Expertos vinculan los ataques de malware en las aceras con el grupo de hackers chinos Grayfly

10:28 11/09/2021 | Lượt xem

Grupo de hackers chinos

Una puerta trasera previamente indocumentada que fue encontrada recientemente como blanco de un minorista de computadoras anónimo con sede en EE. UU. Se ha relacionado con una operación de espionaje chino de larga data llamada Grayfly.

A finales de agosto, la empresa eslovaca de ciberseguridad ESET dio a conocer los detalles de un implante llamado SideWalk, que fue diseñado para cargar complementos arbitrarios enviados desde un servidor controlado por un atacante, recopilar información sobre procesos que se ejecutan en sistemas comprometidos y transmitir los resultados al control remoto. servidor.

La compañía de ciberseguridad culpó de la intrusión a un grupo al que rastrea como SparklingGoblin, un adversario que se cree está conectado a la familia de malware Winnti (también conocido como APT41).

Pero la última investigación publicada por los investigadores de Symantec en Broadcom ha puesto la puerta trasera de SideWalk en el grupo de espías vinculado a China, señalando las superposiciones del malware con el malware Crosswalk más antiguo, con las últimas actividades de piratería de Grayfly destacando varias organizaciones en México, Taiwán, EE. UU. Y Vietnam.

“Una característica de esta campaña reciente fue que una gran cantidad de objetivos estaban en el sector de las telecomunicaciones. El grupo también atacó a organizaciones en los sectores de TI, medios y finanzas”, dijo el equipo Threat Hunter de Symantec en un artículo publicado el jueves.

Conocido por haber estado activo al menos desde marzo de 2017, Grayfly sirve como el “brazo espía del APT41”, famoso por llegar a una variedad de industrias en busca de datos confidenciales, explotando servidores web Microsoft Exchange o MySQL públicos para instalar shells desde web para la intrusión inicial, antes de extenderse lateralmente a través de la red e instalar puertas traseras adicionales que permiten al agente de amenazas mantener el acceso remoto y exfiltrar la información acumulada.

En un caso señalado por Symantec, la actividad cibernética maliciosa del adversario comenzó con el objetivo de llegar a un servidor de Microsoft Exchange accesible por Internet para obtener una ventaja en la red. A esto le siguió la ejecución de una serie de comandos de PowerShell para instalar un shell web no identificado, lo que llevó a la implementación de la puerta trasera Sidewalk y una variante personalizada de la herramienta de volcado de credenciales Mimikatz que se usó en ataques anteriores de Grayfly.

“Grayfly es un actor capaz, que probablemente continuará representando un riesgo para las organizaciones en Asia y Europa en una variedad de sectores, incluyendo telecomunicaciones, finanzas y medios”, dijeron los investigadores. “Es probable que este grupo continúe desarrollando y mejorando sus herramientas personalizadas para mejorar las tácticas de evasión, junto con el uso de herramientas comunes como exploits disponibles públicamente y shells web para ayudar en sus ataques”.

Related Posts

Socio destacado: ACT Infront Systems

Allan King (sistemas internos) Crédito: proporcionado La serie ‘Partner Spotlight’ explora los socios que operan en la escena del canal local en todo el país, desde Cape York hasta Hobart, desde Byron Bay hasta...

lên đầu trang