🔥Adquiere tu membresía:  acceso a todos los cursos, videos eliminados, contenidos protegidos, manuales y más. >> Ver Más

Hackers chinos están atacando empresas aeroespaciales rusas

Un grupo de hackers chino previamente desconocido conocido como ‘Space Pirates’ está atacando a empresas de la industria aeroespacial rusa. Space Pirates está enviando correos electrónicos de phishing para instalar novedoso malware en los sistemas de las empresas.

Se cree que el grupo de amenazas comenzó a operar en 2017 y, si bien tiene vínculos con grupos conocidos como APT41 (Winnti), Mustang Panda y APT27, se cree que es un nuevo grupo de actividad maliciosa.

Los analistas de amenazas rusos de  Positive Technologies  llamaron al grupo “Space Pirates”. Esto debido a sus operaciones de espionaje centradas en robar información confidencial de empresas en el campo aeroespacial.

Ataques

Los investigadores han observado al grupo APT de Space Pirates atacando a agencias gubernamentales y empresas involucradas. El grupo apunta a empresas de servicios informáticos, industrias aeroespaciales y de energía eléctrica ubicadas en Rusia, Georgia y Mongolia.

Los analistas de amenazas descubrieron por primera vez signos de la actividad de Space Pirates hace un año durante una respuesta a incidentes. Ellos rápidamente confirmaron que los atacantes usaron el mismo malware e infraestructura contra al menos cuatro entidades nacionales más desde 2019.

Dos de estos casos se refieren a empresas rusas con participación estatal, que los hackers lograron comprometer.

En el primer caso, los atacantes mantuvieron su acceso a 20 servidores durante diez meses. Durante ese periodo robaron más de 1500 documentos, detalles de empleados y otros datos confidenciales.

En el segundo caso, los hackers chinos permanecieron en la red de la empresa comprometida durante más de un año. En este caso desviaron información confidencial e instalaron su malware en 12 nodos de la red corporativa en tres regiones distintas.

Malware novedoso

El arsenal de Space Pirates consta de cargadores personalizados que se esconden detrás de documentos señuelo, puertas traseras ligeramente modificadas que han existido durante años, el malware de marca china PlugX y versiones personalizadas de la puerta trasera PcShare.

Además, los ataques de Space Pirates también han empleado ShadowPad, Zupdax, PoisonIvy y ReVBShell. 

Además de lo anterior, el APT recién descubierto utiliza tres herramientas de malware modulares previamente no documentadas. Estas herramientas son Deed RAT, BH_A006 y MyKLoadClient.

MyKLoadClient es un cargador que utiliza archivos SFX combinados con la carga lateral de DLL a través de una biblioteca de iniciador auxiliar firmada por McAfee. El iniciador admite comandos que brindan a los actores de amenazas un control cercano sobre la infección.

BH_A006 es una versión muy modificada de la puerta trasera Gh0st. Esta presenta muchas capas de ofuscación para evadir las protecciones de seguridad y frustrar el análisis.

Sus funciones incluyen la creación de servicios de red, la omisión de UAC y el desempaquetado y lanzamiento de Shellcode en la memoria.

BH_A006 cargando shellcode 

Deed RAT

Otra herramienta personalizada interesante es Deed RAT, que presenta un método inusual e inteligente para transferir el control a la shellcode.

Las funciones de Deed RAT dependen de qué complementos se obtengan y carguen. Por ejemplo, los investigadores han observado ocho complementos para el inicio, la configuración del servidor de comandos y control (C2) y la instalación. Asimismo, para la inyección de código en procesos, las interacciones de red, la gestión de conexiones, la edición de registros, la supervisión de registros y la detección de proxy.

Los protocolos admitidos para la comunicación C2 incluyen TCP, TLS, HTTP, HTTPS, UDP y DNS, por lo que generalmente hay un alto nivel de versatilidad.

Los comandos soportados por Deed RAT son los siguientes:

  • Recopilar información del sistema
  • Crear un canal de comunicación separado para un complemento
  • Autoeliminación
  • Ping
  • Desactivar conexión
  • Actualizar la shellcode para una inyección almacenada en el registro
  • Actualizar la shellcode principal en el disco y eliminar todos los complementos

Convolución china

Los analistas de amenazas creen que las superposiciones entre varias APTs chinas se deben a intercambios de herramientas. Este es un fenómeno común entre los hackers en la región.

El uso de herramientas compartidas oscurece aún más los rastros de distintos grupos de amenazas y dificulta mucho el trabajo de los analistas. Por lo tanto, las APTs chinas tienen múltiples razones para seguir esta práctica.

Space Pirates también ha desplegado su malware personalizado en algunas empresas chinas para obtener ganancias financieras. En otras palabras, el grupo de amenazas podría tener una doble función.

Varios enlaces entre APTs chinas

Los hackers chinos han sido muy agresivos contra los objetivos rusos últimamente, como lo confirman los hallazgos recientes de los analistas de Secureworks y Google.

El espionaje es una operación estándar para las APTs chinas. Y, Rusia es un objetivo válido que se destaca en la tecnología aeroespacial, de armas, ingeniería eléctrica, construcción naval y nuclear.

Deja un comentario

Adquiere tu Membresía Anual Wiser

Adquiere tu Membresía Anual Wiser y adquiere grandes beneficios

Más información