Blog

El grupo APT chino «Billbug» estaría atacando organizaciones gubernamentales y de defensa en varios países de Asia

Durante el último tiempo, un actor de amenaza dedicado a labores de ciberespionaje rastreado como Billbug (o también conocidos como Thrip, Lotus Blossom, Spring Dragon) ha estado ejecutando una campaña masiva de espionaje dirigida a una autoridad de certificación, agencias gubernamentales y organizaciones de defensa en varios países de Asia.

Los ataques más recientes se observaron desde el mes de marzo, pero el actor de amenaza ha estado operando sigilosamente durante más de una década y se cree que es un grupo patrocinado por el estado chino.

Los investigadores de seguridad de Symantec, mediante un informe, que Billbug, a quien han estado rastreando e investigando desde 2018, también se dirigió a una compañía de autoridad de certificación, lo que les habría permitido implementar un malware firmado para dificultar la detección o el desciframiento del tráfico HTTPS.

Al igual que en campañas anteriores atribuidas a Billbug, el actor de amenaza combina una serie de herramientas que ya están presentes en los sistemas de las víctimas, utilidades disponibles públicamente y malware personalizado. Entre ellos se encuentran:

  • AdFind
  • Winmail
  • WinRAR
  • Señal
  • Tracert
  • Ruta
  • NBTscan
  • Certutil
  • Escáner de puertos

Estas herramientas ayudan a los grupos de amenazas a camuflarse con las actividades diarias del sistema, evitar el dejar huellas, registros sospechosos o activar alguna alerta en las herramientas de seguridad y, en general, dificultan los esfuerzos de atribución y detección.

Una herramienta de código abierto más raramente implementada que se ve en las operaciones recientes de Billbug, y ese es «Stowaway», una herramienta proxy multinivel basada en el lenguaje de programación Go que ayuda a los pentesters a evitar las restricciones de acceso a la red.

Symantec pudo atribuir los ataques recientes a Billbug porque el actor de amenaza utilizó dos puertas traseras personalizadas vistas en algunas de sus operaciones anteriores. Las cuales fueron Hannotog y Sagerunex.

Algunas funcionalidades de la puerta trasera de Hannotog incluyen cambiar la configuración del firewall para habilitar todo el tráfico, establecer la persistencia en la máquina comprometida, cargar datos cifrados, ejecutar comandos CMD y descargar archivos al dispositivo.

netsh advfirewall firewall add rule name="Core Networking - Router Solicitation (ICMP-In)" dir=in action=allow program="%s" enable=yes
netsh firewall add portopening UDP 5900 @xpsp2res.dll,-22006 ENABLE ALL',0
netsh firewall add allowedprogram name="SNMP Trap Service" program="%s" mode=enable

Sagerunex fue abandonado por Hannotog y se inyecta en el proceso de «explorador.exe». A continuación, escribe registros en un archivo temporal local cifrado mediante el algoritmo AES (256 bits).

def decrypt(datasample):

key = b’\x53\x12\x76\x23\x94\x89\x78\x45\x58\x31\x62\x83\x77\x95\x59\x17\x31\x47\x73\x50\x22\x34\x65\x89\x49\x12\x67\x41\x90\x35\x91\x37′
   realkey = datasample[:0x10]+ b’\x00′ * 0x10

    for i in range(0x2000):
       realkey = hashlib.sha256(realkey + key).digest()

   raw = aes.cbc.decrypt(realkey, datasample[:16], datasample[16:])

    print(«checksum», raw[-32:].hex())
    return raw[:-32]

La configuración y el estado de la puerta trasera también se almacenan localmente y se cifran con RC4, con las claves para ambos codificadas en el malware.

Sagerunex se conecta al servidor C2 a través de HTTPS para enviar una lista de proxies y archivos activos, y recibe un Payload y comandos shell de los operadores. Además, puede ejecutar programas y archivos .DLL usando «runexe» y «rundll».

Actualmente, Billbug continúa utilizando las mismas puertas traseras personalizadas con ligeros cambios en tu modo de operar de los últimos años. Se espera que este grupo APT patrocinado por el estado chino, continue con sus actividades por largo tiempo dentro de Asia.

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alterta Temprana de Riesgos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Protección de Dominios - Sendmarc
Evita y protege activamente los dominios de tu organización contra los ataques de suplantación de identidad y phishing
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required