ACSC de Australia: identifica a China como autor de su ataque

Australia reconoce a China como su atacante cibernético

Australia reconoce a China como su atacante cibernético

ACSC de Australia publicó un informe detallado sobre las técnicas, tácticas y procedimientos asociados con el actor de la amenaza que atacaron a las organizaciones en el país.

Recientemente, el primer ministro de Australia, Scott Morrison, reveló que un “actor estatal” está apuntando al gobierno, los servicios públicos y las empresas, en un informe ACSC de Australia.

Advirtiendo a los australianos de “riesgos específicos” y una mayor frecuencia de ataques, el gobierno australiano está trabajando en “riesgos específicos”.

Estos riesgos están relacionados con un aumento significativo en el número de ataques cibernéticos.

Fueron dirigidos contra instituciones y organizaciones sensibles en casi cualquier industria, dijo Morrison a una organización conferencia de prensa

Morrison destacó que los atacantes han sido orquestados por un sofisticado actor de estado-nación, pero no lo atribuyeron a un estado extranjero específico.

Fuentes importantes dijeron a  ABC News de Australia  que los grupos APT vinculados a China pueden haber estado involucrados en los ataques.

Los atacantes emplearon código de explotación modificado de prueba de concepto para vulnerabilidades conocidas.

Los expertos informaron que los atacantes atacan la infraestructura pública.

En muchos casos, los atacantes atacaron versiones sin parchear de:

La interfaz de usuario (UI) de Telerik explotando las vulnerabilidades CVE-2019-18935 ,  CVE-2017-9248 ,  CVE-2017-11317 ,  CVE-2017-11357 .

Los expertos del Centro de Seguridad Cibernética de Australia (ACSC) descubrieron que el atacante también explotó una vulnerabilidad de ejecución remota de código de Microsoft SharePoint.

Dicha vulnerabilidad es rastreada como CVE-2019-0604 y la  vulnerabilidad CVE-2019-19781 en Citrix Application Delivery Controller (ADC), Citrix Gateway, y dispositivos Citrix SD-WAN WANOP.

En otros intentos detectados por ACSC, los actores de la amenaza lanzaron phishing para recolectar credenciales, entregar malware y robar otros datos confidenciales de las víctimas.

“El ACSC ha identificado instancias donde los usuarios han ejecutado malware incrustado en archivos adjuntos de correo electrónico. 

El texto del correo electrónico proporciona al usuario una razón plausible para abrir el archivo adjunto. 

Una vez abierto, el malware explotará una vulnerabilidad existente o se ejecutará directamente en el sistema del usuario “. Lea la alerta emitida por la ACSC.

El ACSC señaló que los atacantes no llevaron a cabo ninguna actividad disruptiva o destructiva dentro de los entornos de las víctimas.

Los actores de la amenaza utilizaron malware (es decir, Korplug, PlugX ) que se ha asociado con grupos APT chinos, como OceanLotus , para cargar una carga útil de Cobalt Strike.

ACSC de Australia informó

Según los expertos de ACSC, los atacantes también usan el marco de posexplotación de código abierto PowerShell Empire.

Una vez que se establecieron dentro de la red de víctimas, los atacantes intentaron escalar los privilegios al SISTEMA.

Ellos utilizaron herramientas comunes, incluidas las utilidades  Juicy Potato y RottenPotatoNG.

El arsenal de los atacantes también incluye numerosos shells web utilizados para mantener el acceso a  hosts comprometidos.

El informe completo publicado por ACSC sobre las técnicas, tácticas y procedimientos asociados con el actor de amenaza que atacaron a las organizaciones en el país está disponible aquí

 

 

Por Marcelo Lozano – General Publisher IT Connect Latam