Grupo de ciberespionaje Rancor
Un nuevo Grupo de Ciber Espionaje denominado RANCOR identificado dirigido al Sudeste Asiático utilizando las nuevas familias de malware PLAINTEE y DDKONG
El grupo RANCOR parece estar asociado con el malware KHRAT que se usó en los ataques de Camboya.
El ataque comienza con un mensaje de spear phishing que contiene las noticias públicas y que hace que los investigadores crean que el grupo RANCOR está apuntando a entidades políticas.
Los investigadores de seguridad de Palo Alto Networks descubrieron el grupo RANCOR, según los investigadores, el grupo se centra principalmente en las entidades políticas de Singapur y Camboya, pero no se limita a estos países.
DDKONG descubrió que los atacantes lo utilizaron durante toda la campaña y el LAINTEE encontró una nueva adición a su conjunto de herramientas.
A partir de febrero de 2018, los dominios asociados con KHRAT comienzan a resolverse en IP 89[.]46[.]222[.]97, lo que lleva a los investigadores a encontrar nombres de dominio que resuelven IP imitan nombres populares de compañías [facebook-apps[.]com].
Las investigaciones identificaron dos ejemplos de malware Loader y PLAINTEE directamente conectados a la dirección IP. Con un análisis posterior, pudieron detectar seis muestras de malware PLAINTEE, donde unieron todas las muestras por la infraestructura que utilizan.
"Nuestra investigación sobre ambos clusters mostró además que ambos estaban involucrados en ataques dirigidos a organizaciones en el sudeste asiático. Basado en el uso del malware PLAINTEE relativamente único, el uso del malware de las mismas rutas de archivos en cada clúster y la orientación similar, hemos agrupado estos ataques bajo el apodo de la campaña RANCOR ".
Mecanismos de entrega de malware
Se examinaron tres casos y en todos los casos DDKONG o PLAINTEE es la carga útil final utilizada por los atacantes. DDKONG vio el primer febrero de 2017 y el PLAINTEE fue una nueva adición y se observó en octubre de 2017.
En uno de los casos, los atacantes aprovechan un documento de Microsoft Office Excel con macro incrustado en una propiedad de metadatos EXIF del documento. En otro caso, los atacantes enviaron un archivo de aplicación HTML (.hta) para descargar el malware. Con otro ataque, usaron archivos DLL.
PLAINTEE utiliza un protocolo UDP personalizado para conectarse con el servidor de comando y control y los datos transmitidos en forma codificada.
"La campaña RANCOR representa una tendencia continua de ataques dirigidos contra entidades dentro de la región del sudeste asiático. Los atacantes utilizaron los señuelos motivados políticamente para tentar a las víctimas a abrir y posteriormente cargar familias de malware previamente indocumentadas ".