Crosswalk Backdoor
Los investigadores de Infosec descubrieron una amenaza de puerta trasera desconocida previamente utilizada en una serie de ataques por un actor de amenazas con sede en China. Las operaciones amenazantes se dirigieron principalmente a desarrolladores y editores de videojuegos de Hong Kong y Rusia. Durante los cuatro ataques distintos, los piratas informáticos emplearon varias cepas de malware diferentes, lo que dificultó la atribución de la campaña a un actor de amenazas en particular.
En mayo de 2020, los piratas informáticos lanzaron dos ataques separados. La primera se basó en atajos de LNK que buscaban y ejecutaban la carga útil amenazante final, mientras que la segunda operación empleaba una cadena de ataque un poco más sofisticada. Los piratas informáticos distribuyeron correos electrónicos con un archivo RAR amenazante como archivo adjunto. Dentro del archivo había dos accesos directos a archivos PDF que actuaban como señuelos pretendiendo ser un CV y un certificado IELTS. El verdadero propósito de los atajos era conectarse a Zeplin, una herramienta legítima utilizada por los desarrolladores para colaboraciones. Los piratas informáticos alojaron en Zeplin su carga útil de etapa final, que consistía en un archivo cargador de shellcode: 'svchast.exe', y Crosswalk, un malware de puerta trasera que acechaba dentro de un archivo llamado '3t54dE3r.tmp'.
Crosswalk no es una nueva cepa de malware, ya que se detectó por primera vez en 2017. En esencia, la amenaza es una puerta trasera modular extremadamente optimizada capaz de realizar actividades de reconocimiento en computadoras comprometidas. Sin embargo, debido a su naturaleza modular, la funcionalidad de Crosswalk se puede ajustar a la agenda particular de los ciberdelincuentes mediante la obtención de módulos adicionales de la infraestructura de Comando y Control (C2, C&C) de la campaña en forma de shellcode.
Encontrar el grupo detrás de los ataques
El despliegue de Crosswalk finalmente les dio a los investigadores de seguridad de la información la confianza para vincular los ataques al grupo de hackers chinos conocido como APT41 o Winnti. De hecho, a juzgar únicamente por los aspectos del ataque inicial, las señales apuntaban principalmente hacia los piratas informáticos coreanos pertenecientes al grupo Higaisa, que son conocidos por utilizar atajos de LNK en sus operaciones. La presencia de Crosswalk y algo de superposición en la infraestructura entre las campañas anteriores de Winnti y esta serie de ataques disuadió a los investigadores de su conjetura original y los apuntó hacia el posible culpable. Los objetivos también son consistentes con las víctimas pasadas de Winnti que también operaron en la industria de los videojuegos.
La actividad actual del grupo sigue en curso. En los ataques más recientes, la carga útil de malware implementada ha cambiado una vez más. Hasta ahora, en algunos casos se han observado archivos RAR amenazantes que llevan una variante del Cobal Strike Beacon . En otros, los piratas informáticos aprovecharon los certificados comprometidos de una empresa taiwanesa llamada Zealot Digital para lanzar ataques contra las víctimas en Honk Kong, entregando Crosswalk y Metasploit . También se ha armado una gran cantidad de otros programas maliciosos, incluidos ShadowPad, Paranoid PlugX y FunnySwitch, una amenaza de puerta trasera de .NET desconocida hasta ahora.
