Un nuevo grupo de piratería informática APT para las industrias de combustibles, energía y aeroespacial

Se identificó a un actor de amenazas previamente indocumentado para robar datos de redes comprometidas detrás de una serie de ataques a las industrias de combustible, energía y aeroespacial en Rusia, EE. UU., India, Nepal, Taiwán y Japón.

La firma de ciberseguridad Positive Technologies bautizó al grupo Advanced Persistent Threat (APT) como ChamelGang, refiriéndose a sus habilidades camaleónicas, que incluyen camuflar «su infraestructura de red y malware bajo servicios legítimos de Microsoft, TrendMicro, McAfee, IBM y Google».

«Para lograr su objetivo, los atacantes utilizaron un método de penetración de tendencias: la cadena de suministro», dijeron los investigadores de uno de los incidentes que estaba investigando la empresa. “El grupo comprometió una subsidiaria y penetró la red de la empresa objetivo a través de ella. Los ataques de relaciones de confianza son raros hoy en día debido a la complejidad de su ejecución. Con este método […], el grupo ChamelGang pudo lograr su objetivo y robar datos de la red comprometida «.

Se cree que los ataques del atacante comenzaron a fines de marzo de la conferencia de 2021 a principios de este mes.

El ataque de marzo también se destaca por el hecho de que los operadores violaron una organización subsidiaria para obtener acceso a la red de una compañía de energía sin nombre al explotar un error en la aplicación Red Hat JBoss Enterprise (CVE-2017-12149) para emitir comandos que se ejecutan de forma remota en el host. e implementar cargas útiles maliciosas que permitan al actor lanzar el malware con privilegios elevados, desplazarse por la red y realizar un reconocimiento antes de implementar una puerta trasera llamada DoorMe.

«Los atacantes controlaban los hosts infectados mediante la utilidad pública FRP (Fast Reverse Proxy), que está escrita en Golang», dijeron los investigadores. «Esta utilidad permite una conexión a un servidor proxy inverso. Las solicitudes de los atacantes se enrutaron con el complemento socks5 a través de la dirección del servidor obtenida de los datos de configuración».

Por otro lado, el ataque de agosto a una empresa de fabricación aeroespacial rusa involucró la explotación de errores de ProxyShell (CVE-2021-34473, CVE-2021-34523 y CVE-2021-31207) para eliminar proyectiles web adicionales y realizar una investigación remota del nodo comprometido. , que finalmente llevó a la instalación de una versión modificada del implante DoorMe que está equipado con capacidades avanzadas para ejecutar comandos arbitrarios y realizar operaciones con archivos.

«El enfoque en el complejo de combustible y energía y la industria de la aviación en Rusia no es único: este sector es uno de los tres sectores más atacados», dijo Denis Kuvshinov, director de análisis de amenazas de Positive Technologies. «Sin embargo, las consecuencias son graves: la mayoría de las veces, estos ataques conducen a pérdidas financieras o de datos; en el 84% de todos los casos del año pasado, los ataques fueron diseñados para robar datos, y esto causa un gran daño financiero y de reputación».