El prolífico grupo de hackers patrocinado por el Estado chino, conocido como APT41 (también llamado Brass Typhoon, Earth Baku, Wicked Panda o Winnti), ha sido vinculado a un sofisticado ciberataque dirigido a la industria de los juegos de azar y apuestas.

Durante un período de al menos seis meses, los atacantes recopilaron de manera sigilosa información valiosa de la empresa atacada, incluyendo configuraciones de red, contraseñas de usuarios y secretos del proceso LSASS, según explicó Ido Naor, cofundador y director ejecutivo de la empresa de ciberseguridad israelí Security Joes, en una declaración a The Hacker News.

“Durante la intrusión, los atacantes actualizaron su conjunto de herramientas continuamente en función de la respuesta del equipo de seguridad”, explicó Naor. “Observaron las acciones de los defensores y ajustaron sus estrategias para evitar la detección, logrando mantener el acceso persistente a la red comprometida”.

Este ataque, de múltiples etapas, afectó a uno de sus clientes durante casi nueve meses este año, y presenta similitudes con una serie de intrusiones rastreadas por Sophos bajo el nombre de Operación Crimson Palace. La campaña fue diseñada con sigilo en mente, utilizando herramientas personalizadas para evadir los sistemas de seguridad, recopilar información crítica y establecer canales encubiertos para garantizar acceso remoto persistente.

El objetivo principal del ataque parece ser financiero. Naor mencionó que estos ataques dependen de decisiones patrocinadas por un estado, y que, en esta ocasión, sospechan con gran certeza que APT41 estaba detrás, buscando obtener ganancias financieras.

Los atacantes, que Security Joes describió como “altamente hábiles y metódicos”, llevaron a cabo una serie de actividades de espionaje y envenenamiento de la cadena de suministro, enfocadas tanto en el robo de propiedad intelectual como en ataques financieros, como ransomware y minería de criptomonedas.

A pesar de que no se conoce con precisión el vector de acceso inicial, la evidencia sugiere el uso de correos electrónicos de phishing, ya que no se encontraron vulnerabilidades activas en aplicaciones web ni compromisos en la cadena de suministro. Una vez dentro de la infraestructura, los atacantes ejecutaron un ataque DCSync para obtener hashes de contraseñas de cuentas de servicio y administrador, lo que les permitió mantener el control sobre la red, especialmente sobre cuentas críticas.

Entre las técnicas utilizadas, destacan el secuestro de DLL fantasma, el uso de herramientas legítimas como wmic.exe, y el abuso de cuentas con privilegios de administrador para ejecutar comandos maliciosos. También descargaron cargas útiles adicionales y ejecutaron código malicioso utilizando técnicas avanzadas de persistencia.

Finalmente, los atacantes lograron conectarse a un servidor de comando y control (C2) a través de un archivo DLL malicioso y buscaron actualizar su infraestructura utilizando GitHub para obtener nuevas direcciones de C2.

Fuente:thehackernews.com