Los investigadores han encontrado una nueva arma de ciberespionaje que creen que fue desarrollada y utilizada por SharpPanda. Una puerta trasera de Windows no descubierta anteriormente permite el acceso remoto y la recopilación de grandes cantidades de datos en vivo, pero solo durante el horario comercial chino, según Security Week.
El Ministerio de Relaciones Exteriores de un país del sudeste asiático es el objetivo de una campaña en curso. Comienza con el envío por correo electrónico de spear-phishing de un documento armado, pero de alguna manera, comenzó antes, con los atacantes obteniendo documentos reales de otro departamento dentro del mismo gobierno para dar validez a la campaña real.
Los documentos se convierten en armas con el kit de explotación RoyalRoad RTF y luego se distribuyen en una campaña de spear phishing a varios objetivos en el Ministerio de Relaciones Exteriores. Según Check Point Research (CPR), abrir el archivo adjunto desencadena una secuencia de cargadores en memoria que conduce a la entrega de la puerta trasera previamente desconocida.
El documento armado contiene objetos incrustados que atacan las vulnerabilidades del Editor de ecuaciones en Word (que, aunque antiguo y corregido, todavía lo utilizan los equipos APT chinos para obtener el descargador de la puerta trasera). Este es el comienzo de una compleja cadena de infección de múltiples etapas diseñada para dificultar la detección y el análisis.
¿Cómo actúa la infección?
El nombre original de la DLL 5.t es Download.dll. Comienza con una técnica anti-sandboxing típica para identificar la aceleración del código: obtiene la hora local antes y después de una llamada a la función de suspensión y comprueba si se omitió la suspensión. Luego, el cargador recopila datos de la computadora de la víctima, como el nombre de host, el nombre y la versión del sistema operativo, el tipo de sistema (32/64 bits), el nombre de usuario y las direcciones MAC de los adaptadores de red. También busca información antivirus en WMI.
Si el atacante decide que la víctima es interesante, el ejecutable de la siguiente etapa se devuelve de la misma manera. El ejecutable carga la DLL descifrada en la memoria, comienza la ejecución desde la función de exportación StartW y notifica al servidor del éxito de la operación.
Luego, el cargador encripta los datos con RC4 y la clave 123456 antes de codificarlos en base64.
Luego, los datos se transmiten a las siguientes direcciones mediante HTTP GET:
https:// <C&C IP> / <working_folder> /Main.php?Data= <encrypted_data> con el agente de usuario Microsoft Internet Explorer y luego el cargador obtiene la respuesta de https: // <C&C IP> / <working_folder> / buy / <nombredehost> .html.
Si el ciberdelincuente está interesado en la PC de destino, la respuesta del servidor contiene el ejecutable del siguiente nivel en forma cifrada, al igual que los datos se proporcionan al servidor de C&C.
Para garantizar la integridad del mensaje recibido, el cargador utiliza el algoritmo hash FNV-1A64 para determinar si el prefijo del mensaje descifrado es A257. Además, calcula el valor MD5 del mensaje para asegurarse de que coincide con el valor especificado al principio del mensaje.
El diseño de complemento del ataque, advierten los investigadores, significa que los atacantes podrían usar el proceso para descargar e instalar cualquier otro módulo además de la puerta trasera VictoryDll, y el método de ataque podría usarse en cualquier parte del mundo.
Gracias por visitar este sitio, espero que te haya gustado y vuelvas proximamente, compartela en las redes sociales, gracias
Fecha actualización el 2021-06-07. Fecha publicación el 2021-06-07. Categoría: hackers Autor: Oscar olg Mapa del sitio Fuente: softonic