Ciberatacantes chinos usan una variante del troyano LOWZERO

El APT chino conocido como TA413 ha expuesto una serie de debilidades de Sophos Firewall y Microsoft Office implementando un troyano nuevo llamado LOWZERO, integrado en una campaña de espionaje dirigida contra entidades tibetanas.

Los objetivos consistían principalmente en organizaciones asociadas con la comunidad tibetana, incluidas empresas asociadas con el gobierno tibetano en el exilio. Para ejecutar las intrusiones se valieron de las vulnerabilidades CVE-2022-1040 y CVE-2022-30190 (también conocido como «Follina»), dos vulnerabilidades de ejecución remota de código en Sophos Firewall y Microsoft Office, respectivamente.

El equipo técnico de Recorded Future considera como muy novedoso el que este APT incluya con tanta velocidad nuevas técnicas y métodos de acceso, teniendo en cuenta que este grupo se caracteriza precisamente por el empleo de técnicas bien conocidas y documentadas. TA413, también conocido como LuckyCat, suele operar contra organizaciones e individuos asociados con la comunidad tibetana de forma continuada desde al menos 2020, utilizando malware como ExileRAT, Sepulcher y una extensión maliciosa del navegador Mozilla Firefox denominada FriarFox.

La primera vez que se reportó la explotación de la vulnerabilidad «Follina» por parte de este grupo fue en junio de 2022. Dicho reporte fue realizado por el equipo Proofpoint, aunque no fueron capaces de determinar el objetivo del ciberataque. También consta que fue utilizado en un ataque de spear-phishing en mayo de 2022, difundiendo un documento RTF malicioso que aprovechó las vulnerabilidades de Microsoft Equation Editor para lograr la descarga del troyano LOWZERO. Para ello, se valieron del empleo de la herramienta Royal Road RTF, que se ha identificado en un número considerable de ciberataques relacionados con China.

En otro correo electrónico de phishing enviado a un objetivo tibetano a fines de mayo, se halló un archivo adjunto de Microsoft Word alojado en el servicio Google Firebase, que intentaba aprovechar la vulnerabilidad «Follina» para ejecutar un comando de PowerShell expresamente diseñado para descargarse el troyano anteriormente mencionado desde un servidor remoto. El troyano en cuestión, LOWZERO, es capaz de descargar módulos adicionales del servidor de comando y control (C2) cuando la máquina infectada es marcada como objetivo de interés por parte del atacante.

«La adopción de TA413 de vulnerabilidades de día cero (0-day) y publicadas recientemente es indicativa de tendencias más amplias con grupos de ciberespionaje chinos en los que los exploits aparecen regularmente en uso por múltiples grupos de actividad chinos distintos antes de su disponibilidad pública generalizada».

Más información:

https://thehackernews.com/2022/09/chinese-espionage-hackers-target.html

La entrada Ciberatacantes chinos usan una variante del troyano LOWZERO se publicó primero en Una al Día.