Se ha observado una nueva campaña de ataque elaborada que emplea malware PowerShell y VBScript para infectar sistemas Windows y recopilar información confidencial.
La empresa de ciberseguridad Securonix, que denominó la campaña DEEP#GOSU, dijo que probablemente esté asociada con el grupo patrocinado por el estado de Corea del Norte y al que se le conoce como Kimsuky.
“Las cargas útiles de malware utilizadas en el PROFUNDO#GOSU representan una amenaza sofisticada de múltiples etapas diseñada para operar sigilosamente en sistemas Windows, especialmente desde un punto de vista de monitoreo de red”, dijeron los investigadores de seguridad Den Iuzvyk, Tim Peck y Oleg Kolesnikov en un análisis técnico compartido con The Hacker News.
“Sus capacidades incluían registro de teclas, monitoreo del portapapeles, ejecución dinámica de carga útil y exfiltración de datos, y persistencia utilizando software RAT para acceso remoto completo, tareas programadas y scripts PowerShell autoejecutables mediante trabajos”.
Un aspecto notable del procedimiento de infección es que aprovecha servicios legítimos como Dropbox o Google Docs para comando y control (C2), permitiendo así que el actor de la amenaza se mezcle sin ser detectado con el tráfico normal de la red.
Además de eso, el uso de dichos servicios en la nube para preparar las cargas útiles permite actualizar la funcionalidad del malware o entregar módulos adicionales.
Se dice que el punto de partida es un archivo adjunto de correo electrónico malicioso que contiene un archivo ZIP con un archivo de acceso directo fraudulento (.LNK) que se hace pasar por un archivo PDF (“IMG_20240214_0001.pdf.lnk”).
El archivo .LNK viene integrado con un script de PowerShell, así como un documento PDF señuelo, y el primero también recurre a una infraestructura de Dropbox controlada por el actor para recuperar y ejecutar otro script de PowerShell (“ps.bin”).
El script PowerShell de segunda etapa, por su parte, recupera un nuevo archivo de Dropbox (“r_enc.bin”), un archivo ensamblador .NET en formato binario que en realidad es un troyano de acceso remoto de código abierto conocido como TruRat (también conocido como TutRat o C#). RAT) con capacidades para registrar pulsaciones de teclas, administrar archivos y facilitar el control remoto.
Vale la pena señalar que Kimsuky ha empleado a TruRat en al menos dos campañas descubiertas por el Centro de Inteligencia de Seguridad AhnLab (ASEC) el año pasado.
El script de PowerShell de Dropbox también recupera un VBScript (“info_sc.txt”), que, a su vez, está diseñado para ejecutar código VBScript arbitrario recuperado del servicio de almacenamiento en la nube, incluido un script de PowerShell (“w568232.ps12x”).
VBScript también está diseñado para utilizar el Instrumental de administración de Windows (WMI) para ejecutar comandos en el sistema y configurar tareas programadas en el sistema para su persistencia.
Otro aspecto digno de mención de VBScript es el uso de Google Docs para recuperar dinámicamente datos de configuración para la conexión de Dropbox, lo que permite al actor de amenazas cambiar la información de la cuenta sin tener que alterar el script en sí.
El script de PowerShell descargado como resultado está equipado para recopilar información extensa sobre el sistema y filtrar los detalles a través de una solicitud POST a Dropbox.
“El propósito de este script parece estar diseñado para servir como herramienta para la comunicación periódica con un servidor de comando y control (C2) a través de Dropbox”, dijeron los investigadores. “Sus objetivos principales incluyen cifrar y extraer o descargar datos”.
En otras palabras, actúa como una puerta trasera para controlar los hosts comprometidos y mantener continuamente un registro de la actividad del usuario, incluidas las pulsaciones de teclas, el contenido del portapapeles y la ventana de primer plano.
El desarrollo se produce cuando el investigador de seguridad Ovi Liber detalló la incorporación de código malicioso por parte de ScarCruft, vinculado a Corea del Norte, en el procesador de textos Hangul (HWP) para atraer documentos presentes en correos electrónicos de phishing para distribuir malware como RokRAT.
“El correo electrónico contiene un documento HWP que tiene un objeto OLE incrustado en forma de script BAT”, dijo Liber. “Una vez que el usuario hace clic en el objeto OLE, se ejecuta el script BAT, que a su vez crea un ataque de inyección de DLL reflexivo basado en PowerShell en la máquina de la víctima”.
También sigue a la explotación por parte de Andariel de una solución legítima de escritorio remoto llamada MeshAgent para instalar malware como AndarLoader y ModeLoader, un malware JavaScript destinado a la ejecución de comandos.
“Este es el primer uso confirmado de MeshAgent por parte del grupo Andariel”, dijo ASEC. “El Grupo Andariel ha estado abusando continuamente de las soluciones de gestión de activos de empresas nacionales para distribuir malware en el proceso de movimiento lateral, comenzando con Innorix Agent en el pasado”.
Andariel, también conocido con los nombres de Nicket Hyatt o Silent Chollima, es un subgrupo del notorio Grupo Lazarus, que orquesta activamente ataques tanto para ciberespionaje como para obtener ganancias financieras.
Desde entonces, se ha observado que el prolífico actor de amenazas patrocinado por el estado lava una parte de los criptoactivos robados del hack del criptoexchange HTX y su puente entre cadenas (también conocido como HECO Bridge) a través de Tornado Cash. La infracción provocó el robo de 112,5 millones de dólares en criptomonedas en noviembre de 2023.
“Siguiendo patrones comunes de lavado de criptomonedas, los tokens robados se cambiaron inmediatamente por ETH, utilizando intercambios descentralizados”, dijo Elliptic. “Los fondos robados permanecieron inactivos hasta el 13 de marzo de 2024, cuando los criptoactivos robados comenzaron a enviarse a través de Tornado Cash”.
La firma de análisis blockchain dijo que la continuación de sus operaciones por parte de Tornado Cash a pesar de las sanciones probablemente ha convertido en una propuesta atractiva para que el Grupo Lazarus oculte su rastro de transacciones luego del cierre de Sinbad en noviembre de 2023.
“El mezclador opera a través de contratos inteligentes que se ejecutan en cadenas de bloques descentralizadas, por lo que no puede ser incautado y cerrado de la misma manera que lo han sido los mezcladores centralizados como Sinbad.io”, señaló.
Fuente Original The Hacker News
