Los investigadores de ciberseguridad han revelado detalles sobre un nuevo ataque dirigido a la diáspora coreana que explota vulnerabilidades en navegadores web como Google Chrome e Internet Explorer para implementar malware con fines de espionaje.
Denominada » Operation Earth Kitsune » por Trend Micro, la campaña implica el uso de malware SLUB (para SLack y githUB) y dos nuevas puertas traseras, dneSpy y agfSpy , para filtrar información del sistema y obtener control adicional de la máquina comprometida.
Los ataques se observaron durante los meses de marzo, mayo y septiembre, según la firma de ciberseguridad.
Los ataques permiten que un mal actor comprometa un negocio objetivo al comprometer un sitio web cuidadosamente seleccionado al insertar un exploit con la intención de obtener acceso al dispositivo de la víctima e infectarlo con malware.
Se dice que Operation Earth Kitsune implementó las muestras de software espía en sitios web asociados con Corea del Norte, aunque el acceso a estos sitios web está bloqueado para los usuarios que proceden de direcciones IP de Corea del Sur.
Una campaña diversificada
Aunque las operaciones anteriores que involucraban a SLUB usaban la plataforma de repositorio de GitHub para descargar fragmentos de código malicioso en el sistema Windows y publicar los resultados de la ejecución en un canal de Slack privado controlado por el atacante, la última iteración del malware se ha dirigido a Mattermost, un sistema abierto similar a Slack. -sistema de mensajería colaborativa de origen.
«La campaña está muy diversificada, implementando numerosas muestras en las máquinas víctimas y usando múltiples servidores de comando y control (C&C) durante esta operación», dijo Trend Micro. «En total, encontramos la campaña utilizando cinco servidores C&C, siete muestras y exploits para cuatro errores de N días».
Diseñado para omitir sistemas que tienen software de seguridad instalado como un medio para frustrar la detección, el ataque arma una vulnerabilidad de Chrome ya parcheada (CVE-2019-5782) que permite a un atacante ejecutar código arbitrario dentro de una caja de arena a través de un HTML especialmente diseñado. página.
Por otra parte, también se utilizó una vulnerabilidad en Internet Explorer (CVE-2020-0674) para distribuir malware a través de los sitios web comprometidos.
dneSpy y agfSpy – Puertas traseras de espionaje totalmente funcionales
A pesar de la diferencia en el vector de infección, la cadena de exploits sigue la misma secuencia de pasos: iniciar una conexión con el servidor C&C, recibir el cuentagotas, que luego verifica la presencia de soluciones anti-malware en el sistema de destino antes de proceder a la descarga. las tres muestras de puerta trasera (en formato «.jpg») y ejecutarlas.
Lo que ha cambiado esta vez es el uso del servidor Mattermost para realizar un seguimiento de la implementación en varias máquinas infectadas, además de crear un canal individual para cada máquina para recuperar la información recopilada del host infectado.
De las otras dos puertas traseras, dneSpy y agfSpy, la primera está diseñada para acumular información del sistema, tomaar capturas de pantalla, descargar y ejecutar comandos maliciosos recibidos del servidor C&C, cuyos resultados se comprimen, cifran y exfiltran al servidor.
«Un aspecto interesante del diseño de dneSpy es su comportamiento de giro de C&C», dijeron los investigadores de Trend Micro. «La respuesta del servidor central de C&C es en realidad el dominio / IP del servidor de C&C de la siguiente etapa, con el que dneSpy tiene que comunicarse para recibir más instrucciones».
agfSpy, la contraparte de dneSpy, viene con su propio mecanismo de servidor C&C que utiliza para recuperar comandos de shell y enviar los resultados de la ejecución. La principal de sus características es la capacidad de enumerar directorios y enumerar, cargar, descargar y ejecutar archivos.
«La Operación Earth Kitsune resultó ser compleja y prolífica, gracias a la variedad de componentes que utiliza y las interacciones entre ellos», concluyeron los investigadores. «El uso de nuevas muestras en la campaña para evitar la detección por parte de productos de seguridad también es bastante notable».
«Desde el shellcode de exploit de Chrome hasta agfSpy, los elementos de la operación están codificados de forma personalizada, lo que indica que hay un grupo detrás de esta operación. Este grupo parece estar muy activo este año, y prevemos que continuarán yendo en esta dirección durante algún tiempo.»
Vía: The Hacker News