Ataque LuckyMouse malware chino

El actor chino de APT LuckyMouse también conocido como EmissaryPanda o APT27 se dirige a entidades gubernamentales y centros de datos nacionales mediante la inserción de scripts maliciosos para comprometer un sitio web oficial y realizar un ataque de Watering hole

Watering Attack se dirige específicamente al grupo de empresas y organizaciones infectando sitios web cuidadosamente seleccionados y los atacantes ejecutan exploits en sitios conocidos y de confianza que su público objetivo solía visitar regularmente.

La principal motivación de los atacantes detrás de este ataque es obtener acceso a los recursos del gobierno y robar la información confidencial.

El actor de amenazas también usa la poderosa herramienta de administración remota (RAT) llamada HyperBro Trojan que es utilizada regularmente por una variedad de actores de habla china para crear una puerta trasera.

LuckyMouse ya se orientó a las entidades gubernamentales en Asia central y se basó en el abrevadero de los sitios web del gobierno y las fechas correspondientes son para acceder a las páginas web a través del centro de datos e inyectar JavaScripts en ellas.

Cómo funciona este Watering hole Ataque de Champaign

El vector de distribución inicialmente desconocido para el lanzamiento de los documentos armados de Microsoft Office Equation Editor con CVE-2017-118822, que es ampliamente utilizado por los actores de habla china desde diciembre de 2017.

En este caso, el atacante que se dirige a los empleados del centro de datos mediante el uso de Watering Attack Attack y el servidor de C & C que resuelve la dirección IP pertenece a la red ISP de Ucrania.

Esta red fue controlada por el router Mikrotik utilizando la versión de firmware 6.34.4 que fue pirateada para procesar las solicitudes HTTP del malware para esta champaña de Waterhole.

Una vez que se inició la infección, este módulo descarta los 3 archivos y el troyano se inyecta en la memoria de proceso de svchost.exe.

  • Un legítimo Symantec pcAnywhere (IntgStat.exe)
  • Un lanzador .dll (pcalocalresloader.dll)
  • Ddescompresor (thumb.db)

Finalmente, los visitantes del sitio web gubernamental infectado serán redirigidos y estos redireccionamientos se implementaron al agregar dos scripts maliciosos ofuscados por una herramienta similar al empacador Dean Edwards.

El punto más inusual e interesante aquí es el objetivo. Un centro de datos nacional es una valiosa fuente de datos que también puede ser objeto de abuso para comprometer sitios web oficiales. Otro punto interesante es el enrutador Mikrotik, que creemos que fue pirateado específicamente para la campaña.

Fecha actualización el 2021-06-18. Fecha publicación el 2018-06-18. Categoría: hackers. Autor: Oscar olg Mapa del sitio Fuente: gbhackers
hackers