Los servidores de Windows orientados a Internet, son el objetivo de un nuevo actor de amenazas que opera “casi completamente en memoria”, según un nuevo informe del equipo de Sygnia Incident Response.
El informe dice que el actor de amenaza avanzado y persistente -que han llamado “Praying Mantis” o “TG1021”- utiliza principalmente ataques de deserialización para cargar una plataforma de malware completamente volátil y personalizada, adaptada al entorno Windows IIS.
“TG1021 utiliza un marco de malware hecho a medida, construido alrededor de un núcleo común, hecho a medida para los servidores IIS. El conjunto de herramientas es completamente volátil, se carga de forma reflexiva en la memoria de una máquina afectada y deja poco o ningún rastro en los objetivos infectados”, escribieron los investigadores.
“El actor de la amenaza utilizó el acceso proporcionado usando el IIS para llevar a cabo la actividad adicional, incluyendo la recolección de credenciales, el reconocimiento y el movimiento lateral”.
En el último año, el equipo de respuesta a incidentes de la compañía se ha visto obligado a responder a una serie de ataques de intrusión cibernética dirigidos a varias organizaciones prominentes que Sygnia no nombró.
“Praying Mantis” logró comprometer sus redes explotando servidores orientados a Internet, y el informe señala que la actividad observada sugiere que el actor de la amenaza está muy familiarizado con la plataforma Windows IIS y está equipado con exploits de día 0.
“El componente principal, cargado en los servidores IIS orientados a Internet, intercepta y gestiona cualquier solicitud HTTP recibida por el servidor. TG1021 también utiliza una puerta trasera adicional y varios módulos de post-explotación para realizar el reconocimiento de la red, elevar los privilegios y moverse lateralmente dentro de las redes”, explica el informe.
“La naturaleza de la actividad y el modus operandi general sugieren que TG1021 es un actor sigiloso experimentado, muy consciente de la seguridad de las operaciones. El malware utilizado por TG1021 muestra un esfuerzo significativo para evitar la detección, tanto interfiriendo activamente con los mecanismos de registro, evadiendo con éxito los EDR comerciales, como esperando silenciosamente las conexiones entrantes, en lugar de conectarse a un canal C2 y generar tráfico continuamente.”
Los actores detrás de “Praying Mantis” fueron capaces de eliminar todas las herramientas residentes en el disco después de usarlas, renunciando efectivamente a la persistencia a cambio del sigilo.
Los investigadores señalaron que las técnicas de los actores se asemejan a las mencionadas en un aviso de junio de 2020 del Centro Australiano de Ciberseguridad, que advertía de los “compromisos de copiar y pegar”.
El aviso australiano decía que los ataques estaban siendo lanzados por “un sofisticado actor patrocinado por el Estado” que representaba “el más significativo y coordinado ciberataque contra instituciones australianas que el Gobierno australiano haya observado jamás”.