Grupo de hackers está usando antivirus para distribuir un peligroso malware
Investigadores descubrieron que el grupo chino de hackers Cicada, identificado como APT10, está aprovechándose de software de seguridad para instalar una nueva versión del malware LODEINFO contra organizaciones japonesas.
Las entidades objetivo son grupos de medios, agencias diplomáticas, organizaciones gubernamentales y del sector público. Asimismo, grupos de expertos en Japón, todos objetivos de gran interés para el ciberespionaje.
Según Kaspersky, cuyos analistas han estado siguiendo las operaciones de APT10 en Japón desde 2019, los ciberdelincuentes evolucionan constantemente sus tácticas de infección y su puerta trasera personalizada, ‘LODEINFO’, para dificultar mucho las detecciones.
La compañía de ciberseguridad ha publicado dos informes, uno ilustrando las nuevas técnicas de la cadena de infección de APT10 y otro centrado en la evolución de LODEINFO.
Abusando del software de seguridad
A partir de marzo de 2022, Kaspersky notó que los ataques APT10 en Japón usaban un nuevo vector de infección. Este incluía un correo electrónico de phishing selectivo, un archivo RAR autoextraíble (SFX) y abusaba de una vulnerabilidad de carga lateral de DLL en el software de seguridad.
El archivo RAR contiene el ejecutable legítimo del software K7Security Suite, NRTOLD.exe, y una DLL maliciosa llamada K7SysMn1.dll. Cuando se ejecuta NRTOLD.exe, intenta cargar el archivo K7SysMn1.dll legítimo que normalmente se incluye en el paquete de software.
Sin embargo, el ejecutable no busca la DLL en una carpeta específica. Y, por lo tanto, permite a los desarrolladores de malware crear una DLL maliciosa con el mismo nombre que K7SysMn1.dll.
Si la DLL maliciosa se almacena en la misma carpeta que los ejecutables legítimos, cuando se inicia, el ejecutable carga la DLL maliciosa, que contiene el malware LODEINFO.
Dado que el malware se carga lateralmente mediante una aplicación de seguridad legítima, es posible que otro software de seguridad no lo detecte como malicioso.
“K7SysMn1.dll contiene un BLOB con una rutina ofuscada que no se observó en actividades pasadas”.
“El BLOB incrustado se divide en fragmentos de cuatro bytes, y cada parte se almacena en una de las 50 funciones de exportación nombradas aleatoriamente del binario DLL”.
“Estas funciones de exportación reconstruyen el BLOB en un búfer asignado y luego decodifican el código de shell LODEINFO usando una clave XOR de un byte”.
Explicación de Kaspersky en el informe
Mientras el archivo se extrae en segundo plano e inicia el proceso de infección, la víctima ve un documento señuelo en primer plano para minimizar las posibilidades de darse cuenta del compromiso.
Variantes
En junio de 2022, Kaspersky notó otra variante en la cadena de infección APT10, utilizando un código de shell de descarga sin archivos. Este era entregado a través de un documento de Microsoft Office protegido con contraseña que contiene un código VBA malicioso.
Esta vez, en lugar de la carga lateral de DLL, los hackers confiaron en el código de un macro para inyectar y cargar el código shell (DOWNISSA) directamente en la memoria del proceso WINWORD.exe.
Nuevo LODEINFO
Los autores del malware lanzaron seis nuevas versiones de LODEINFO en 2022, la última v0.6.7, lanzada en septiembre de 2022.
A fines de 2021, con el lanzamiento de LODEINFO v0.5.6, APT10 agregó múltiples capas de cifrado de comunicación con el servidor de comando y control. Para ello utilizaron la clave de cifrado Vigenere en combinación con datos basura generados aleatoriamente.
Además, LODEINFO v0.5.6 usó ofuscación XOR para los 21 comandos admitidos por la puerta trasera, mientras que en la versión 0.5.9, se introdujo un nuevo algoritmo de cálculo de hash para nombres de funciones API.
La compatibilidad con plataformas de 64 bits se agregó en la versión 0.6.2, lo que esencialmente amplía el alcance del malware. Esa versión también introdujo una exención para las máquinas que usan la configuración regional “en_US” para evitar infecciones no deseadas.
En LODEINFO v0.6.3, lanzado en junio de 2022, los autores del malware eliminaron diez comandos innecesarios, posiblemente para hacer que la puerta trasera sea más ágil y eficiente.
Comandos
Los comandos que se mantienen en las versiones actuales son:
- Mostrar la lista de comandos de puerta trasera integrada
- Descargar un archivo del servidor de comando y control (C2)
- Subir un archivo a C2
- Inyectar el shellcode en la memoria
- Matar un proceso usando un ID de proceso
- Cambio de directorio
- Enviar malware e información del sistema
- Tomar una captura de pantalla
- Cifrar archivos con una clave AES generada
- Ejecutar un comando usando WMI
- Configuración (implementación incompleta)
Las operaciones dirigidas a Japón de APT10 se caracterizan por una evolución constante, la expansión de plataformas específicas, una mejor evasión y cadenas de infección sigilosas.
Kaspersky dice que LODEINFO v0.6.6 y v0.6.7, que no se analizaron en este informe, ya se distribuyen a través de nuevos TTP, por lo que la amenaza cambia constantemente de forma, lo que hace que sea muy difícil para los analistas y defensores mantenerse al día.
Otras operaciones descubiertas recientemente vinculadas a APT10 incluyen una campaña dirigida a los gobiernos de Oriente Medio y África. Esta campaña utiliza esteganografía. Asimismo, otra que abusa de VLC para lanzar puertas traseras personalizadas.
Conclusiones
LODEINFO se descubrió por primera vez en 2019. LODEINFO y sus métodos de infección se han actualizado y mejorado constantemente para convertirse en una herramienta de espionaje cibernético más sofisticada mientras se dirige a organizaciones en Japón. Los implantes LODEINFO y los módulos de carga también se actualizaron continuamente para evadir los productos de seguridad y complicar el análisis manual por parte de los investigadores de seguridad.
Estas modificaciones pueden servir como una confirmación de que los ciberdelincuentes rastrean las publicaciones de los investigadores de seguridad y aprenden cómo actualizar sus Tácticas, Técnicas y Procedimientos (TTP) y mejorar su malware.
