solo un subconjunto de estas víctimas fueron infectadas con NosyDoor, lo que indica un enfoque más específico. En algunos casos, el gotero utilizado para desplegar la puerta trasera usando Inyección de AppDomainManager Se ha descubierto que contiene «barandillas de seguridad de ejecución» que están diseñadas para limitar la operación a las máquinas de víctimas específicas.
LongNosedGoblin también emplea otras herramientas como un proxy SOCKS5 inverso, una utilidad que se utiliza para ejecutar una grabadora de video para capturar audio y video, y un cargador Cobalt Strike.
La compañía de ciberseguridad señaló que el oficio del actor de amenazas comparte tenues superposiciones con grupos rastreados como toddygato y Mogwai eruditopero enfatizó la falta de evidencia definitiva que los vincule. Dicho esto, las similitudes entre NosyDoor y Agente de LuckyStrike y la presencia de la frase «Versión de pago» en la ruta PDB de LuckyStrike Agent han planteado la posibilidad de que el malware pueda venderse o licenciarse a otros actores de amenazas.
«Más tarde identificamos otro caso de una variante de NosyDoor dirigida a una organización en un país de la UE, empleando una vez más diferentes TTP y utilizando el servicio en la nube Yandex Disk como servidor C&C», señalaron los investigadores. «El uso de esta variante NosyDoor sugiere que el malware puede compartirse entre múltiples grupos de amenazas alineados con China».
Fuente