El grupo de hackers APT15 siempre se ha asociado con la inteligencia china y ha sido parte de bastantes ataques. Ahora, este grupo supuestamente ha robado información sobre la tecnología militar del Reino Unido al comprometer la computadora de un contratista del gobierno del Reino Unido y lanzar un ataque basado en malware.
Según los hallazgos de los investigadores de seguridad de la información de NCC Group, el grupo de hackers APT15 (también conocido como Ke3chang, Vixen Pands, Mirage, Playful Dragon y GREF) ha estado observando datos relacionados con la tecnología militar y los departamentos gubernamentales del Reino Unido. En este ataque en particular, APT15 usó nuevas puertas traseras, mientras que los objetivos fueron contratistas que trabajan con diferentes unidades militares y departamentos gubernamentales en el Reino Unido.
Los hallazgos fueron presentados por el investigador principal de malware, Ahmed Zaki, en la Cumbre de Analistas de Seguridad de Kaspersky (SAS). En una publicación oficial del blog, NCC Group explicó que un contratista que llamaba al Equipo de Respuesta a Incidentes de NCC Group brindaba una amplia gama de servicios al gobierno del Reino Unido y se solicitó al equipo que respondiera a un incidente que estaba en curso.
El blog indicó que el cliente informó sobre ser víctima de un compromiso de la red que involucraba al “grupo avanzado de amenazas persistentes APT15”. La investigación se detuvo en junio de 2017 a petición del mismo cliente y luego se reanudó en agosto una vez más cuando APT15 los hackers nuevamente accedieron a la red de víctimas.
“APT15 logró recuperar el acceso un par de semanas después a través de la solución VPN corporativa con un certificado de VPN robado, que habían extraído de un host comprometido”, decía la entrada del blog.
Parece que este ataque no es un intento individual sino que es parte de una operación más grande y más amplia que apunta a contratistas del gobierno y militares del Reino Unido. Se cree que el grupo hacker está utilizando dos puertas traseras nuevas junto con malware que ya tiene impresiones de APT15. Los investigadores de seguridad de la información escribieron en su blog:
“Durante nuestro análisis del compromiso, identificamos nuevas puertas traseras que ahora parecen ser parte del conjunto de herramientas de APT15. La puerta trasera BS2005, que tradicionalmente ha sido utilizada por el grupo, ahora aparece junto a las puertas traseras adicionales RoyalCli y RoyalDNS. La puerta trasera RoyalCli parece ser una evolución de BS2005 y utiliza rutinas de cifrado y codificación familiares”.
RoyalCLI fue rastreado a través de un camino de depuración que quedó en el binario y pasa a ser un sucesor de la puerta trasera BS2005 que también fue utilizado por APT15 en una de sus campañas maliciosas anteriores. RoyalCLI y BS2005 utilizan Internet Explorer a través de la interfaz COM IWebBrowser2 para comunicarse con su servidor de C & C.
La segunda puerta trasera RoyalDNS utiliza DNS para crear un enlace con su servidor de C & C. Cuando se ejecuta el comando, la puerta trasera devuelve la salida a través del mismo DNS. El análisis de la infraestructura del dominio y la dirección IP mostró varios dominios que posiblemente fueron utilizados por APT15 y hospedados en Google Cloud y / o Linode.
“Todas las puertas traseras identificadas, excluyendo RoyalDNS, requirieron que APT15 creara secuencias de comandos por lotes para instalar su mecanismo de persistencia. Esto se logró mediante el uso de una simple tecla de ejecución de Windows.
Se recuperaron herramientas adicionales durante el incidente, incluida una herramienta de escaneo de red, la herramienta de archivo WinRAR y una herramienta de enumeración de datos y descarga de datos de Microsoft SharePoint, conocida como ‘spwebmember’ “, explicaron los investigadores de seguridad de la información.
APT15 no se dio por vencido y volvió a acceder al sistema a través de la red privada virtual corporativa mediante el uso de un certificado robado. “APT15 optó por una puerta trasera basada en DNS: RoyalDNS. El mecanismo de persistencia utilizado por RoyalDNS se logró a través de un servicio llamado ‘Nwsapagent’, mientras que el servidor C & C de este backdoor utilizó el registro TXT del protocolo DNS y el servidor contactó con el dominio ‘andspurs [.] Com’, revelaron analistas de seguridad de la información.
Los investigadores pudieron almacenar en caché una cantidad de comandos C2 en el disco debido a la técnica de inyección de IE que usan las puertas traseras HTTP. Los investigadores recuperaron y sometieron a ingeniería inversa los archivos utilizando la rutina de codificación que usan las puertas traseras para descubrir con precisión los comandos ejecutados por el atacante.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
