Cloudflare advierte sobre hackers vinculados a India que atacan entidades del sur y este de Asia

XPoint
Publicado el 26/09/2024

Hackers vinculados a India

 

Se ha observado a un actor avanzado de amenazas con nexos en India utilizando varios proveedores de servicios en la nube para facilitar el robo de credenciales, la entrega de malware y el comando y control (C2).

La empresa de seguridad e infraestructura web, Cloudflare, está monitoreando esta actividad bajo el nombre de “SloppyLemming”, también conocido como “Outrider Tiger” y “Fishing Elephant”.

“Entre finales de 2022 y el presente, SloppyLemming ha usado de manera rutinaria Cloudflare Workers, probablemente como parte de una amplia campaña de espionaje dirigida a países del sur y este de Asia”, dijo Cloudflare en un análisis.

Se estima que SloppyLemming ha estado activo desde al menos julio de 2021, con campañas anteriores que utilizaron malware como Ares RAT y WarHawk, este último también vinculado a un grupo de hackers conocido como SideWinder. El uso de Ares RAT, por otro lado, se ha atribuido a SideCopy, un actor de amenazas probablemente de origen pakistaní.

 

Ciberseguridad

Los objetivos de la actividad de SloppyLemming abarcan entidades gubernamentales, de las fuerzas del orden, energía, educación, telecomunicaciones y tecnología ubicadas en Pakistán, Sri Lanka, Bangladesh, China, Nepal e Indonesia.

Las cadenas de ataque involucran el envío de correos electrónicos de spear-phishing a los objetivos, con el fin de engañarlos para que hagan clic en un enlace malicioso, induciéndolos a creer que deben completar un proceso obligatorio en las próximas 24 horas.

Al hacer clic en el enlace, la víctima es llevada a una página de recolección de credenciales, lo que permite al actor de amenazas acceder de manera no autorizada a cuentas de correo electrónico de interés.

“El actor utiliza una herramienta personalizada llamada CloudPhish para crear un Cloudflare Worker malicioso que maneja la lógica de registro y exfiltración de credenciales de las víctimas”, explicó la compañía.

Algunos de los ataques realizados por SloppyLemming han empleado técnicas similares para capturar tokens OAuth de Google, así como archivos RAR armados (“CamScanner 06-10-2024 15.29.rar”) que probablemente explotan una vulnerabilidad de WinRAR (CVE-2023-38831) para ejecutar código de forma remota.

Dentro del archivo RAR hay un ejecutable que, además de mostrar un documento señuelo, carga de manera encubierta “CRYPTSP.dll”, el cual sirve como descargador de un troyano de acceso remoto alojado en Dropbox.

Vale la pena mencionar que la empresa de ciberseguridad SEQRITE detalló una campaña similar llevada a cabo por los actores de SideCopy el año pasado, dirigida a sectores gubernamentales y de defensa de India, distribuyendo el Ares RAT a través de archivos ZIP denominados “DocScanner_AUG_2023.zip” y “DocScanner-Oct.zip”, diseñados para explotar la misma vulnerabilidad.

Una tercera secuencia de infección empleada por SloppyLemming utiliza señuelos de spear-phishing para llevar a los posibles objetivos a un sitio web falso que imita al Punjab Information Technology Board (PITB) en Pakistán, tras lo cual son redirigidos a otro sitio que contiene un archivo de acceso directo (URL).

 

Ciberseguridad

El archivo URL viene incrustado con código para descargar otro archivo, un ejecutable llamado PITB-JR5124.exe, desde el mismo servidor. El binario es un archivo legítimo que se utiliza para cargar una DLL maliciosa llamada profapi.dll que posteriormente se comunica con un Cloudflare Worker.

Estos URLs de Cloudflare Worker, según la compañía, actúan como intermediarios, retransmitiendo solicitudes al dominio C2 real utilizado por el adversario (“aljazeerak[.]online”).

Cloudflare mencionó que “observó esfuerzos concertados por parte de SloppyLemming para atacar a los departamentos de policía paquistaníes y otras organizaciones de las fuerzas del orden”, agregando que “hay indicios de que el actor ha atacado entidades involucradas en la operación y mantenimiento de la única planta de energía nuclear de Pakistán”.

Algunos de los otros objetivos de la actividad de recolección de credenciales incluyen organizaciones gubernamentales y militares de Sri Lanka y Bangladesh, y en menor medida, entidades del sector energético y académico de China.

 


 

English

Cloudflare Warns of India-Linked Hackers Targeting South and East Asian Entities

 

India-Linked Hackers

 

An advanced threat actor with ties to India has been observed leveraging multiple cloud service providers to facilitate credential theft, malware delivery, and command-and-control (C2) operations.

Cloudflare, a web infrastructure and security company, has been tracking this activity under the name “SloppyLemming,” also known as “Outrider Tiger” and “Fishing Elephant.”

“Since late 2022, SloppyLemming has consistently used Cloudflare Workers, likely as part of a broader espionage campaign aimed at South and East Asian countries,” Cloudflare stated in its analysis.

SloppyLemming is believed to have been active since at least July 2021. Previous campaigns involved malware like Ares RAT and WarHawk, the latter linked to the well-known hacking group SideWinder. The use of Ares RAT, however, has been attributed to SideCopy, a threat actor likely of Pakistani origin.

 

Cybersecurity

SloppyLemming’s targets span government, law enforcement, energy, education, telecommunications, and technology sectors across Pakistan, Sri Lanka, Bangladesh, China, Nepal, and Indonesia.

The attack chains typically start with spear-phishing emails aimed at tricking recipients into clicking a malicious link by creating a false sense of urgency, urging them to complete a mandatory process within 24 hours.

Clicking the link directs the victim to a credential-harvesting page, allowing the threat actor unauthorized access to the targeted organization’s email accounts.

“The actor uses a custom-built tool called CloudPhish to create a malicious Cloudflare Worker that handles the credential logging and exfiltration of victim credentials,” Cloudflare explained.

Some SloppyLemming attacks have used similar techniques to capture Google OAuth tokens and have deployed booby-trapped RAR files (e.g., “CamScanner 06-10-2024 15.29.rar”) that exploit a WinRAR vulnerability (CVE-2023-38831) to achieve remote code execution.

Within the RAR file is an executable that not only displays a decoy document but also stealthily loads “CRYPTSP.dll,” which acts as a downloader for a remote access trojan hosted on Dropbox.

It’s notable that cybersecurity firm SEQRITE previously uncovered a similar campaign by SideCopy targeting Indian government and defense sectors in 2023, distributing Ares RAT through ZIP archives named “DocScanner_AUG_2023.zip” and “DocScanner-Oct.zip,” which also exploited the same vulnerability.

A third infection chain employed by SloppyLemming uses spear-phishing to direct targets to a fake website mimicking the Punjab Information Technology Board (PITB) in Pakistan. From there, victims are redirected to a site hosting a malicious internet shortcut (URL) file.

 

Cybersecurity

The URL file contains code that downloads another executable named PITB-JR5124.exe from the same server. This legitimate file is used to sideload a rogue DLL named profapi.dll, which subsequently communicates with a Cloudflare Worker.

According to Cloudflare, these Cloudflare Worker URLs act as intermediaries, relaying requests to the actual C2 domain controlled by the adversary (“aljazeerak[.]online”).

Cloudflare has observed coordinated efforts by SloppyLemming to target Pakistani police departments and other law enforcement agencies, with evidence suggesting the actor has also targeted entities involved in the operation and maintenance of Pakistan’s sole nuclear power facility.

Other credential-harvesting targets include government and military organizations in Sri Lanka and Bangladesh, with Chinese energy and academic sectors being targeted to a lesser extent.

Preguntas frecuentes

¿Qué es Cloudflare?

+

Cloudflare, Inc. es una empresa estadounidense que ofrece servicios de red de entrega de contenido, ciberseguridad en la nube, mitigación de DDoS, servicios de red de área amplia, servidores proxy inversos, servicio de nombres de dominio y servicios de registro de dominio acreditados por ICANN.

¿Para que sirve el Pentesting?

+

El pentesting o Test de penetración, en español) es una técnica de ciberseguridad que consistente en atacar entornos informáticos con la intención de descubrir vulnerabilidades en los mismos, con el objetivo de reunir la información necesaria para poder prevenir en el futuro ataques externos hacia esos mismos …

¿Qué es y para qué la Seguridad en el Desarrollo Ágil?

+

El Servicio de Seguridad en Ciclo de Desarrollo es un enfoque integral que garantiza la protección de los proyectos de software desde su fase inicial de diseño hasta su implementación final. Esto implica integrar medidas de seguridad en cada etapa del proceso de desarrollo, desde la planificación hasta la entrega del producto. La importancia de este servicio radica en varios aspectos:

  1. Protección temprana contra amenazas: Al abordar la seguridad desde el principio del ciclo de desarrollo, se pueden identificar y mitigar riesgos de seguridad antes de que se conviertan en problemas costosos o críticos en etapas posteriores del proyecto.
  2. Reducción de costos y tiempo: Corregir problemas de seguridad durante las etapas iniciales del desarrollo es más económico y rápido que hacerlo después de que el producto esté en producción. Esto puede ayudar a evitar retrasos en el lanzamiento del producto y ahorros significativos en costos asociados con la corrección de brechas de seguridad.
  3. Cumplimiento normativo: Muchas regulaciones y estándares de la industria requieren que los productos de software cumplan con ciertos requisitos de seguridad y protección de datos. Integrar la seguridad en el ciclo de desarrollo ayuda a garantizar el cumplimiento de estas regulaciones desde el principio, evitando posibles multas y sanciones legales.
  4. Confianza del cliente: La seguridad de los datos y la protección de la privacidad son preocupaciones importantes para los clientes. Al demostrar un compromiso con la seguridad a lo largo de todo el ciclo de desarrollo, las empresas pueden construir y mantener la confianza del cliente en sus productos y servicios.

En resumen, el Servicio de Seguridad en Ciclo de Desarrollo es esencial para garantizar que los productos de software sean seguros, confiables y cumplan con los estándares de seguridad y privacidad, lo que resulta en beneficios tanto para la empresa como para sus clientes.

¿Qué es el Phishing Ético?

+

El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.

Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/

¿Qué es un Red Team en Ciberseguridad?

+

Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.

¿Qué es la Gestión de Vulnerabilidades?

+

La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:

  1. Identificación de Vulnerabilidades
  2. Evaluación de Riesgos
  3. Priorización
  4. Mitigación y Solución
  5. Seguimiento Continuo
  6. Comunicación y Documentación
  7. Formación y Concienciación

La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.

¿Tienes dudas?, contáctanos