Una reciente campaña de ataque realizada por uno de los grupos de piratería estatales de Corea del Norte utiliza una nueva cadena de ataque basada en PowerShell y VBScript que se inicia desde el interior de archivos LNK. Se descargan múltiples etapas de ataque desde servicios legítimos en la nube y la carga útil final es un troyano de acceso remoto de código abierto.
«Toda la comunicación C2 se maneja a través de servicios legítimos como Dropbox o Google Docs, lo que permite que el malware se mezcle sin ser detectado con el tráfico normal de la red», dijeron investigadores de la firma de seguridad Securonix en un informe. «Dado que estas cargas útiles se obtuvieron de fuentes remotas como Dropbox, permitió a los mantenedores del malware actualizar dinámicamente sus funcionalidades o implementar módulos adicionales sin interacción directa con el sistema».
Kimsuky es un grupo de amenaza persistente avanzada (APT) que ha estado activo desde al menos 2012. Es uno de los varios grupos de ciberespionaje y sabotaje asociados con el gobierno de Corea del Norte y se cree que está dirigido por la Quinta Oficina – Asuntos Intercoreanos. de la agencia de inteligencia exterior del país. Como resultado, en comparación con otros grupos norcoreanos como Lazarus, APT38 y Andariel (Silent Chollima), Kimsuky apunta principalmente a organizaciones e individuos surcoreanos.
Mecanismo de entrega LNK
Este también fue el caso de la nueva campaña analizada por Securonix que la empresa denominó DEEP#GOSU. La cadena de ataques comenzó con correos electrónicos de phishing con un señuelo con temática surcoreana que incluía archivos adjuntos .zip. Los archivos zip contenían un archivo con doble extensión IMG_20240214_0001.pdf.lnk disfrazado de PDF. Los archivos eran en realidad archivos de enlace (acceso directo) de Windows que contenían un script de PowerShell integrado que iniciaba la cadena de ataque de varias etapas.
El archivo LNK tiene más de 2 MB, lo cual es inusual para un archivo de acceso directo, porque tiene un archivo PDF adjunto. El script busca la ubicación exacta del byte del archivo PDF en el binario, lo extrae, lanza un nuevo objeto en la memoria para contenerlo y luego usa el comando PowerShell Start-Process para ejecutarlo. Esto abre el archivo PDF en el visor de PDF predeterminado de la computadora, imitando el comportamiento que el usuario esperaría.
«Lo que hace que esta táctica sea inteligente es que técnicamente no hay ningún archivo PDF dentro del archivo zip inicial enviado a la víctima», dijeron los investigadores. «Cuando el usuario hace clic en el señuelo PDF (archivo de acceso directo), se le presenta inmediatamente un archivo PDF, eliminando así cualquier preocupación de que haya sucedido algo inesperado».
Cargas útiles de PowerShell que conducen a RAT
Al mismo tiempo, el script de PowerShell descarga una segunda carga útil llamada ps.bin desde una URL de Dropbox, la descifra utilizando la función AESDecrypt y luego la ejecuta. Este es otro script de PowerShell que descarga cargas útiles adicionales de Dropbox. Primero, descarga y carga dinámicamente varios ensamblados .NET que permiten que el script utilice capacidades avanzadas de interfaz de usuario gráfica. Estas capacidades han sido utilizadas en el pasado por malware para tomar capturas de pantalla y grabar la pantalla de la computadora de la víctima.
Otra carga útil descargada es un archivo llamado r_enc.bin que es una variante de un troyano de acceso remoto de código abierto llamado TruRat, TutRat o C# RAT, cuyo agente generalmente se llama TutClient.exe. «Actualmente, este software RAT en particular es bastante antiguo y es probable que sea adoptado por la mayoría de los proveedores de antivirus», dijeron los investigadores. «Sin embargo, dado el método único en el que este binario se carga y ejecuta directamente en la memoria (etapa 2), es probable que evite algunas detecciones».
Más específicamente, el método de cargar el código malicioso directamente en la memoria se conoce como ejecución «sin archivos» porque no deja ningún rastro en el disco, lo que dificulta que los programas antivirus tradicionales basados en archivos lo detecten.
Las capacidades de esta RAT incluyen registro de teclas, escritorio remoto, espionaje a través del micrófono y la cámara, ejecución remota del símbolo del sistema, gestión de procesos y archivos, ocultación de diferentes cuadros de mensajes, menús y elementos del escritorio, ataques distribuidos de denegación de servicio y robo de información almacenada. en los administradores de contraseñas integrados de varios navegadores.
VBScript entra en juego
Al mismo tiempo, el script de PowerShell de la etapa 2 invoca una cadena grande codificada en Base64 que resulta ser código VBScript. Este parece ser un mecanismo de entrega de carga útil alternativo porque este código VBScript también se conecta a Dropbox y descarga una carga útil adicional llamada info_sc.txt que contiene aún más código VBScript.
Este nuevo script es bastante complejo y utiliza la API del Instrumental de administración de Windows (WMI) para realizar acciones adicionales, incluida la recopilación de información sobre el sistema operativo y la creación de tareas programadas en el sistema para su persistencia. Si el sistema operativo es anterior a Windows 10, el script descarga otra carga útil desde una URL de Dropbox, pero primero usa Google Docs para determinar la URL de la carga útil.
Luego, el código VBScript coloca un script de PowerShell en el sistema. El script se utiliza para la comunicación periódica con un mecanismo de comando y control mediante Dropbox y para cargar un script final que actúa como una poderosa puerta trasera con capacidades de registro de teclas y monitoreo del portapapeles. «Las cargas útiles de malware utilizadas en DEEP#GOSU representan una amenaza sofisticada de múltiples etapas diseñada para operar sigilosamente en sistemas Windows, especialmente desde un punto de vista de monitoreo de red», dijeron los investigadores. “Se basó tanto en PowerShell como en VBScript para su ejecución, lo que curiosamente utilizó una ofuscación mínima. Cada etapa se cifró usando AES y una contraseña e IV comunes que deberían minimizar las detecciones de escaneo de archivos planos o de red”.
Amenazas persistentes avanzadas, ciberataques
