Un grupo de ciberespionaje con vínculos con Corea del Norte ha resurgido con una variante más sigilosa de su troyano de acceso remoto llamado Konni para atacar instituciones políticas ubicadas en Rusia y Corea del Sur.
«Los autores están constantemente haciendo mejoras en el código», dijo el investigador de Malwarebytes, Roberto Santos . «Sus esfuerzos tienen como objetivo romper el flujo típico registrado por las cajas de arena y dificultar la detección, especialmente a través de firmas regulares, ya que las partes críticas del ejecutable ahora están encriptadas».
Las intrusiones más recientes organizadas por el grupo, que se cree que opera bajo el paraguas de Kimsuky, implicaron apuntar al Ministerio de Relaciones Exteriores (MID) de la Federación Rusa con señuelos de Año Nuevo para comprometer los sistemas Windows con malware.
Las infecciones, al igual que con otros ataques de este tipo, comienzan con un documento malicioso de Microsoft Office que, cuando se abre, inicia un proceso de varias etapas que involucra varias partes móviles que ayudan a los atacantes a elevar los privilegios, evadir la detección y, en última instancia, implementar Konni RAT. carga útil en sistemas comprometidos.
Una nueva adición a las capacidades existentes de la puerta trasera es la transición de la codificación Base64 al cifrado AES para proteger sus cadenas y ofuscar su verdadero propósito. Además de eso, los diversos archivos de soporte eliminados para facilitar el compromiso ahora también están encriptados usando AES.
Inteligentemente, reutilizaron el algoritmo utilizado para la protección de cadenas, haciendo que el diseño del archivo fuera idéntico al diseño de las cadenas protegidas, tal como aparecen en la memoria sin procesar
detalló Santox.
Las actualizaciones significativas son un ejemplo de cuán rápido los actores sofisticados pueden desarrollar sus tácticas y técnicas para crear algo potente y efectivo que pueda superar las capas de seguridad y detección.
Fuente: https://thehackernews.com
