El equipo de McAfee Advanced Threat Research detectó una campaña de malware llamada Operación Sharpshooter que atacó objetivos nucleares, de defensa, de energía y financieros de todo el mundo.
Según lo detallado por el equipo de investigación de McAfee, la campaña denominada "Operación Sharpshooter" hace uso de una memoria esencial para descargar y ejecutar una carga útil de segunda etapa llamada Rising Sun.
Además, el implante Rising Sun es una puerta trasera modular completamente funcional diseñada para realizar vigilancia en la red de víctimas comprometida.
Este segundo implante también muestra múltiples similitudes con la puerta trasera Trojan Duuzer empleada en ataques diseñados para comprometer objetivos de las mismas industrias críticas durante 2015 por la amenaza de ciberespionaje del Grupo Lazarus, que se sabe que ha estado activa desde al menos 2009.
La campaña se camufló a sí misma como una operación legítima de reclutamiento de empleos en la industria, y el proceso de ataque comienza con un documento que contiene macros maliciosas diseñadas para descargar la primera etapa de carga útil en la memoria del sistema, ejecutándose sigilosamente en segundo plano y recogiendo inteligencia.
Trend Micro evitó atribuir el ataque a un grupo de amenaza específico
Todos los datos que Rising Sun recopila de las cajas infiltradas se envían a los servidores de control del grupo, brindando a sus maestros información sobre los detalles del sistema y los adaptadores de red, los nombres de usuario locales y la dirección IP, y les permite administrar los archivos y procesos del sistema.
"Los numerosos vínculos técnicos de la Operación Sharpshooter con el Grupo Lazarus parecen demasiado obvios para llegar a la conclusión de que son responsables de los ataques, y en su lugar indican un potencial de falsas banderas. Dejaremos la atribución a la comunidad de seguridad más amplia", dijo Trend Micro. No está dispuesto a saltar a conclusiones.
La empresa de seguridad se muestra escéptica por buenas razones, dado que todavía existen diferencias notables entre Rising Sun y Trojan Duuzer, mientras que la primera utiliza canales de comunicación HTTP y la última emplea un mecanismo de comunicación basado en socket.
Además, los códigos de comando y los códigos/datos de retorno en las dos cepas son diferentes, y los esquemas de cifrado utilizados por los autores de las dos cepas también son totalmente diferentes a Duuzer que utiliza un esquema XOR personalizado y Rising Sun que usa el algoritmo de flujo RC4.
Fecha actualización el 2021-12-13. Fecha publicación el 2018-12-13. Categoría: malware Autor: Oscar olg Mapa del sitio Fuente: softpedia