Una nueva amenaza persistente y altamente capacitada ha estado atacando a importantes entidades públicas y privadas de Estados Unidos como parte de una serie de ataques de intrusión dirigidos, explotando los servidores de Microsoft Internet Information Services (IIS) para infiltrarse en sus redes.
La empresa israelí de ciberseguridad Sygnia, que identificó la campaña, está siguiendo al avanzado y sigiloso adversario bajo el apodo de «Praying Mantis» o «TG2021».
«TG1021 utiliza un marco de malware hecho a medida, construido alrededor de un núcleo común, hecho a medida para los servidores IIS. El conjunto de herramientas es completamente volátil, se carga de forma reflexiva en la memoria de la máquina afectada y apenas deja rastro en los objetivos infectados», señalan los investigadores. «El actor de la amenaza también utiliza una puerta trasera sigilosa adicional y varios módulos de post-explotación para realizar el reconocimiento de la red, elevar los privilegios y moverse lateralmente dentro de las redes».

Además de exhibir capacidades que muestran un esfuerzo significativo para evitar la detección, interfiriendo activamente con los mecanismos de registro y evadiendo con éxito los sistemas comerciales de detección y respuesta de puntos finales (EDR), el actor de la amenaza ha sido conocido por aprovechar un arsenal de exploits de aplicaciones web ASP.NET para ganar un punto de apoyo inicial y la puerta trasera de los servidores mediante la ejecución de un sofisticado implante llamado «NodeIISWeb» que está diseñado para cargar DLLs personalizados, así como interceptar y manejar las solicitudes HTTP recibidas por el servidor.

Las vulnerabilidades son aprovechadas por el actor incluyen:
- Checkbox Survey RCE Exploit (CVE-2021-27852)
- VIEWSTATE Deserialization Exploit
- Altserialization Insecure Deserialization
- Telerik-UI Exploit (CVE-2019-18935 and CVE-2017-11317)
Curiosamente, la investigación de Sygnia sobre las tácticas, técnicas y procedimientos (TTPs) de TG1021 ha desvelado «importantes solapamientos» con los de un actor patrocinado por un país llamado «Copy-Paste Compromises«, tal y como se detallaba en un aviso publicado por el Centro Australiano de Ciberseguridad (ACSC) en junio de 2020, en el que se describía una campaña cibernética dirigida a la infraestructura de cara al público principalmente a través del uso de fallos no parcheados en los servidores Telerik UI e IIS. Sin embargo, aún no se ha hecho una atribución formal.
«Praying Mantis, que se ha observado que tiene como objetivo entidades públicas y privadas de alto perfil en dos importantes mercados occidentales, ejemplifica una tendencia creciente de los ciberdelincuentes que utilizan sofisticados métodos de ataque de estado-nación para atacar a las organizaciones comerciales», dijeron los investigadores. «Las actividades forenses continuas y la respuesta oportuna a los incidentes son esenciales para identificar y defender eficazmente las redes de los ataques de actores de amenazas similares».