Los gobiernos de Afganistán, Kirguistán y Uzbekistán han sido blanco de un grupo de amenazas persistentes avanzadas (APT) respaldado por el estado chino, denominado IndigoZebra, según la inteligencia producida por Check Point Research (CPR).
El grupo parece haberse infiltrado en el Consejo de Seguridad Nacional Afgano (NSC) en un ataque de spear phishing dirigido y personalizado, al enviar un correo electrónico con un documento adjunto para su revisión que se hacía pasar por la Oficina del Presidente de Afganistán como un señuelo para infiltrarse en el NSC.
“La detección del ciberespionaje sigue siendo una de nuestras principales prioridades. Esta vez, hemos detectado una campaña de phishing dirigida contra el gobierno afgano. Tenemos motivos para creer que Uzbekistán y Kirguistán también han sido víctimas. Hemos atribuido nuestros hallazgos a un actor de amenazas de habla china ”, dijo el jefe de inteligencia de amenazas de Check Point, Lotem Finkelsteen.
El documento malicioso, que pretendía tener algo que ver con una próxima conferencia de prensa, era un archivo que contenía malware, disfrazado como un archivo RAR protegido con contraseña llamado ‘NSC Press conference.rar’.
Una vez abierto, el archivo extraído, llamado ‘NSC Press conference.exe’ actuó como un cuentagotas de puerta trasera. Para reducir la sospecha, el malware implementó un truco furtivo: el contenido del correo electrónico sugirió que el archivo adjunto era un documento, y también abrió el primer documento que encontró en el escritorio de la víctima.
“Lo que es notable aquí es cómo los actores de amenazas utilizaron la táctica del engaño de ministerio a ministerio. Esta táctica es cruel y eficaz para hacer que cualquiera haga cualquier cosa por ti. En este caso, la actividad maliciosa se vio en los niveles más altos de soberanía ”, dijo Finkelsteen.
Luego, la puerta trasera volvió a llamar a una carpeta preconfigurada y única para cada víctima controlada por los atacantes y alojada en el servicio de almacenamiento en la nube de Dropbox, que sirvió como la dirección desde la que extrajo más comandos y almacenó la información exfiltrada, explotando efectivamente Dropbox como un centro de mando y control. Cuando el grupo necesitaba enviar un archivo o comando al sistema de la víctima, los colocaba en la carpeta denominada ‘d’ en la carpeta de Dropbox de la víctima, para que el malware los recuperara y descargara.
“Es digno de mención cómo los actores de amenazas utilizan Dropbox para enmascararse de la detección, una técnica que creo que todos deberíamos conocer y vigilar”, dijo Finkelsteen.
“Es posible que otros países también hayan sido atacados por este grupo de hackers, aunque no sabemos cuántos o qué países. Por lo tanto, estamos compartiendo una lista de otros posibles dominios utilizados en el ataque en este momento, con la esperanza de que otros investigadores cibernéticos puedan aprovechar sus nombres para contribuir a nuestros propios hallazgos “.
En última instancia, el grupo realizó una serie de acciones en los sistemas del NSC, incluida la descarga y ejecución de una herramienta de escaneo conocida por ser ampliamente utilizada por múltiples actores de APT, incluido APT10 con sede en China; la ejecución de las herramientas de utilidad de red integradas de Windows; y acceder y robar los archivos de la víctima.
Además de la campaña dirigida a Afganistán, CPR encontró variantes dirigidas a cuerpos políticos en otros dos países de Asia central, Kirguistán y Uzbekistán; los indicadores específicos de la victimología se pueden encontrar en su informe técnico completo.
El grupo IndigoZebra es conocido por la comunidad de seguridad cibernética desde hace algún tiempo, y se cree que su campaña se remonta a varios años, posiblemente hasta 2014, dijo CPR.
En 2017, Kaspersky señaló una campaña contra las ex repúblicas soviéticas en Asia central utilizando una amplia variedad de malware, incluidos Meterpreter, Poison Ivy y xDown. Kasperksy dijo que probablemente estaba llevando a cabo una recopilación de inteligencia, y más tarde ese mismo año sugirió que IndigoZebra estaba apuntando específicamente a países que habían mantenido negociaciones con Rusia.