Se ha observado que una amenaza persistente avanzada china rastreada como Deep Panda explota la vulnerabilidad Log4Shell en los servidores VMware Horizon para implementar una puerta trasera y un novedoso paquete de software malicioso o “rootkit”, en máquinas infectadas con el objetivo de robar datos confidenciales.
En un informe publicado esta semana por parte de la empresa de ciberseguridad Fortinet, sus investigadores de FortiGuard Labs Rotem Sde-Or y Eliran Voronovitch, dijeron que, "La naturaleza de la focalización fue oportunista en la medida en que ocurrieron múltiples infecciones en varios países y varios sectores en las mismas fechas. Las víctimas pertenecen a las industrias financiera, académica, cosmética y de viajes".
Se dice que Deep Panda, también conocido por los apodos Shell Crew, KungFu Kittens y Bronze Firestone, ha estado activo desde el 2010 al menos, con ataques recientes "dirigidos a firmas legales para la exfiltración de datos y proveedores de tecnología para la construcción de infraestructura de comando y control" según la empresa estadounidense de ciberseguridad Secureworks.
La empresa de seguridad cibernética CrowdStrike, que asignó el nombre de panda al grupo de amenazas en julio de 2014, lo llamó "uno de los grupos de intrusión cibernética de estado nación chino más avanzados".
El último conjunto de ataques documentado por Fortinet muestra que el procedimiento de infección involucró la explotación de la falla de ejecución remota de código Log4j (también conocida como Log4Shell) en servidores VMware Horizon vulnerables para generar una cadena de etapas intermedias, lo que finalmente condujo al despliegue de una puerta trasera denominada Milestone. ("1.dll").
Basado en el código fuente filtrado del infame virus Gh0st RAT pero con diferencias notables en el mecanismo de comunicación de comando y control (C2) empleado, Milestone también está diseñado para enviar información sobre las sesiones actuales en el sistema al servidor remoto.
Durante los ataques también se detectó un rootkit de kernel llamado "Fire Chili" que está firmado digitalmente con certificados robados de compañías de desarrollo de juegos, lo que le permite evadir la detección por parte del software de seguridad y ocultar operaciones de archivos maliciosos, procesos, adiciones de claves de registro y conexiones de red.
Esto se logra por medio de llamadas al sistema “ioctl” (control de entrada/salida) para ocultar la clave de registro del rootkit del controlador, los archivos de puerta trasera de Milestone, el archivo y el proceso de carga utilizados para iniciar el implante.
La atribución de Fortinet a Deep Panda surge de las superposiciones entre Milestone e Infoadmin RAT, un troyano de acceso remoto utilizado por el sofisticado grupo de “hacking” a principios de la década de 2010, con pistas adicionales que apuntan a similitudes tácticas con las del grupo Winnti.
Esto está respaldado por el uso de firmas digitales comprometidas pertenecientes a empresas de juegos, un objetivo elegido por Winnti, así como un dominio C2 (gnisoft[.]com), que se vinculó previamente al actor apoyado económicamente por el estado chino a partir de Mayo 2020.
"La razón por la que estas herramientas están vinculadas a dos grupos diferentes no está clara en este momento", dijeron investigadores informáticos. "Es posible que los desarrolladores de los grupos compartieran recursos, como certificados robados e infraestructura C2, entre ellos. Esto puede explicar por qué las muestras solo se firmaron varias horas después de compilarse".
La divulgación se suma a una larga lista de grupos de “hacking” que han armado la vulnerabilidad Log4Shell para atacar la plataforma de virtualización de la empresa VMware.
En diciembre de 2021, CrowdStrike describió una campaña fallida realizada por un adversario denominado Aquatic Panda que aprovechó la falla para realizar varias operaciones posteriores a la explotación, incluido el reconocimiento y la recolección de credenciales en sistemas específicos.
Desde entonces, varios grupos se han unido a la lucha, incluido el grupo iraní TunnelVision, que se observó explotando activamente el defecto de la biblioteca de registro de Log4j para comprometer los servidores sin parche VMware Horizon con ransomware.
Más recientemente, la empresa de seguridad cibernética Sophos destacó una serie de ataques contra servidores Horizon vulnerables que han estado en curso desde enero y han sido montados por actores de amenazas para extraer cripto monedas de forma ilícita, instalar programas “shells” inversos basados en PowerShell o implementar agentes Atera (soluciones para el acceso remoto) para entregar conjuntos de datos adicionales de forma remota.
"Los intentos de comprometer los servidores de Horizon se encuentran entre las vulnerabilidades de Log4Shell más específicas debido a su naturaleza", dijeron los investigadores de Sophos, y agregaron que "las plataformas como Horizon son objetivos particularmente atractivos para todo tipo de actores maliciosos porque están muy extendidos y pueden (si aún vulnerable) fácil de encontrar y explotar con herramientas bien probadas".