Se ha observado a un actor avanzado de amenazas con nexos en India utilizando varios proveedores de servicios en la nube para facilitar el robo de credenciales, la entrega de malware y el comando y control (C2).
La empresa de seguridad e infraestructura web, Cloudflare, está monitoreando esta actividad bajo el nombre de “SloppyLemming”, también conocido como “Outrider Tiger” y “Fishing Elephant”.
“Entre finales de 2022 y el presente, SloppyLemming ha usado de manera rutinaria Cloudflare Workers, probablemente como parte de una amplia campaña de espionaje dirigida a países del sur y este de Asia”, dijo Cloudflare en un análisis.
Se estima que SloppyLemming ha estado activo desde al menos julio de 2021, con campañas anteriores que utilizaron malware como Ares RAT y WarHawk, este último también vinculado a un grupo de hackers conocido como SideWinder. El uso de Ares RAT, por otro lado, se ha atribuido a SideCopy, un actor de amenazas probablemente de origen pakistaní.
Los objetivos de la actividad de SloppyLemming abarcan entidades gubernamentales, de las fuerzas del orden, energía, educación, telecomunicaciones y tecnología ubicadas en Pakistán, Sri Lanka, Bangladesh, China, Nepal e Indonesia.
Las cadenas de ataque involucran el envío de correos electrónicos de spear-phishing a los objetivos, con el fin de engañarlos para que hagan clic en un enlace malicioso, induciéndolos a creer que deben completar un proceso obligatorio en las próximas 24 horas.
Al hacer clic en el enlace, la víctima es llevada a una página de recolección de credenciales, lo que permite al actor de amenazas acceder de manera no autorizada a cuentas de correo electrónico de interés.
“El actor utiliza una herramienta personalizada llamada CloudPhish para crear un Cloudflare Worker malicioso que maneja la lógica de registro y exfiltración de credenciales de las víctimas”, explicó la compañía.
Algunos de los ataques realizados por SloppyLemming han empleado técnicas similares para capturar tokens OAuth de Google, así como archivos RAR armados (“CamScanner 06-10-2024 15.29.rar”) que probablemente explotan una vulnerabilidad de WinRAR (CVE-2023-38831) para ejecutar código de forma remota.
Dentro del archivo RAR hay un ejecutable que, además de mostrar un documento señuelo, carga de manera encubierta “CRYPTSP.dll”, el cual sirve como descargador de un troyano de acceso remoto alojado en Dropbox.
Vale la pena mencionar que la empresa de ciberseguridad SEQRITE detalló una campaña similar llevada a cabo por los actores de SideCopy el año pasado, dirigida a sectores gubernamentales y de defensa de India, distribuyendo el Ares RAT a través de archivos ZIP denominados “DocScanner_AUG_2023.zip” y “DocScanner-Oct.zip”, diseñados para explotar la misma vulnerabilidad.
Una tercera secuencia de infección empleada por SloppyLemming utiliza señuelos de spear-phishing para llevar a los posibles objetivos a un sitio web falso que imita al Punjab Information Technology Board (PITB) en Pakistán, tras lo cual son redirigidos a otro sitio que contiene un archivo de acceso directo (URL).
El archivo URL viene incrustado con código para descargar otro archivo, un ejecutable llamado PITB-JR5124.exe, desde el mismo servidor. El binario es un archivo legítimo que se utiliza para cargar una DLL maliciosa llamada profapi.dll que posteriormente se comunica con un Cloudflare Worker.
Estos URLs de Cloudflare Worker, según la compañía, actúan como intermediarios, retransmitiendo solicitudes al dominio C2 real utilizado por el adversario (“aljazeerak[.]online”).
Cloudflare mencionó que “observó esfuerzos concertados por parte de SloppyLemming para atacar a los departamentos de policía paquistaníes y otras organizaciones de las fuerzas del orden”, agregando que “hay indicios de que el actor ha atacado entidades involucradas en la operación y mantenimiento de la única planta de energía nuclear de Pakistán”.
Algunos de los otros objetivos de la actividad de recolección de credenciales incluyen organizaciones gubernamentales y militares de Sri Lanka y Bangladesh, y en menor medida, entidades del sector energético y académico de China.
English
An advanced threat actor with ties to India has been observed leveraging multiple cloud service providers to facilitate credential theft, malware delivery, and command-and-control (C2) operations.
Cloudflare, a web infrastructure and security company, has been tracking this activity under the name “SloppyLemming,” also known as “Outrider Tiger” and “Fishing Elephant.”
“Since late 2022, SloppyLemming has consistently used Cloudflare Workers, likely as part of a broader espionage campaign aimed at South and East Asian countries,” Cloudflare stated in its analysis.
SloppyLemming is believed to have been active since at least July 2021. Previous campaigns involved malware like Ares RAT and WarHawk, the latter linked to the well-known hacking group SideWinder. The use of Ares RAT, however, has been attributed to SideCopy, a threat actor likely of Pakistani origin.
SloppyLemming’s targets span government, law enforcement, energy, education, telecommunications, and technology sectors across Pakistan, Sri Lanka, Bangladesh, China, Nepal, and Indonesia.
The attack chains typically start with spear-phishing emails aimed at tricking recipients into clicking a malicious link by creating a false sense of urgency, urging them to complete a mandatory process within 24 hours.
Clicking the link directs the victim to a credential-harvesting page, allowing the threat actor unauthorized access to the targeted organization’s email accounts.
“The actor uses a custom-built tool called CloudPhish to create a malicious Cloudflare Worker that handles the credential logging and exfiltration of victim credentials,” Cloudflare explained.
Some SloppyLemming attacks have used similar techniques to capture Google OAuth tokens and have deployed booby-trapped RAR files (e.g., “CamScanner 06-10-2024 15.29.rar”) that exploit a WinRAR vulnerability (CVE-2023-38831) to achieve remote code execution.
Within the RAR file is an executable that not only displays a decoy document but also stealthily loads “CRYPTSP.dll,” which acts as a downloader for a remote access trojan hosted on Dropbox.
It’s notable that cybersecurity firm SEQRITE previously uncovered a similar campaign by SideCopy targeting Indian government and defense sectors in 2023, distributing Ares RAT through ZIP archives named “DocScanner_AUG_2023.zip” and “DocScanner-Oct.zip,” which also exploited the same vulnerability.
A third infection chain employed by SloppyLemming uses spear-phishing to direct targets to a fake website mimicking the Punjab Information Technology Board (PITB) in Pakistan. From there, victims are redirected to a site hosting a malicious internet shortcut (URL) file.
The URL file contains code that downloads another executable named PITB-JR5124.exe from the same server. This legitimate file is used to sideload a rogue DLL named profapi.dll, which subsequently communicates with a Cloudflare Worker.
According to Cloudflare, these Cloudflare Worker URLs act as intermediaries, relaying requests to the actual C2 domain controlled by the adversary (“aljazeerak[.]online”).
Cloudflare has observed coordinated efforts by SloppyLemming to target Pakistani police departments and other law enforcement agencies, with evidence suggesting the actor has also targeted entities involved in the operation and maintenance of Pakistan’s sole nuclear power facility.
Other credential-harvesting targets include government and military organizations in Sri Lanka and Bangladesh, with Chinese energy and academic sectors being targeted to a lesser extent.
Cloudflare, Inc. es una empresa estadounidense que ofrece servicios de red de entrega de contenido, ciberseguridad en la nube, mitigación de DDoS, servicios de red de área amplia, servidores proxy inversos, servicio de nombres de dominio y servicios de registro de dominio acreditados por ICANN.
El pentesting o Test de penetración, en español) es una técnica de ciberseguridad que consistente en atacar entornos informáticos con la intención de descubrir vulnerabilidades en los mismos, con el objetivo de reunir la información necesaria para poder prevenir en el futuro ataques externos hacia esos mismos …
El Servicio de Seguridad en Ciclo de Desarrollo es un enfoque integral que garantiza la protección de los proyectos de software desde su fase inicial de diseño hasta su implementación final. Esto implica integrar medidas de seguridad en cada etapa del proceso de desarrollo, desde la planificación hasta la entrega del producto. La importancia de este servicio radica en varios aspectos:
En resumen, el Servicio de Seguridad en Ciclo de Desarrollo es esencial para garantizar que los productos de software sean seguros, confiables y cumplan con los estándares de seguridad y privacidad, lo que resulta en beneficios tanto para la empresa como para sus clientes.
El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.
Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/
Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.
La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:
La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.