Los investigadores de seguridad de las firmas Profero y Security Joes detallan un APT chino que se está moviendo hacia la realización de ataques de ransomware. El grupo se identifica como APT27, también conocido como Emissary Panda y otros nombres. Los investigadores encontraron evidencia de APT27 usando malware de puerta trasera y cifrado de archivos.
Grupos de ciberespionaje chinos involucrados en ransomware
Es inusual que los grupos de ciberespionaje se involucren en ataques de ransomware, ya que solo se han preocupado por las actividades de espionaje y robo de datos para el gobierno que los respalda. Pero, los investigadores de Profero y Joes de seguridad firmas de seguridad han encontrado que APT chino, visto como APARTAMENTO 27 ha entrado en el espacio ransomware últimamente.
El grupo también se identifica con varios nombres como Emisario Panda, TG-3390, Emisario Panda, LuckyMouse, BRONZE UNION y Iron-Tiger. Se dice que el grupo está usando varias herramientas destinadas a encriptar los sistemas de destino. Estos incluyen servicios legítimos como actualizaciones de Google y BitLocker, el software de cifrado de unidades de Microsoft.
Según los ataques observados el año pasado, APT 27 se ha dirigido a al menos cinco empresas en el espacio de los juegos de azar en línea a nivel mundial y ha cifrado sus servidores centrales con éxito utilizando BitLocker. Se informa que lograron esto al explotar un servicio de terceros en la red del objetivo, que a su vez obtuvo de otro servicio de terceros.
Al examinar el ataque, los investigadores encontraron muestras de malware como DRBControlque es la misma herramienta descrita por Trend Micro en una campaña anterior que se atribuye a APT 27 y Winnti, ambos grupos de ciberespionaje respaldados por China.
en un informe conjunto lanzado recientemente, Security Joes y Profero afirman haber encontrado una muestra de la puerta trasera Clambling, utilizada para configurar puertas traseras en el sistema de destino para el reconocimiento. ellos tambien tienen ASPXEspía caparazón web y enchufe x rata, donde este último fue mencionado varias veces en campañas vinculadas a grupos chinos.
Además de estos dos APT chinos, los investigadores de Positive Technologies vincularon APT27 con un ataque que ocurrió en Polar en abril de 2020. Se dice que el grupo APT 27 está utilizando medios generales para acercarse e infectar objetivos, como estos malware PlugX y Clambling, ambos alimentados en la memoria del sistema a través de un ejecutable antiguo de Google Updater, que tiene un error de carga lateral de DLL.
Además, los atacantes están explotando una vulnerabilidad previamente conocida, rastreada como CVE-2017-0213 para escalar privilegios en el sistema. En general, se dice con firmeza que las APT chinas se están moviendo gradualmente hacia ataques motivados financieramente, lo cual es inusual en los grupos de piratas informáticos respaldados por estados nacionales.
