El Grupo de Hackers Rosa Oscuro que Apunta a Organizaciones Militares y Gubernamentales

Los investigadores de seguridad de Group IB analizaron ataques recientes y encontraron que el grupo de hackers APT Rosa Oscuro sigue activo en 2023 y ha estado apuntando a organizaciones militares, gubernamentales y educativas en Brunei, Vietnam e Indonesia.

Bueno, en los ataques recientes, el grupo de amenazas mostró una cadena de ataque renovada, ejecutó diferentes métodos persistentes y desplegó nuevas herramientas de exfiltración, probablemente para evitar la detección al separar su actividad de los Indicadores de compromiso disponibles públicamente.

Los investigadores mencionan esto después de analizar la campaña anterior del grupo de hackers. Los investigadores encontraron brechas adicionales contra una institución educativa en Bélgica y un espacio militar en Tailandia.

El APT Rosa Oscuro es un grupo de hackers que principalmente realiza campañas contra agencias militares y gubernamentales en las regiones de Asia-Pacífico, y ha estado activo desde mediados de 2021. Fue desenmascarado por primera vez en enero de 2023 por un informe de Group IB.

Bueno, incluso con los actores de amenazas expuestos anteriormente por Group IB, el grupo de hackers no ha disminuido en absoluto, y según la firma, ha detectado al menos cinco ataques llevados a cabo por el grupo APT Rosa Oscuro después de redactar el informe anterior.

Leer: Exploit de Plugin de WordPress: Ataques Masivos Apuntan a un Hermoso Banner de Consentimiento de Cookies

Los ataques de Rosa Oscuro continúan dependiendo de los archivos ISO enviados a través de spear phishing para la infección inicial, que utiliza carga lateral de DLL para iniciar su puerta trasera de firma, es decir, Tele PowerBot y KamiKakaBot.

El nuevo componente es que los atacantes han dividido el proceso de KamiKakaBot en dos partes, es decir, robo de datos y control del dispositivo. Además, se carga en memoria, nunca terminando el escritorio. Esto ayuda a evitar la detección ya que el software antivirus no observa los métodos que se inician en memoria.

La puerta trasera KamiKakaBot aún apunta a los datos almacenados en los navegadores web y los envía a los actores de amenazas a través de telegram. Además de esto, la puerta trasera también puede descargar y ejecutar scripts arbitrarios en el dispositivo comprometido.

La firma de seguridad encontró que Rosa Oscuro utiliza un repositorio privado de GitHub para alojar módulos adicionales descargados por el malware malicioso en los dispositivos infectados.

Los hackers realizaron solo 12 commits en el repositorio a lo largo de 2023, principalmente para agregar o actualizar los scripts de PowerShell del malware, el ladrón de información ZMsg, los dropper de malware y la herramienta de escalada de privilegios Nethua.

Uno de los scripts de PowerShell es Censorious para la estrategia de movimiento de material del malware, ayudando a identificar e interactuar con comparticiones SMB dentro de la red. El script obtiene el archivo ZIP de GitHub, lo guarda en el directorio local y luego crea un archivo LNK en cada compartición SMB vinculado a los ejecutables en el archivo.

Cuando la víctima abre el archivo LNK, el archivo LNK lanza los ejecutables maliciosos, propagando la multiplicación del grupo de hackers por toda la red y expandiendo su alcance a más sistemas.

Rosa Oscuro utiliza comandos de PowerShell para llevar a cabo verificaciones de la presencia de software auténtico y herramientas de implementación en el sistema infectado que pueden explotar para sus operaciones.

Las herramientas incluyen “AceCheckConsole.exe, remote exe, Extexport.exe, MSPUB.exe, y MSOHTMED.exe,” que pueden ser utilizadas para ejecución de proxy, descarga de cargas adicionales y más. Sin embargo, la empresa no ha visto ejemplos de estas herramientas siendo explotadas en ataques.

La empresa Group IB informó que el grupo de hackers mostró variaciones en su proceso de exfiltración de datos y está yendo más allá del archivo ZIP a los canales de Telegram.

Además, en algunos escenarios, los hackers utilizaron cargas de DropBox, y en otros escenarios, el grupo utilizó exfiltración HTTP utilizando un exploit temporal creado dentro del servicio Webbook.site o servidores de Windows.

Además, los scripts también tienen la capacidad de exfiltrar datos creando nuevos objetos WebClients para cargar archivos a una dirección externa utilizando el proceso PUT después de determinar la ubicación de los archivos objetivo en el sistema infectado.

Leer: CISA Advierte sobre la Vulnerabilidad de Seguridad de Dispositivos Samsung, Permitindo el Bypass de ASLR en Android