El software malicioso APT MM Core lleva en internet desde abril de 2013, cuando fue descubierto por primera vez por los expertos en FireEye.
Los investigadores de malware doblaron la primera versión del malware "TROJAN.APT.BANECHANT" (2,0-LNK), se trata principalmente de una puerta trasera utilizado por los actores de amenaza para robar información de las víctimas. El malware ha sido utilizada para combatir a los gobiernos de Oriente Medio y Asia Central.
BaneChant detecto varios clics del ratón antes de iniciar su actividad, este comportamiento se implementó en el intento de evadir el sandboxes.
El malware se dirige también a una URL legítima, el malware llega a un servicio de acortamiento de URL legítima que a continuación, vuelve a dirigir la comunicación con el servidor de CNC. De esta manera, los autores impiden las soluciones de seguridad de los servidores de la lista negra de comando y control (C & C).
El malware requiere una conexión a Internet para los códigos maliciosos que se descargan directamente en la memoria y ejecutado.
Una nueva versión del malware MM Core denominado "Strangelove, seguido de" 2,1-LNK ", fue descubierto en junio de 2013 por investigadores de la seguridad de la información de contexto. La versión anterior se caracterizó por algunas modificaciones en el componente descargador. Actores de amenazas lo utilizan para apuntar hacia Moscú y entidades en el Oriente Medio.
De vuelta al presente, los expertos de Forcepoint han detectado dos nuevas versiones del malware MM Core apodado BigBoss (2,2-LNK) y SillyGoose (2,3-LNK).
"Los ataques que utilizan "BigBoss" parece que se hayan producido desde mediados de 2015, mientras que" SillyGoose "parece haber sido distribuida desde septiembre de 2016. Ambas versiones todavía parecen estar activas." Segun los informes publicados por Forcepoint.
Los usuarios de las nuevas variantes infectadas estan en los EE.UU. y África, los expertos observaron que las víctimas pertenecen a varias industrias tales como noticias y medios de comunicación, defensa, petróleo y gas, y telecomunicaciones.
A continuación las principales funcionalidades implementadas en la puerta trasera MM Core:
- Enviar sistema infectado de nombre de equipo, versión de Windows, hora del sistema, los procesos en ejecución, TCP / IP de configuración, y la parte superior de los listados de directorios de nivel de unidades C a H
- Descargar y ejecutar el archivo
- Descargar y ejecutar archivos en la memoria
- Actualizarse
- Desinstalador propio
- Una novedad introducida en la última variante de la puerta trasera es que el componente descargador aprovecha de la vulnerabilidad de la vulnerabilidad de daños en la memoria de Microsoft Office ( CVE-2015-1641 ) para extraer el malware incrustado.
Con el fin de hacer más difícil el seguimiento de la infraestructura C & C, los actores de amenazas están utilizando los servicios de protección de la intimidad WHOIS para sus nuevos dominios C & C.
Los ladrones también firman el código de los componentes de descarga con un certificado válido desde authenticode organización rusa "Puerto Bor," los actores de amenazas de malware detrás de la APT probable que lo ha robado.
Forcepoint señaló que si bien el número de muestras MM Core es baja, se ha notado que el código acciones downloader, las técnicas de la Troya y la infraestructura con Gratem , un programa de descarga más activo que ha existido por lo menos desde 2014. Las muestras recientes también se han encontrado para compartir los mismos certificados.
Los expertos creen que el malware APT MM Core es sólo una parte de una operación de espionaje cibernético más grande de los que todavía están investigando. Se unieron el malware a otro troyano llamado Gratem:
"Por otra parte, mientras que el volumen de las muestras MM básicos relacionados siguen siendo bajos, las técnicas y la infraestructura de red Core MM con un troyano llamado se ha distribuido desde al menos 2014." afirma el informe.
"Gratem", además de compartir el mismo Authenticode certificado para muestras recientes. Gratem es una familia de malware más activo de descarga que ha sido distribuido por lo menos desde 2014. En última instancia, esto sugiere que MM núcleo puede ser parte de una operación más grande que todavía tiene que ser totalmente descubierto.
