Investigadores de ciberseguridad han informado de un nuevo malware llamado Speagle que secuestra la funcionalidad y la infraestructura de un programa legítimo llamado Cobra DocGuard.
«Speagle está diseñado para recopilar de forma encubierta información confidencial de computadoras infectadas y enviarla a un servidor Cobra DocGuard que ha sido comprometido por un atacante, enmascarando el proceso de exfiltración de datos como una comunicación legítima entre el cliente y el servidor», dijeron investigadores de Symantec y Carbon Black en un informe publicado hoy.
Cobra DocGuard es una plataforma de cifrado y seguridad de documentos desarrollada por EsafeNet. La explotación de este software en ataques del mundo real se ha documentado públicamente dos veces hasta la fecha. En enero de 2023, ESET documentó una intrusión en la que una empresa de juegos de azar en Hong Kong se vio comprometida por una actualización maliciosa impulsada por un software en septiembre de 2022.
A finales de agosto del mismo año, Symantec destacó la actividad de un nuevo grupo de amenazas con nombre en código Carderbee. Se descubrió que el clúster utilizaba una versión troyanizada de un programa que implementa PlugX, una puerta trasera ampliamente utilizada por grupos de hackers chinos como Mustang Panda. El ataque tuvo como objetivo múltiples organizaciones en Hong Kong y otros países asiáticos.
Speegle no ha sido identificado hasta la fecha. Sin embargo, lo que hace que este malware sea notable es que está diseñado para recopilar y extraer datos sólo de sistemas que tienen instalado el software de protección de datos Cobra DocGuard. Esta actividad se rastrea bajo el nombre «Runningcrab».
«Esto probablemente indica un objetivo intencional para facilitar la recopilación de inteligencia o el espionaje industrial», dijo el equipo de búsqueda de amenazas de Broadcom. «En este punto, creemos que la hipótesis más probable es que fue obra de patrocinadores estatales o contratistas privados».
No está claro exactamente cómo se entrega el malware a las víctimas, pero se sospecha que puede haber sido mediante ataques a la cadena de suministro, como lo demuestran los dos casos mencionados anteriormente.
Además, cabe mencionar el papel central que juega el software de seguridad y su infraestructura. Además de utilizar un servidor Cobra DocGuard legítimo como comando y control (C2) y punto de extracción de datos, Speagle también llama a los controladores asociados con el programa para eliminarse de los hosts comprometidos.
Cuando se inicia, el ejecutable .NET de 32 bits primero verifica la carpeta de instalación de Cobra DocGuard y progresivamente recopila y envía datos desde la máquina infectada. Esto incluye detalles sobre su sistema y archivos en carpetas específicas, como archivos que contienen el historial del navegador web y datos de autocompletar.
Además, se descubrió que las variantes de Speagle incluían funciones adicionales para activar/desactivar ciertos tipos de recopilación de datos y buscar archivos relacionados con misiles balísticos chinos como el Dongfeng-27 (también conocido como DF-27).
«Speagle es una nueva amenaza parasitaria que aprovecha hábilmente a los clientes de Cobra DocGuard para ocultar su actividad maliciosa y su infraestructura, ocultando el tráfico exfiltrado», escribieron los investigadores. «Sin duda, sus desarrolladores han notado ataques previos a la cadena de suministro utilizando este software y pueden haber seleccionado este software basándose tanto en sus vulnerabilidades percibidas como en su alto uso entre las organizaciones objetivo».
Source link
