Los expertos en seguridad de Palo Alto Networks han recopilado pruebas que vinculan el malware NOKKI recientemente descubierto con la APT vinculada a Corea del Norte.
Investigadores de Palo Alto Networks han descubierto una nueva variante del malware KONNI, cuyo seguimiento es NOKKI. Eso fue atribuido a los atacantes vinculados a Corea del Norte.
NOKKI toma prestado el código del malware KONNI, este último es un troyano de acceso remoto (RAT) utilizado en ataques dirigidos contra organizaciones vinculadas a Corea del Norte, mientras que NOKKI se utilizó para atacar a víctimas con motivaciones políticas en Eurasia y el sudeste asiático.
"KONNI", no se detectó durante más de 3 años, fue capaz de evitar la detección debido a una evolución continua, las versiones recientes capaces de ejecutar código arbitrario en los sistemas de destino y robar datos.
La variante NOKKI ha estado en uso por lo menos desde enero de 2018, los expertos la atribuyeron al grupo Reaper.
"A principios de 2018, la Unidad 42 observó una serie de ataques con una familia de malware no reportada anteriormente, que hemos denominado 'NOKKI'", dice el análisis publicado por Palo Alto Networks.
“El malware en cuestión tiene vínculos con una familia de malware informada anteriormente llamada KONNI, sin embargo, después de una cuidadosa consideración, creemos que existen suficientes diferencias para introducir un nombre de familia de malware diferente. "Para reflejar la estrecha relación con KONNI, elegimos NOKKI, intercambiando Ns y Ks de KONNI".
NOKKI puede recopilar una amplia gama de datos (es decir, dirección IP, nombre de host, nombre de usuario, información de la unidad, información del sistema operativo, programas instalados) de los sistemas infectados, también puede recuperar y ejecutar una carga útil, así como también eliminar Y abrir documentos señuelo.
El código malicioso escribe la información recopilada en LOCALAPPDATA%\MicroSoft Updatea\uplog.tmp.
En enero, los investigadores observaron varios ataques relacionados con el malware NOKKI que se dirigía a oradores camboyanos interesados en asuntos políticos camboyanos y Rusia con documentos escritos en cirílico con contenido relacionado con asuntos políticos locales.
Hace unos días, los investigadores de Palo Alto Networks publicaron otro informe que asociaba el malware NOKKI con la puerta trasera DOGCALL atribuida al grupo Reaper.
El análisis de las macros incluidas en los documentos de señuelo de Microsoft Word reveló que fueron diseñados para eliminar el malware NOKKI, emplearon una técnica de desobstrucción que también se usó en documentos dirigidos a personas interesadas en la Copa Mundial organizada en Rusia en 2018 con el malware DOGCALL.
"Basándonos en el nombre del archivo original, podemos suponer que esta muestra de malware apuntó a personas interesadas en la Copa Mundial organizada en Rusia en 2018. Como podemos ver en la siguiente figura, la única rutina de deofuscación utilizada entre las muestras es idéntica, incluidos los comentarios incluidos. por el autor. ”lee el informe publicado por Palo Alto Networks.
“Si bien la rutina de deofuscación era idéntica, la funcionalidad real de la macro difería ligeramente. "Las muestras de descargador NOKKI descargaron tanto una carga útil como un documento de señuelo, pero esta muestra de malware de predicciones de la Copa del Mundo descarga y ejecuta un archivo remoto de VBScript envuelto en HTML y agrega texto al documento original de Word para proporcionar el atractivo para la víctima".
El archivo VBScript usó la misma rutina de deofuscación y recupera y ejecuta un dropper rastreado como Final1stspy que a su vez descarga una variedad del malware DOGCALL.
El malware implementa funciones de puerta trasera, puede tomar capturas de pantalla, registrar pulsaciones de teclas, habilitar el micrófono, recopilar información de la víctima, recopilar archivos de interés y descargar y ejecutar cargas útiles adicionales.
El malware conecta el comando y control (C&C) a través de servicios de alojamiento de terceros como Dropbox, pCloud, Yandex Cloud y Box.
"Lo que originalmente comenzó como una investigación en torno a una nueva familia de malware llamada NOKKI que tenía un solapamiento de código y otros vínculos con KONNI nos lleva a un descubrimiento interesante que vincula a la familia de malware NOKKI con el grupo de actores de la amenaza Reaper", concluye Palo Alto Networks.
"Además, descubrimos otra familia de malware que no ha sido reportada públicamente anteriormente y que hemos nombrado Final1stspy"
Fecha actualización el 2021-10-03. Fecha publicación el 2018-10-03. Categoría: malware Autor: Oscar olg Mapa del sitio Fuente: securityaffairs