Los sectores de telecomunicaciones y fabricación en los países del centro y del sur de Asia se han convertido en el objetivo de una campaña en curso que distribuye una nueva variación de un malware conocido llamado Plugx (Ak Korplug o Sogu).
“Las características de la nueva variación se superponen con uno y otro Nuestra es y Turiano Backdoors, incluido el exageración de las mismas aplicaciones legítimas para la carga adyacente de DLL, el operación XOR-RC4-RtlDecompressBuffer utilizado para transcribir/descifrar las cargas avíos y las claves RC4 utilizadas “, dijeron los investigadores de Cisco Talos Joey Chen y Takahiro Takeda en un disección publicado esta semana.
La compañía de seguridad cibernética señaló que la configuración asociada con la variación de Tugx diverge significativamente del formato de configuración Tugx habitual, en oportunidad de adoptar la misma estructura utilizada en Rainyday, un trasero asociado con un actor de amenaza vinculado a China conocido como Lotus Panda (igualmente conocido como Naikon Apt). Igualmente es probable que Kaspersky lo rastree como Foundcore y se atribuye a un liga de amenazas de acento china que fuego Cyclldek.
Plugx es un troyano de camino remoto modular (rata) ampliamente utilizado por muchos grupos de piratería alineados por China, pero más prominentemente por Mustang Panda (igualmente conocido como Presidente de Bronce, Camaro Dragon, Earth Preta, Honeymyte, Reddelta, Lich Red, Tauro, Temp.Hex y Typhoon).
Turian (igualmente conocido como Quarian o Whitebird), por otro flanco, se evalúa como una puerta trasera empleada exclusivamente en ataques cibernéticos dirigidos al Medio Oriente por otro liga reformista de amenaza persistente (apt) con vínculos con China conocidos como backdoordiplomacy (igualmente conocido como dragón de cloud -comedia).
Los patrones de victimología, particularmente el enfoque en las compañías de telecomunicaciones, y la implementación técnica de malware habían arrojado evidencia que sugieren probables conexiones entre el loto panda y la backdoordiplomacy, lo que aumenta la posibilidad de que los dos grupos sean uno y lo mismo, o que obtengan sus herramientas de un vendor popular.
En un incidente detectado por la compañía, se dice que Naikon apuntó a una firma de telecomunicaciones en Kazajstán, un país que comparte sus fronteras con Uzbekistán, que previamente ha sido señalada por backdoordiplomacy. Encima, se ha antagónico que uno y otro equipos de piratería se concentran en los países del sur de Asia.
Las cadenas de ataque esencialmente implican aprovecharse de un ejecutable razonable asociado con la aplicación ventana emergente móvil para colocar una DLL maliciosa que luego se usa para descifrar y divulgar las cargas avíos de Turx, Rainyday y Turian en la memoria. Las ondas de ataque recientes orquestadas por el actor de amenaza se han apoyado en gran medida en Plugx, que utiliza la misma estructura de configuración que Rainyday e incluye un complemento de Keylogger incrustado.
“Si adecuadamente no podemos concluir que existe una conexión clara entre Naikon y Backdoordiplomacy, existen aspectos superpuestos significativos, como la dilema de objetivos, métodos de carga útil de criptográfico/descifrado, reutilización esencia de criptográfico y uso de herramientas compatibles con el mismo proveedor”, dijo Talos. “Estas similitudes sugieren un enlace de confianza media con un actor de acento china en esta campaña”.
Malware de ratón de biblioteca de Mustang Panda detallado
La divulgación se produce cuando Palo Stop Networks Unit 42 arroja luz sobre el funcionamiento interno del malware del tenia biblioteca utilizado por el actor de Mustang Panda desde 2015 para obtener un control extenso sobre los sistemas comprometidos. La rata vanguardia viene equipada con capacidades para ejecutar comandos arbitrarios, cargar/descargar archivos, exfiltrados datos y establecer un camino persistente.
A principios de marzo, el proveedor de ciberseguridad dijo que identificó ataques dirigidos a países afiliados a la Asociación de Naciones del Sudeste Oriental (ASEAN) para distribuir el malware.
Bookworm utiliza dominios de aspecto razonable o infraestructura comprometida para fines C2 para combinar con el tráfico de red ordinario. Igualmente se ha antagónico que las variantes seleccionadas del malware comparten superposiciones con Toneshell, un patio trasero conocido asociado con Mustang Pana desde finales de 2022.
Al igual que Plugx y Toneshell, las cadenas de ataque que se distribuyen Bookworm se basan en la carga adyacente de DLL para la ejecución de la carga útil, aunque las variantes más nuevas han acogido una técnica que implica el envasado de shellcode como cadenas de identificadores internacionalmente únicos (UUID), que luego se decodifican y ejecutan.
“Bookworm es conocido por su bloque modular única, lo que permite que su funcionalidad central se amplíe cargando módulos adicionales directamente desde su servidor de comando y control (C2)”, dijo el investigador Kyle Wilhoit de la Mecanismo 42. “Esta modularidad hace que el disección parado sea más desafiante, ya que el módulo líder se apoyo en otras DLL para proporcionar una funcionalidad específica”.
“Este despliegue y acondicionamiento de Bookworm, que se ejecuta en paralelo con otras operaciones majestuosas de Tauro, muestra su papel a abundante plazo en el conjunto del actor. Igualmente apunta a un compromiso sostenido a abundante plazo con su avance y uso por parte del liga”.
