El equipo Nocturnus de Cybereason ha descubierto una campaña de ciberespionaje llamada DeadRinger, en la que tres actores de amenazas se dirigen a empresas de telecomunicaciones en el sudeste asiático.
Al rastrear sus técnicas y tácticas, los investigadores los vincularon con grupos estatales chinos, como APT, y tenían la intención de robar datos confidenciales de los objetivos. En cambio, se les ve explotando vulnerabilidades antiguas en las máquinas disponibles.
Operando desde 2017
Los grupos de piratería patrocinados por el estado no siempre están motivados por medios monetarios, sino que están hambrientos de datos. Por lo tanto, se involucran en el reconocimiento cibernético y proporcionan datos críticos a sus gobiernos patrocinadores para obtener una ventaja competitiva.
Si bien muchos países avanzados tienen sus propios grupos de amenazas persistentes avanzadas (APT) que funcionan de forma encubierta, los chinos y los rusos están activos entre la comunidad. Y el martes, el ala de ciberseguridad de Cybereason, Nocturnus ha descubrió una nueva campaña revelando tres grupos APT chinos.
Todos estos apuntan a empresas de telecomunicaciones que trabajan en el sudeste asiático y se remontan a 2017. Sin embargo, el primero de ellos, llamado APT de celda blandaha comenzado a atacar desde 2018.
Se suponía que el segundo era de Naikoninició operaciones a fines del año pasado y está vinculado a la oficina militar del Ejército Popular de Liberación de China (EPL).
Y el tercero estaba vinculado a APT27 (Emissary Panda) y estuvo funcionando desde 2017 hasta principios de 2021. Se observó que golpeaba las vulnerabilidades de los servidores de Microsoft Exchange mucho antes de descubrir e implementar otro software malicioso para recopilar más datos.
Estos incluyen el shell web de China Chopper, Mimikatz para recolectar credenciales, balizas Cobalt Strike y puertas traseras para conectarse a su servidor C2 para la filtración de datos. Esta campaña se denomina colectivamente como DeadRinger y se dijo que estaba logrando el modelo de incidentes de Kaseya y SolarWinds.
Las empresas de telecomunicaciones pueden acceder a sistemas críticos como servidores de facturación, que contienen los datos del registro detallado de llamadas (CDR) y otros componentes de red como controladores de dominio, servidores web y servidores de Microsoft Exchange.
