LODEINFO: un nuevo ataque, reportan empresas japonesas
El grupo de hacking chino Cicada, rastreado como APT10, fue observado abusando del software de seguridad para instalar una nueva versión del malware LODEINFO contra organizaciones japonesas.
Las entidades atacadas son grupos de medios de comunicación, agencias diplomáticas, organizaciones gubernamentales y del sector público, y grupos de reflexión en Japón, todos ellos objetivos de gran interés para el ciberespionaje.
Según Kaspersky, cuyos analistas han estado siguiendo las operaciones de APT10 en Japón desde 2019, los actores de la amenaza están evolucionando constantemente sus tácticas de infección y su backdoor personalizado, ‘LODEINFO‘, para hacer las detecciones mucho más difíciles.
La empresa de ciberseguridad ha publicado dos informes, uno que ilustra las nuevas técnicas de la cadena de infección de APT10 y un segundo centrado en la evolución de LODEINFO.
Abusando del software de seguridad
A partir de marzo de 2022, Kaspersky observó que los ataques de APT10 en Japón utilizaban un nuevo vector de infección, que incluía un correo electrónico de spear-phishing, un archivo RAR autoextraíble (SFX) y el abuso de un fallo de carga lateral de DLL en el software de seguridad.
El archivo RAR contiene el ejecutable legítimo del software K7Security Suite, NRTOLD.exe, y una DLL maliciosa llamada K7SysMn1.dll. Cuando se ejecuta NRTOLD.exe, se intenta cargar el archivo legítimo K7SysMn1.dll que normalmente se incluye en el paquete de software.
Sin embargo, el ejecutable no busca la DLL en una carpeta específica, lo que permite a los desarrolladores de malware crear una DLL maliciosa con el mismo nombre que K7SysMn1.dll.
Si la DLL maliciosa se almacena en la misma carpeta que los ejecutables legítimos, al iniciarse, el ejecutable cargará la DLL maliciosa, que contiene el malware LODEINFO.
Como el malware se carga lateralmente utilizando una aplicación de seguridad legítima, es posible que otros programas de seguridad no lo detecten como malicioso.
«K7SysMn1.dll contiene un BLOB con una rutina ofuscada no observada en actividades anteriores», explica Kaspersky en el informe.
«El BLOB incrustado está dividido en trozos de cuatro bytes, y cada parte se almacena en una de las 50 funciones de exportación con nombre aleatorio del binario DLL».
«Estas funciones de exportación reconstruyen el BLOB en un buffer asignado y luego decodifican el shellcode LODEINFO usando una clave XOR de un byte».
Mientras el archivo se extrae en segundo plano e inicia el proceso de infección, la víctima ve un documento señuelo en primer plano para minimizar las posibilidades de darse cuenta del compromiso.
En junio de 2022, Kaspersky detectó otra variante en la cadena de infección de APT10, que utilizaba un shellcode de descarga sin archivos entregado a través de un documento de Microsoft Office protegido por contraseña que contenía código VBA malicioso.
Esta vez, en lugar de la carga lateral de DLL, los hackers se basaron en el código de macro para inyectar y cargar el shellcode (DOWNISSA) directamente en la memoria del proceso WINWORD.exe.
Nuevo LODEINFO
Los autores del malware lanzaron seis nuevas versiones de LODEINFO en 2022, siendo la última la v0.6.7, lanzada en septiembre de 2022.
A finales de 2021, con el lanzamiento de LODEINFO v0.5.6, APT10 añadió múltiples capas de cifrado de comunicaciones C2 utilizando la clave de cifrado Vigenere en combinación con datos basura generados aleatoriamente.
Además, LODEINFO v0.5.6 utilizaba la ofuscación XOR para los 21 comandos soportados por el backdoor, mientras que en la versión 0.5.9 se introdujo un nuevo algoritmo de cálculo hash para los nombres de las funciones de la API.
En la versión 0.6.2 se añadió la compatibilidad con plataformas de 64 bits, ampliando así el alcance del malware. Esa versión también introdujo una exención para las máquinas que utilizan la configuración regional «en_US» para evitar infecciones no deseadas.
En la versión 0.6.3 de LODEINFO, lanzada en junio de 2022, los autores del malware eliminaron diez comandos innecesarios, posiblemente para hacer que la puerta trasera fuera más ligera y eficiente.
Los comandos que permanecen en las versiones actuales son
- Mostrar la lista de comandos del backdoor incrustado
- Descargar un archivo de C2
- Cargar un archivo en el C2
- Inyectar el shellcode en la memoria
- Matar un proceso utilizando un ID de proceso
- Cambiar de directorio
- Enviar información sobre el malware y el sistema
- Realizar una captura de pantalla
- Cifrar archivos mediante una clave AES generada
- Ejecutar un comando usando WM I
- Config (implementación incompleta)
- Las operaciones de APT10 dirigidas a Japón se caracterizan por una evolución constante, la ampliación de las plataformas objetivo, una mejor evasión y cadenas de infección sigilosas.
Kaspersky dice que LODEINFO v0.6.6 y v0.6.7, que no fueron analizados en este informe, ya se distribuyen a través de nuevos TTP, por lo que la amenaza está cambiando constantemente de forma, lo que hace muy difícil para los analistas y defensores mantenerse al día.
Otras operaciones recientemente descubiertas vinculadas a APT10 incluyen una campaña dirigida a gobiernos de Oriente Medio y África que utiliza esteganografía y otra que abusa de VLC para lanzar backdoors personalizados.
Fuente: BleepingComputer