Un clúster de actividad de amenazas previamente desconocido dirigió a las organizaciones europeas, particularmente aquellas en el sector de la salud, para implementar a Plugx y su sucesor, ShadowPad, con las intrusiones que finalmente conducen al despliegue de un ransomware llamado Nailaolocker en algunos casos.
La campaña, con nombre en código Green Nailao de Orange CyberDefense Cert, implicó la explotación de una falla de seguridad ahora parchada en los productos de seguridad de la puerta de la red de puntos de control (CVE-2024-24919, puntaje CVSS: 7.5). Los ataques se observaron entre junio y octubre de 2024.
«La campaña se basó en el secuestro de orden de búsqueda de DLL para implementar ShadowPad y Plugx: dos implantes a menudo asociados con las intrusiones dirigidas por China-Nexus», dijo la compañía en un informe técnico compartido con Hacker News.
Se dice que el acceso inicial brindado por la explotación de instancias de punto de control vulnerables permitió a los actores de amenaza recuperar las credenciales de los usuarios y conectarse a la VPN utilizando una cuenta legítima.
En la siguiente etapa, los atacantes llevaron a cabo el reconocimiento de la red y el movimiento lateral a través del Protocolo de escritorio remoto (RDP) para obtener privilegios elevados, seguido de la ejecución de un binario legítimo («Logger.exe») para acertar una dll deshilachada («Logexts.dll» ) que luego sirve como cargador para una nueva versión del malware ShadowPad.
Se ha encontrado que las iteraciones anteriores de los ataques detectados en agosto de 2024 aprovechan la artesanía similar para entregar a Plugx, que también emplea la carga lateral de DLL utilizando un ejecutable de McAfee («mcoemcpy.exe») a Sideload «mcutil.dll».
Al igual que Plugx, ShadowPad es un malware vendido privado que es utilizado exclusivamente por los actores de espionaje chinos desde al menos 2015. La variante identificada por Orange CyberDefense CERT presenta una ofuscación sofisticada y medidas anti-debug, junto con la comunicación con un servidor remoto para crear acceso remoto persistente a un acceso remoto a la persistente a Sistemas de víctimas.
Hay evidencia que sugiere que los actores de amenaza intentaron exfiltrar datos accediendo al sistema de archivos y creando archivos zip. Las intrusiones culminan con el uso de Windows Management Instrumentation (WMI) para transmitir tres archivos, un ejecutable legítimo firmado por Beijing Huorong Network Technology Co., Ltd («usysdiag.exe»), un cargador llamado Nailaoloader («Sensapi.dll») , y Nailaolocker («usysdiag.exe.dat»).
Una vez más, el archivo DLL se acompaña a través de «usysdiag.exe» para descifrar y activar la ejecución de Nailaolocker, un ransomware basado en C ++ que encripta los archivos, los agrega con una extensión «. Para realizar un pago de bitcoin o contactarlos en una dirección de correo de protones.
«Nailaolocker es relativamente poco sofisticado y mal diseñado, aparentemente no tiene la intención de garantizar el cifrado completo», dijeron los investigadores Marine Pichon y Alexis Bonnefoi.
«No escanea las acciones de la red, no detiene los servicios o procesos que podrían evitar el cifrado de ciertos archivos importantes, (y) no controla si se está depurando».
Orange ha atribuido la actividad con confianza media a un actor de amenaza alineado en chino debido al uso del implante de shadowpad, el uso de técnicas de carga lateral de DLL y el hecho de que se han atribuido esquemas de ransomware similares a otro grupo de amenazas chino denominado Luz de las estrellas.
Además, el uso de «usysdiag.exe» a las cargas útiles de la próxima etapa se ha observado previamente en ataques montados por un conjunto de intrusiones vinculado a China rastreado por Sophos bajo el nombre de clúster Alpha (también conocido como STAC1248).
Si bien los objetivos exactos de la campaña de espionaje-cum-ransomware no están claros, se sospecha que los actores de amenaza buscan obtener ganancias rápidas.
«Esto podría ayudar a explicar el contraste de sofisticación entre Shadowpad y Nailaolocker, con Nailaolocker a veces incluso intentando imitar las técnicas de carga de Shadowpad», dijeron los investigadores. «Si bien tales campañas a veces se pueden realizar de manera oportunista, a menudo permiten a los grupos de amenazas acceder a sistemas de información que se pueden utilizar más tarde para llevar a cabo otras operaciones ofensivas».
Actualizar
En un análisis paralelo publicado por Trend Micro, la compañía de seguridad cibernética dijo que observó que el malware ShadowPad actualizado que se utiliza para implementar el ransomware Nailaolocker después de explotar contraseñas débiles y evitar la autenticación multifactor.
Se estima que el actor de amenaza se dirigió a 21 empresas repartidas en 15 países diferentes y cinco industrias diferentes, principalmente fabricación, transporte y publicación, entre otros. Dos de esos incidentes condujeron a ransomware.
La nueva versión del malware incorpora técnicas anti-debugging mejoradas, el cifrado de la carga útil utilizando el número de serie de volumen que es exclusivo de la máquina de la víctima y el uso de DNS-Over-HTTPS (DOH) para ocultar las comunicaciones de la red.
«Si bien estas características no son mejoras importantes del malware en sí, muestran que el malware está en desarrollo activo y que sus desarrolladores están dispuestos a hacer que su análisis de malware sea más difícil», dijo el investigador de seguridad Daniel Lunghi.
Trend Micro también atribuyó la campaña con poca confianza a un grupo de amenaza persistente avanzada china (APT) llamado TeleBoyi, citando superposiciones en el código fuente e infraestructura de Tugle («dscriy.chtq (.) Net»), el último de los cuales resolvió un dominio de un dominio Eso estaba vinculado a una campaña de espionaje a largo plazo Operation Harvest.
El colectivo adversario, activo desde al menos 2015, se evalúa para compartir similitudes tácticas con otros grupos chinos de espionaje cibernético como APT41, Earth Berberoka y Famoussparrow (también conocido como Salt Typhoon).
