Hackers chinos están atacando agencias gubernamentales y autoridades de certificación

Un actor de amenazas de ciberespionaje identificado como Billbug (también conocido como Thrip, Lotus Blossom, Spring Dragon) ha estado ejecutando una campaña dirigida a una autoridad de certificación digital, agencias gubernamentales y organizaciones de defensa en varios países de Asia.

Los ataques más recientes se observaron al menos desde marzo, pero el grupo ha estado operando sigilosamente durante más de una década y se cree que es un grupo patrocinado por el estado que trabaja para China.

Sus operaciones han sido documentadas por múltiples empresas de ciberseguridad durante los últimos seis años.

Los investigadores de seguridad de Symantec dicen hoy en un informe que Billbug, a quien han estado rastreando desde 2018, también atacó a una empresa de autoridad de certificación digital, lo que les habría permitido implementar malware firmado para dificultar la detección o el descifrado del tráfico HTTPS.

Nueva campaña, viejas herramientas

Symantec no ha determinado cómo Billbug obtiene acceso inicial a las redes de destino, pero ha visto evidencia de que esto sucede al explotar aplicaciones públicas con vulnerabilidades conocidas.

Al igual que en campañas anteriores atribuidas a Billbug, el actor combina herramientas que ya están presentes en el sistema de destino, utilidades disponibles públicamente y malware personalizado. Entre ellos están:

• AdFind.Una herramienta disponible públicamente que se utiliza para consultar Active Directory. Tiene usos legítimos, pero los atacantes la utilizan mucho para ayudar a mapear una red.
• Winmail. Puede abrir archivos winmail.dat.
• WinRAR. Es un administrador de archivos que se puede usar para archivar o comprimir archivos, por ejemplo, antes de la exfiltración.
• Ping. Herramienta disponible gratuitamente en línea que puede permitir a los usuarios determinar si una ubicación específica en una red está respondiendo.
• Tracert.Es una herramienta de red que se puede usar para determinar la “ruta” que toman los paquetes de una dirección IP a otra. Proporciona el nombre de host, la dirección IP y el tiempo de respuesta a un ping.
• Route. Una ruta para enviar paquetes a través de la red de Internet a una dirección en otra red.
• NBTscan. Escáner NetBIOS de línea de comandos de código abierto.
• Certutil. Utilidad de Microsoft Windows que se puede utilizar para diversos fines maliciosos, como decodificar información, descargar archivos e instalar certificados raíz del navegador.
• Port Scanner. Permite a un atacante determinar qué puertos están abiertos en una red y podrían usarse para enviar y recibir datos.

Estas herramientas ayudan a los hackers a mezclarse con la actividad diaria inocua, evitar rastros de registros sospechosos o generar alarmas en las herramientas de seguridad. Y, en general, dificultan los esfuerzos de atribución.

Otras herramientas

Una herramienta de código abierto implementada con menos frecuencia que se ve en las operaciones recientes de Billbug es Stowaway. Stowaway es una herramienta proxy de varios niveles basada en Go diseñada para pentesters. Los usuarios pueden usar este programa para transmitir tráfico externo a la intranet a través de múltiples nodos, romper las restricciones de acceso a la intranet, construir una red de nodos en forma de árbol e implementar fácilmente funciones de administración. No es inusual ver herramientas de prueba de penetración mal utilizadas por los ciberdelincuentes.Por ejemplo, Cobalt Strike, que es un marco de prueba de penetración, es considerado malware básico por muchos debido a la frecuencia con la que los actores malintencionados lo utilizan.

Symantec pudo atribuir los ataques recientes a Billbug porque el actor de amenazas usó dos puertas traseras personalizadas vistas en algunas de sus operaciones anteriores. Estas puertas traseras son Hannotog y Sagerunex.

Algunas funcionalidades de la puerta trasera de Hannotog incluyen cambiar la configuración del firewall para habilitar todo el tráfico, establecer la persistencia en la máquina comprometida, cargar datos cifrados, ejecutar comandos CMD y descargar archivos al dispositivo.

Por su parte, Hannotog instala Sagerunex y se inyecta a sí misma en un proceso “explorer.exe“. Luego escribe registros en un archivo temporal local cifrado con el algoritmo AES (256 bits).

La configuración y el estado de la puerta trasera también se almacenan localmente y se cifran con RC4, con las claves para ambos codificadas en el malware.

Sagerunex se conecta al servidor de comando y control a través de HTTPS para enviar una lista de proxies y archivos activos, y recibe payloads y comandos de shell de los operadores. Además, puede ejecutar programas y DLL usando “runexe” y “rundll“.

Billbug continúa usando las mismas puertas traseras personalizadas con cambios mínimos en los últimos años.

Motivación de los ciberdelincuentes

Si bien los investigadores no observaron que se exfiltraran datos en esta campaña, Billbug es ampliamente considerado como un actor de espionaje. Esto indica que el robo de datos es la motivación más probable en esta campaña. 

Las víctimas de esta campaña (agencias gubernamentales y una autoridad certificadora) también apuntan a un motivo de espionaje y robo de datos. Lo más probable es que la orientación hacia víctimas estatales esté impulsada por motivaciones de espionaje, y es probable que la autoridad de certificación sea el objetivo para robar certificados digitales legítimos, como mencionamos anteriormente

Esto es potencialmente muy peligroso, ya que si Billbug puede firmar su malware con un certificado digital válido, puede eludir las detecciones de seguridad en las máquinas de las víctimas. La capacidad de este actor para comprometer a múltiples víctimas a la vez indica que este grupo de amenazas sigue siendo un operador hábil y con buenos recursos que es capaz de llevar a cabo campañas sostenidas y de gran alcance. Billbug tampoco parece inmutarse por la posibilidad de que se le atribuya esta actividad, con la reutilización de herramientas que se han vinculado al grupo en el pasado.