El nuevo actor de amenazas “Grayling”, es culpado de campaña de espionaje

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

Investigadores de seguridad han compartido pruebas de un nuevo grupo APT que se centró principalmente en organizaciones taiwanesas en una campaña de ciberespionaje que duró al menos cuatro meses.

Apodado “Grayling” por Symantec, la actividad del grupo comenzó en febrero de 2023 y continuó hasta al menos mayo de 2023, robando información confidencial de empresas manufactureras, de TI y biomédicas en Taiwán, así como de víctimas en EE. UU., Vietnam y las islas del Pacífico.

El grupo implementó la descarga de DLL a través de la API exportada “SbieDll_Hook” para cargar herramientas como Cobalt Strike Stager, que condujo a la popular herramienta posterior a la explotación Cobalt Strike Beacon. También instaló “Havoc”, un marco de comando y control (C2) posterior a la explotación de código abierto utilizado de manera similar a Cobalt Strike.

Grayling utilizó la herramienta de software espía NetSpy disponible públicamente, aprovechó el error CVE-2019-0803 de elevación de privilegios de Windows heredado y descargó y ejecutó shellcode, señaló el informe.

El proveedor de seguridad dijo que el modus operandi de Grayling era bastante típico de los grupos APT actuales, al combinar herramientas personalizadas y disponibles públicamente; este último para ayudarlo a permanecer fuera del radar. Havoc y Cobalt Strike son particularmente útiles y populares porque presentan una amplia gama de capacidades posteriores a la explotación.

Aunque el proveedor no llegó a nombrar un posible estado nación, está claro que los objetivos buscados por Grayling se alinean con los intereses geopolíticos de Beijing.

Info – Ciberseguridad Latam

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *