Los sectores de telecomunicaciones y fabricación en los países del centro y del sur de Asia están surgiendo como el objetivo de una campaña en curso para distribuir nuevas variantes de malware conocido llamado Plugx (también conocido como Korplug o Sogu).
«La nueva variante presenta una superposición con los días lluviosos y las puertas traseras churianas, incluida la misma aplicación legítima en DLL Sideload, el algoritmo XOR-RC4-RTLDECOMPressBuffer utilizado para encrypt/Decrypt Lours COOCIS de la clave XOR-RC4-RTLDCMIMSSBUFFER algorithm, y la clave RC4 se usa utilizando el uso de la tecla RC4.
La compañía de seguridad cibernética señaló que la configuración asociada con las ramas de la variante de Plugx significativamente del formato de configuración regular de Plugx y, en cambio, emplea la misma estructura utilizada en Rainyday. También se puede atribuir a un grupo de amenazas de habla china llamado Cyclldek, que Kaspersky rastrea como Foundcore.
Plugx es un troyano de acceso remoto modular (rata) ampliamente utilizado por muchos grupos de piratería chinos, pero el panda Mustang más prominente (también conocido como Presidente de Bronce, Dragón Camaro, Earth Preta, Honey, Delta, Red Rich, Zation Toro, Tempo, Twill Type).
Mientras tanto, Turian (también conocido como Bolian o Whitebird) se califica como usado solo en ataques cibernéticos dirigidos a China.
Los patrones de víctimas, centrados específicamente en las compañías de telecomunicaciones, y las implementaciones técnicas de malware generaron evidencia que sugieren una posible conexión entre Lotuspander y la perforación con fondo, lo que aumenta la probabilidad de que los dos grupos sean las mismas o obtengan herramientas de un proveedor común.
En un incidente detectado por la compañía, se dice que Nikon apuntó a una compañía de telecomunicaciones en Kazajstán, un país que comparte la frontera con Uzbekistán, anteriormente elegida por fondo. Además, se encuentra que ambos equipos de piratería son cero en los países del sur de Asia.
Las cadenas de ataque se usan esencialmente para abusar de ejecutables legales relacionados con aplicaciones emergentes móviles, dlls maliciosas Sideload, y luego descifrar y lanzar las cargas útiles de Turx, Rainyday y Turian en la memoria. La reciente ola de ataque, organizada por los actores de amenaza, utiliza la misma estructura de configuración que Rainyday y salta fuertemente hacia Plugx, que incluye complementos de keylogger integrados.
«Si bien no podemos concluir que existe un vínculo claro entre Naikon y Backdoordiplomacy, existen aspectos de superposición críticos, como la selección de objetivos, los métodos de carga útil de cifrado/descifrado, la reutilización de clave de cifrado y el uso de herramientas compatibles con el mismo proveedor», dice Talos. «Estas similitudes sugieren una confianza moderada en los actores de habla china en esta campaña».
Detalles de malware del ratón de biblioteca de Mustang Panda
Esta divulgación se produce cuando Palo Alto Networks Unit 42 arroja luz sobre los mecanismos internos del libro de malware de gusano de libros, que los actores de Mustang Panda han estado utilizando desde 2015, dándoles un control extenso sobre los sistemas comprometidos. Advanced RAT está equipado con la capacidad de ejecutar cualquier comando, cargar/descargar archivos, eliminar datos y establecer acceso permanente.
A principios de este año, los proveedores de ciberseguridad dijeron que habían identificado ataques dirigidos a países afiliados a la Asociación de países del sudeste asiático (ASEAN) para distribuir malware.
Bookworm utiliza un dominio o infraestructura comprometida que parece legal para fines C2 a fundir con el tráfico de red normal. También se sabe que algunas variantes del malware compartirán superposiciones con Toneshell, una puerta trasera conocida relacionada con Mustang Pana, que comienza a fines de 2022.
Al igual que Plugx y Toneshell, la cadena de ataque distribuida de Bookworm se basa en las decisiones laterales de DLL para la ejecución de la carga útil, pero las nuevas variaciones adoptan la tecnología de envolver los códigos de shell como las cadenas de identificadores (UUID) universalmente únicos que se decodifican y ejecutan.
«Bookworm es conocido por su arquitectura modular única y permite que la funcionalidad central se extienda cargando módulos adicionales directamente desde un servidor de comando y control (C2)», dijo el investigador de la Unidad 42 Kyle Wilhoit. «Esta modularidad hace que el análisis estático sea más difícil porque el módulo del lector se basa en otras DLL para proporcionar una funcionalidad específica».
«El desarrollo y la adaptación de los ratones de libros que se ejecutan en paralelo con otras empresas imponentes de Taurus demuestran un papel a largo plazo en el arsenal del actor, y también demuestra un compromiso sostenido a largo plazo con el desarrollo y el uso del grupo».
Source link
