Blog

Se identifica una nueva campaña de espionaje masivo contra diferentes ONGs por parte de Hackers patrocinados por el estado Chino – APT10

Los investigadores de ciberseguridad de la empresa estadounidense, Symantec, han descubierto una campaña maliciosa de larga duración que estaría siendo llevada a cabo por un grupo de amenazas persistentes avanzadas (APT) respaldados por el gobierno chino, conocidos como APT10 (Aka Cicada) y que estarían utilizando el software VLC Media Player (un reproductor multimedia de código libre) para lanzar un Loader personalizado para llevar a cabo campañas de ciberespionaje a diferentes organizaciones en todo el mundo.

Se tiene sospechas que la campaña comenzó a mediados de 2021 y continuaron en febrero de 2022, se vincularon a un grupo identificado como Cicada, que también se conoce como APT10, Stone Panda, Potassium, Bronze Riverside, o Equipo MenuPass.

La mayoría de las organizaciones objetivo de esta campaña se encuentran ubicadas en los Estados Unidos, Canadá, Hong Kong, Turquía, Israel, India, Montenegro e Italia, junto con una víctima en Japón, y el grupo puede llegar a pasar hasta nueve meses en las redes de algunas de estas víctimas, recopilando información de todo tipo para Beijing.

«Las víctimas de esta nueva campaña por parte de Cicada incluyen organizaciones gubernamentales, legales, religiosas y no gubernamentales (ONGs) en varios países del mundo, incluido en Europa, Asia y América del Norte«, agregaron los investigadores de Symantec Threat Hunter Team, parte de Broadcom Software.

Los investigadores de Symantec, descubrieron que después de obtener acceso a la máquina del objetivo, el atacante implementó un loader personalizado en los sistemas comprometidos con la ayuda del popular reproductor multimedia VLC Media Player.

Brigid O. Gorman de Symantec Threat Hunter Team, comento para el medio de noticias BleepingComputer, que el atacante usa una versión de VLC con un archivo DLL malicioso en la misma ruta que las funciones de exportación del reproductor multimedia. La técnica se conoce como carga lateral de DLL y es ampliamente utilizada por los actores de amenazas para cargar malware en procesos legítimos para ocultar la actividad maliciosa del sistema operativo.

Además del loader personalizado, Gorman dijo que Symantec ha visto en ataques anteriores atribuidos a Cicada, también han implementó un servidor WinVNC para obtener control remoto de las sistemas comprometidos.

En marzo de 2021, los investigadores de Kaspersky finalizaron una operación de recopilación de inteligencia realizada por el grupo para implementar malware con fines de recopilar información de varios sectores industriales ubicados en Japón. Luego, a principios de febrero, Stone Panda estuvo implicado en un ataque organizado a la cadena de suministro dirigido al sector financiero de Taiwán, con el objetivo de robar información confidencial.

El nuevo conjunto de ataques observado por Symantec comienza cuando los actores obtienen acceso inicial a través de una vulnerabilidad conocida y sin parches en los servidores de Microsoft Exchange, como ProxyLogon y ProxyShell, usándola para implementar un backdoor muy usado por este grupo, SodaMaster.

SodaMaster es un troyano de acceso remoto basado en Windows que está equipado con funciones para facilitar la recuperación de payloads adicionales y filtrar la información a su servidor C2. Otras herramientas implementadas durante las infiltraciones incluye Mimikatz, NBTScan, WMIExec y VLC Media Player.

Más Información

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/cicada-apt10-china-ngo-government-attacks

https://securelist.com/apt10-sophisticated-multi-layered-loader-ecipekac-discovered-in-a41apt-campaign/101519/

https://malpedia.caad.fkie.fraunhofer.de/actor/stone_panda

https://www.bleepingcomputer.com/news/security/chinese-hackers-abuse-vlc-media-player-to-launch-malware-loader/

https://malpedia.caad.fkie.fraunhofer.de/details/win.sodamaster

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/cicada-apt10-japan-espionage

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alterta Temprana de Riesgos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Hdiv - Protege tus aplicaciones Web y API
La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Accede al Demo Gratuito
Protección de Dominios - Sendmarc
Evita y protege activamente los dominios de tu organización contra los ataques de suplantación de identidad y phishing
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad

CronUp Newsletter

Suscríbete a nuestro resumen semanal de noticias y alertas de seguridad para mantenerte actualizado sobre el panorama de amenazas en la región y el mundo.

* indicates required