Hackers están atacando al gobierno ruso con falsas actualizaciones de Windows que distribuyen troyanos
Hackers están atacando a las agencias gubernamentales rusas con correos electrónicos de phishing. Estos correos afirman ser actualizaciones de seguridad de Windows, aunque también están usando otros señuelos para instalar malware de acceso remoto.
Los ataques están siendo realizados por un grupo APT (amenaza persistente avanzada) no detectado previamente que se cree que opera desde China. La APT está vinculada a cuatro campañas separadas de phishing.
Estas operaciones comenzaron en febrero de este año, coincidiendo con la invasión rusa a Ucrania. Sus objetivos han sido entidades gubernamentales de la Federación Rusa.
En los cuatro casos, el objetivo final de las campañas era infectar a los objetivos con un troyano de acceso remoto (RAT) personalizado que probablemente ayudó en las operaciones de espionaje.
El descubrimiento y el informe provienen de analistas del equipo de Malwarebytes Threat Intelligence. Los investigadores de Malwarebytes Threat Intelligence notaron los intentos distintivos de los atacantes de falsificar a otros grupos de hackers y pasar desapercibidos.
Las campañas de phishing
La primera de las cuatro campañas atribuidas a esta nueva APT comenzó en febrero de 2022. Es decir, pocos días después de la invasión rusa a Ucrania. La campaña distribuyó el RAT bajo el nombre “interactive_map_UA.exe
”.
Para la segunda ola, la APT tuvo más tiempo para preparar algo más sofisticado. Utilizaron un archivo tar.gz que se suponía que era una solución para la vulnerabilidad Log4Shell enviada por el Ministerio de Desarrollo Digital, Telecomunicaciones y Comunicaciones Masivas de la Federación Rusa.
Según Malwarebytes, esta campaña tenía un objetivo limitado. Esto porque la mayoría de los correos electrónicos asociados llegaban a los empleados de la estación de televisión RT. RT es una cadena de televisión rusa de propiedad estatal.
Esos correos electrónicos contenían un PDF con instrucciones sobre cómo instalar el parche Log4j e incluso incluían consejos como “no abrir ni responder correos electrónicos sospechosos”.
“Teniendo en cuenta el uso por parte de los ciberdelincuentes de cierto software y vulnerabilidades de tipo servidor para acceder a la información de los usuarios, se lanzó un parche de software para actualizar un sistema Windows 10 que corrige la vulnerabilidad CVE-2021-44228 (nivel de gravedad 10.0)”. Esto es lo que se lee en el documento de phishing traducido, como se muestra a continuación.
La tercera campaña falsifica a Rostec, un conglomerado de defensa estatal ruso. En este caso los atacantes usaron dominios recién registrados como “Rostec.digital” y cuentas falsas de Facebook para propagar su malware mientras hacían parecer que provenía de la entidad conocida.
Finalmente, en abril de 2022, los hackers chinos cambiaron a un documento de Word infectado con macros. El documento contenía un anuncio de trabajo falso de Saudi Aramco, una gran empresa de petróleo y gas natural.
El documento utiliza la inyección remota de plantillas para obtener la plantilla maliciosa y colocar el script VBS en los candidatos que solicitaban el puesto de “Analista de estrategia y crecimiento”.
Payload personalizado sigiloso
Malwarebytes pudo obtener muestras del payload instalado de las cuatro campañas e informa que, en todos los casos, es esencialmente la misma DLL con nombres diferentes.
El malware presenta técnicas antianálisis, como el aplanamiento del flujo de control a través de OLLVM y la ofuscación de cadenas mediante la codificación XOR.
En términos de los comandos que el C2 (comando y control) puede solicitar del payload, estos incluyen lo siguiente:
- getcomputername : perfila el host y asigna un ID único
- upload: recibe un archivo del C2 y lo escribe en el disco del host
- execute: ejecuta una instrucción de línea de comando desde el C2 y responde con el resultado
- exit: terminar el proceso de malware
- ls: obtiene una lista de todos los archivos en un directorio específico y la envía al C2
Los dominios C2 descubiertos por Malwarebytes fueron “windowsipdate[.]com”, “microsoftupdetes[.]com” y “mirror-exchange[.]com”.
Imitando a otros hackers
La evidencia que apunta a que este nuevo APT es un grupo chino proviene de la infraestructura, pero Malwarebytes no está convencido totalmente.
Lo que está claro es la intención de los atacantes de ocultar sus huellas distintivas imitando a otros hackers y utilizando sus herramientas de malware.
Por ejemplo, partes de la infraestructura utilizada fue vinculada previamente a Sakula RAT, utilizada por la APT china Deep Panda.
Otro hallazgo interesante es que la nueva APT usó el mismo generador de macros para la “oferta” de Saudi Aramco que TrickBot y BazarLoader.
Finalmente, está el despliegue de la biblioteca wolfSSL, que normalmente se ve exclusivamente en las campañas de Lazarus o Tropic Trooper.