Detección de Ataques de Hormiga Tejedora: Grupo Vinculado a China Ataca a un Proveedor de Telecomunicaciones en Asia Usando Múltiples Web Shells, Incluyendo China Chopper
Tabla de contenidos:
APT grupos de China se clasificaron entre las principales amenazas cibernéticas globales junto con Corea del Norte, Rusia e Irán, mostrando capacidades ofensivas mejoradas y planteando desafíos significativos al panorama de la ciberseguridad. Tras la reciente revelación de la Operación AkaiRyū por MirrorFace (también conocida como Earth Kasha), los atacantes con conexiones a China están atacando de nuevo. Esta vez, investigadores de seguridad informan sobre la operación ofensiva de larga duración por parte del grupo Weaver Ant, quien ha pasado años en la red de un proveedor de servicios de telecomunicaciones para el ciberespionaje.
Detectar Ataques de Weaver Ant
En medio de crecientes tensiones geopolíticas, los actores de amenazas respaldados por naciones han intensificado sus actividades maliciosas, empleando técnicas avanzadas para alcanzar sus objetivos estratégicos. El ciberespionaje se ha convertido en un enfoque principal, con operaciones cada vez más dirigidas y encubiertas. Un ejemplo reciente es la operación APT de Weaver Ant, que utilizó tácticas sofisticadas de ‘web shell’ para infiltrarse en un importante proveedor de telecomunicaciones en Asia. Este incidente resalta la complejidad y precisión creciente de las amenazas cibernéticas en el panorama geopolítico actual.
Para superar las amenazas emergentes y mantenerse por delante de los posibles ataques de Weaver Ant, SOC Prime Platform ofrece un conjunto de reglas Sigma relevantes que abordan las TTPs del actor de amenazas. Simplemente haga clic en el Explorar Detecciones botón a continuación y profundice inmediatamente en un conjunto dedicado de reglas.
Las reglas son compatibles con múltiples soluciones SIEM, EDR y Data Lake y están mapeadas a MITRE ATT&CK® para agilizar la investigación de amenazas. Las detecciones también están enriquecidas con metadatos extensos, incluyendo CTI enlaces, líneas de tiempo de ataque, recomendaciones de triaje, y más.
Los profesionales de seguridad que buscan más contenido de detección que aborde las TTPs utilizadas por actores respaldados por naciones, pueden explorar el Threat Detection Marketplace usando la etiqueta «APT» para sumergirse en una colección más amplia de algoritmos de detección y amenaza en tiempo real respaldada por un conjunto completo de productos para ingeniería de detección impulsada por IA, caza automatizada de amenazas y detección avanzada de amenazas.
Análisis de Ataques de Weaver Ant
El grupo de hackers vinculado a China seguido por Sygnia como Weaver Ant ha sido observado empleando avanzadas tácticas de ‘web shell’ para atacar un importante proveedor de telecomunicaciones en Asia. Los atacantes mostraron una persistencia notable contra varios esfuerzos de erradicación, infiltrándose en la red durante más de cuatro años. Usaron una red ORB no aprovisionada para hacer proxy de tráfico y ocultar su infraestructura, empleando principalmente routers CPE Zyxel comprometidos de proveedores de telecomunicaciones del sudeste asiático, lo que les permitió pivotar entre las telecomunicaciones.
Weaver Ant desplegó múltiples cargas útiles, incluidas ‘web shells’ básicas como canales para cargas útiles más avanzadas, como una herramienta de túnel recursivo que facilitaba el ‘tunneling’ HTTP para acceder a recursos internos. Esta última permitía a los hackers navegar suavemente por varios entornos web y mantener la adaptabilidad operativa. Weaver Ant también empleó ‘web shells’ para el movimiento lateral. Weaver Ant empleó métodos de evasión de defensa para exfiltrar datos sigilosamente sin ser detectados, como la captura de tráfico de red pasivo a través de la duplicación de puertos. En lugar de aplicar ‘web shells’ independientes, Weaver Ant empleó una técnica llamada «web shell tunneling», que enruta el tráfico entre servidores a través de diferentes segmentos de red, creando una red C2 oculta. Cada shell actúa como un proxy, pasando cargas útiles cifradas para una explotación más profunda de la red. Además, Weaver Ant desplegó DLLs troyanizados para infectar sistemas.
Los investigadores que investigaron la brecha descubrieron varias variantes de la puerta trasera China Chopper , junto con un nuevo ‘web shell’ personalizado llamado «INMemory» que ejecuta cargas útiles directamente en la memoria del host. Los adversarios obtuvieron acceso a la red desplegando una iteración del ‘web shell’ China Chopper cifrado con AES, lo que permitió el control remoto de los servidores y eludir las protecciones del firewall.
China Chopper proporciona capacidades ofensivas avanzadas como la gestión de archivos, ejecución de comandos y exfiltración de datos. Su tamaño compacto y naturaleza sigilosa lo hacen perfecto para mantener el acceso persistente, permitir una mayor explotación y evitar la detección por los sistemas de seguridad convencionales. Su versatilidad y facilidad de uso lo han convertido en una herramienta popular para realizar una variedad de actividades maliciosas en sistemas comprometidos. El segundo ‘web shell’ llamado «INMemory» funciona decodificando una cadena Base64 GZipped hardcoded en un ejecutable portátil (PE) llamado ‘eval.dll’, que luego se ejecuta completamente en memoria para evitar la detección.
Además, Weaver Ant utilizó comparticiones SMB y cuentas de alto privilegio de larga duración, a menudo autenticadas a través de hashes NTLM, para moverse lateralmente dentro de la red. Durante más de cuatro años, recolectaron archivos de configuración, registros y credenciales para mapear el entorno y dirigirse a sistemas clave. El grupo se enfocó en la inteligencia de red y el acceso continuo a la infraestructura de telecomunicaciones en lugar de robar datos de usuarios, alineándose con el espionaje patrocinado por el estado.
La sofisticación aumentada de los ataques de Weaver Ant y el uso de técnicas avanzadas de evasión de detección requieren una ultra-responsividad por parte de los defensores. Para minimizar los riesgos de la actividad altamente persistente de Weaver Ant, los defensores recomiendan implementar controles de tráfico de red internos, habilitar el registro completo de IIS y PowerShell, aplicar principios de privilegios mínimos y rotar las credenciales de usuario con frecuencia. Las organizaciones pueden confiar en el conjunto completo de productos de SOC Prime respaldado por IA y fusionando tecnologías de vanguardia para optimizar el riesgo en la postura de ciberseguridad de la organización.
