Analistas de amenazas descubrieron una nueva campaña atribuida a APT37, un grupo de piratas informáticos de Corea del Norte, dirigida a organizaciones de alto valor en la República Checa, Polonia y otros países europeos.
En esta campaña, los piratas informáticos utilizaron el malware conocido como Konni, un troyano de acceso remoto (RAT) capaz de establecer persistencia y realizar una escalada de privilegios en el host.
#Konni se ha asociado con ataques cibernéticos de Corea del Norte desde 2014 y, más recientemente, se vio en una campaña de phishing dirigida contra el Ministerio de Relaciones Exteriores de Rusia.
La campaña más reciente y aún en curso fue observada y analizada por investigadores de #Securonix, quienes la llaman STIFF#BIZON, y se asemeja a tácticas y métodos que coinciden con la sofisticación operativa de una APT (amenaza persistente avanzada).
La campaña STIFF#BIZON
El ataque comienza con la llegada de un correo electrónico de phishing con un archivo adjunto que contiene un documento de Word (missile.docx) y un archivo de acceso directo de Windows (_weapons.doc.lnk.lnk).
Cuando se abre el archivo LNK, el código se ejecuta para encontrar un script de PowerShell codificado en base64 en el archivo DOCX para establecer la comunicación C2 y descargar dos archivos adicionales, 'weapons.doc' y 'wp.vbs'.
El documento descargado es un señuelo, supuestamente un informe de Olga Bozheva, una corresponsal de guerra rusa. Al mismo tiempo, el archivo VBS se ejecuta de forma silenciosa en segundo plano para crear una tarea programada en el host.
En esta fase del ataque, el actor ya cargó la RAT y estableció un enlace de intercambio de datos, y es capaz de realizar las siguientes acciones:
Capture capturas de pantalla con la API Win32 GDI y explíquelas en formato GZIP.
Extraiga las claves de estado almacenadas en el archivo de estado local para el descifrado de la base de datos de cookies, útil para omitir MFA.
Extraiga las credenciales guardadas de los navegadores web de la víctima.
Inicie un shell interactivo remoto que puede ejecutar comandos cada 10 segundos.
En la cuarta etapa del ataque, como se muestra en el siguiente diagrama, los piratas informáticos descargan archivos adicionales que admiten la función de la muestra modificada de Konni y los obtienen como archivos comprimidos ".cab".
Estos incluyen DLL que reemplazan las bibliotecas legítimas de servicios de Windows como "wpcsvc" en System32, que se aprovecha para ejecutar comandos en el sistema operativo con mayores privilegios de usuario.
Posibles enlaces a APT28
Si bien las tácticas y el conjunto de herramientas apuntan a APT37, Securonix subraya la posibilidad de que APT28 (también conocido como FancyBear) esté detrás de la campaña STIFF#BIZON.
“Parece haber una correlación directa entre las direcciones IP, el proveedor de alojamiento y los nombres de host entre este ataque y los datos históricos que hemos visto anteriormente de FancyBear/APT28”, concluye el informe.
Los grupos de amenazas patrocinados por el estado a menudo intentan imitar los TTP de otras APT hábiles para ocultar su rastro y engañar a los analistas de amenazas, por lo que las posibilidades de atribución errónea, en este caso, son significativas.
Referencias y Créditos:
Toulas, B. (2022, 23 julio). North Korean hackers attack EU targets with Konni RAT malware. BleepingComputer. Recuperado 26 de julio de 2022, de https://www.bleepingcomputer.com/news/security/north-korean-hackers-attack-eu-targets-with-konni-rat-malware/
Comments