Los investigadores de ciberseguridad han advertido del descubrimiento de una nueva herramienta de equipo rojo posterior a la explotación llamada Splinter .
La Unidad 42 de Palo Alto Networks ha revelado sus descubrimientos tras identificar un nuevo programa en los sistemas de varios de sus clientes.
“Splinter cuenta con un conjunto de funciones estándar típicas en herramientas de pruebas de penetración y fue desarrollado en el lenguaje de programación Rust”, comentó Dominik Reichel de la Unidad 42. “Aunque no es tan sofisticado como otras herramientas de post-explotación reconocidas como Cobalt Strike, puede representar un riesgo para las organizaciones si se utiliza de manera inapropiada”.
Las herramientas de pruebas de penetración son frecuentemente empleadas por equipos rojos para identificar vulnerabilidades en las redes de las empresas. Sin embargo, los cibercriminales también pueden aprovechar estas herramientas para sus propios fines.
La Unidad 42 señaló que, hasta el momento, no ha observado actividad de grupos de amenazas relacionada con Splinter y no se tiene información sobre su creador.
Los artefactos descubiertos por la firma de ciberseguridad son “excepcionalmente grandes”, con un tamaño de aproximadamente 7 MB, en gran parte debido a la inclusión de 61 cajas de Rust.
Al igual que otros marcos de post-explotación, Splinter viene preconfigurado con datos sobre el servidor de comando y control (C2), lo que le permite establecer contacto con el servidor a través de HTTPS.
“Los implantes de Splinter se gestionan mediante un modelo basado en tareas, algo común en este tipo de marcos”, añadió Reichel. “Obtiene sus tareas del servidor C2 definido por el atacante”.
Entre las funciones de la herramienta se encuentran la ejecución de comandos de Windows, la ejecución de módulos a través de inyección de procesos remotos, la carga y descarga de archivos, la recopilación de información de cuentas en la nube y la eliminación del software del sistema.
“La creciente variedad de técnicas resalta la necesidad de mantenerse al día con las capacidades de prevención y detección, ya que los delincuentes adoptarán cualquier método eficaz para comprometer organizaciones”, advirtió Reichel.
Esta revelación se produce en un contexto en el que Deep Instinct ha descrito dos métodos de ataque que podrían ser utilizados por cibercriminales para lograr inyecciones de código sigilosas y escalar privilegios, aprovechando una interfaz RPC en Microsoft Office y un shim malicioso.
“Implementamos una corrección maliciosa en un proceso sin registrar un archivo SDB en el sistema”, explicaron los investigadores Ron Ben-Yizhak y David Shandalov. “Evitamos eficazmente la detección de EDR escribiendo en un proceso secundario y cargando la DLL de destino desde dicho proceso suspendido antes de que se pudiera establecer cualquier enlace de EDR”.
En julio de 2024, Check Point también destacó una nueva técnica de inyección de procesos llamada Thread Name-Calling, que permite implantar un shellcode en un proceso en ejecución al abusar de la API para descripciones de subprocesos, eludiendo así los productos de protección de puntos finales.
“A medida que se introducen nuevas API en Windows, surgen nuevas ideas para técnicas de inyección”, comentó la investigadora de seguridad Aleksandra “Hasherezade” Doniec.
“Thread Name-Calling utiliza algunas de las API relativamente recientes, pero no puede evitar recurrir a componentes más antiguos y conocidos, como las inyecciones de APC, las cuales siempre deben considerarse como una amenaza potencial. Del mismo modo, la manipulación de los derechos de acceso en un proceso remoto es una actividad sospechosa”.
Fuente: thehackernews.com