Investigadores en el campo de la ciberseguridad han descubierto una nueva campaña que se ha relacionado con el equipo de piratería chino conocido como "Tropic Trooper". Esta campaña utiliza un nuevo cargador conocido como Nimbda, así como una nueva forma del troyano Yahoyah.
Tropic Trooper es una organización terrorista independiente que ha llevado a cabo operaciones dirigidas a objetivos específicos en Taiwán, Filipinas y Hong Kong. Desde 2011, Tropic Trooper opera con el objetivo de dirigirse a organizaciones del sector público, la industria de la salud, el sector del transporte y el sector de alta tecnología.
Un informe de CheckPoint reveló la campaña reciente y afirma que los atacantes mostraron un conocimiento criptográfico profundo ya que los atacantes ampliaron la especificación AES en una implementación personalizada realizando dos veces la secuencia invertida de operaciones redondas.
En cuanto al troyano, este se incluye en una herramienta de software gris denominada SMS Bomber, que se utiliza para ataques DoS contra teléfonos. Estos tipos de herramientas generalmente son utilizados por actores de amenazas principiantes que desean llevar a cabo ataques contra sitios.
SMS Bomber, como su nombre lo indica, permite que un usuario ingrese un número de teléfono (que no es el suyo) para inundar el dispositivo de la víctima con mensajes y potencialmente dejarlo inutilizable en lo que es un ataque de denegación de servicio (DoS).
La última cadena de ataque documentada por Check Point comienza con la herramienta manipulada de SMS Bomber, el cargador Nimbda, que lanza un ejecutable incrustado, en este caso la carga útil legítima de SMS Bomber, al mismo tiempo que inyecta una pieza separada de shellcode en un proceso notepad.exe. .
Esto inicia un proceso de infección de tres niveles que implica la descarga de un binario de siguiente etapa desde una dirección IP ofuscada especificada en un archivo de descuento ("EULA.md") que está alojado en un repositorio de GitHub o Gitee controlado por un atacante.
El binario recuperado es una versión mejorada de un troyano llamado Yahoyah que está diseñado para recopilar información sobre las redes inalámbricas locales en las cercanías de la máquina víctima, así como otros metadatos del sistema, y extrae los detalles a un servidor de comando y control (C2).
El grupo Tropic Trooper parece estar centrándose en los ataques de espionaje. Ha utilizado SMS Bomber para objetivos específicos basados en inteligencia recopilada durante el espionaje. Por lo tanto, se recomienda encarecidamente proteger la información confidencial con cifrado y un control de acceso adecuado ya que nunca se sabe que puede pasar.
