Se ha observado una nueva campaña de ataque elaborada que emplea malware PowerShell y VBScript para infectar sistemas Windows y recopilar información confidencial.
La empresa de ciberseguridad Securonix, que denominó la campaña DEEP#GOSU, dicho Es probable que esté asociado con el grupo patrocinado por el Estado norcoreano al que se sigue como Kimsuky.
«Las cargas útiles de malware utilizadas en el PROFUNDO#GOSU representan una amenaza sofisticada de múltiples etapas diseñada para operar sigilosamente en sistemas Windows, especialmente desde un punto de vista de monitoreo de red», dijeron los investigadores de seguridad Den Iuzvyk, Tim Peck y Oleg Kolesnikov en un análisis técnico compartido con The Hacker News.
«Sus capacidades incluían registro de teclas, monitoreo del portapapeles, ejecución dinámica de carga útil y exfiltración de datos, y persistencia utilizando software RAT para acceso remoto completo, tareas programadas y scripts PowerShell autoejecutables mediante trabajos».
Un aspecto notable del procedimiento de infección es que aprovecha servicios legítimos como Dropbox o Google Docs para comando y control (C2), permitiendo así que el actor de la amenaza se mezcle sin ser detectado con el tráfico normal de la red.
Además de eso, el uso de dichos servicios en la nube para preparar las cargas útiles permite actualizar la funcionalidad del malware o entregar módulos adicionales.
Se dice que el punto de partida es un archivo adjunto de correo electrónico malicioso que contiene un archivo ZIP con un archivo de acceso directo fraudulento (.LNK) que se hace pasar por un archivo PDF («IMG_20240214_0001.pdf.lnk»).
El archivo .LNK viene integrado con un script de PowerShell, así como un documento PDF señuelo, y el primero también recurre a una infraestructura de Dropbox controlada por el actor para recuperar y ejecutar otro script de PowerShell («ps.bin»).
El script PowerShell de segunda etapa, por su parte, recupera un nuevo archivo de Dropbox («r_enc.bin»), un archivo ensamblador .NET en formato binario que en realidad es un troyano de acceso remoto de código abierto conocido como Contrarrestar (también conocido como TutRat o C# RAT) con capacidades para registrar pulsaciones de teclas, administrar archivos y facilitar el control remoto.
Vale la pena señalar que Kimsuky ha empleado TruRat al menos en dos campañas descubierto por el Centro de Inteligencia de Seguridad de AhnLab (ASEC) el año pasado.
El script de PowerShell de Dropbox también recupera un VBScript («info_sc.txt»), que, a su vez, está diseñado para ejecutar código VBScript arbitrario recuperado del servicio de almacenamiento en la nube, incluido un script de PowerShell («w568232.ps12x»).
VBScript también está diseñado para utilizar el Instrumental de administración de Windows (WMI) para ejecutar comandos en el sistema y configurar tareas programadas en el sistema para su persistencia.
Otro aspecto digno de mención de VBScript es el uso de Google Docs para recuperar dinámicamente datos de configuración para la conexión de Dropbox, lo que permite al actor de amenazas cambiar la información de la cuenta sin tener que alterar el script en sí.
El script de PowerShell descargado como resultado está equipado para recopilar información extensa sobre el sistema y filtrar los detalles a través de una solicitud POST a Dropbox.
«El propósito de este script parece estar diseñado para servir como herramienta para la comunicación periódica con un servidor de comando y control (C2) a través de Dropbox», dijeron los investigadores. «Sus objetivos principales incluyen cifrar y extraer o descargar datos».
En otras palabras, actúa como una puerta trasera para controlar los hosts comprometidos y mantener continuamente un registro de la actividad del usuario, incluidas las pulsaciones de teclas, el contenido del portapapeles y la ventana de primer plano.
El desarrollo se produce cuando el investigador de seguridad Ovi Liber detalló ScarCruft’s La incrustación de código malicioso en el procesador de textos Hangul (HWP) atrae los documentos presentes en los correos electrónicos de phishing para distribuir malware como RokRAT.
«El correo electrónico contiene un documento HWP que tiene un objeto OLE incrustado en forma de script BAT», Liber dicho. «Una vez que el usuario hace clic en el objeto OLE, se ejecuta el script BAT, que a su vez crea un ataque de inyección de DLL reflexivo basado en PowerShell en la máquina de la víctima».
También sigue a la explotación por parte de Andariel de una solución legítima de escritorio remoto llamada Agente de malla a instalar malware como AndarLoader y ModeLoader, un malware de JavaScript destinado a la ejecución de comandos.
«Este es el primer uso confirmado de un MeshAgent por parte de la grupo andariel,» UN SEGUNDO dicho. «El Grupo Andariel ha estado abusando continuamente de las soluciones de gestión de activos de empresas nacionales para distribuir malware en el proceso de movimiento lateral, comenzando con Innorix Agent en el pasado».
Andariel, también conocida con los nombres de Nicket Hyatt o Silent Chollima, es un subgrupo del notorio Grupo Lázaroorquestando activamente ataques tanto para ciberespionaje como para obtener ganancias financieras.
Desde entonces, se ha observado que el prolífico actor de amenazas patrocinado por el estado lava una parte de los criptoactivos robados del hackeo del criptoexchange HTX y su puente entre cadenas (también conocido como HECO Bridge) a través de Tornado en efectivo. La infracción provocó el robo de 112,5 millones de dólares en criptomonedas en noviembre de 2023.
«Siguiendo patrones comunes de lavado de criptomonedas, los tokens robados se intercambiaron inmediatamente por ETH, utilizando intercambios descentralizados», Elliptic dicho. «Los fondos robados permanecieron inactivos hasta el 13 de marzo de 2024, cuando los criptoactivos robados comenzaron a enviarse a través de Tornado Cash».
La firma de análisis blockchain dijo que la continuación de sus operaciones por parte de Tornado Cash a pesar de las sanciones probablemente ha convertido en una propuesta atractiva para el Grupo Lazarus ocultar su rastro de transacciones luego de la cierre de Sinbad en noviembre de 2023.
«El mezclador opera a través de contratos inteligentes que se ejecutan en cadenas de bloques descentralizadas, por lo que no puede ser incautado y cerrado de la misma manera que lo han sido los mezcladores centralizados como Sinbad.io», señaló.