Los sectores de telecomunicaciones y fabricación en los países del centro y del sur de Asia se han convertido en el objetivo de una campaña en curso que distribuye una nueva variante de un malware conocido llamado Plugx (Ak Korplug o Sogu).
«Las características de la nueva variante se superponen con ambos Nuestra es y Turiano Backdoors, incluido el abuso de las mismas aplicaciones legítimas para la carga lateral de DLL, el algoritmo XOR-RC4-RtlDecompressBuffer utilizado para cifrar/descifrar las cargas útiles y las claves RC4 utilizadas «, dijeron los investigadores de Cisco Talos Joey Chen y Takahiro Takeda en un análisis publicado esta semana.
La compañía de seguridad cibernética señaló que la configuración asociada con la variante de Tugx diverge significativamente del formato de configuración Tugx habitual, en lugar de adoptar la misma estructura utilizada en Rainyday, un trasero asociado con un actor de amenaza vinculado a China conocido como Lotus Panda (también conocido como Naikon Apt). También es probable que Kaspersky lo rastree como Foundcore y se atribuye a un grupo de amenazas de habla china que llama Cyclldek.
Plugx es un troyano de acceso remoto modular (rata) ampliamente utilizado por muchos grupos de piratería alineados por China, pero más prominentemente por Mustang Panda (también conocido como Presidente de Bronce, Camaro Dragon, Earth Preta, Honeymyte, Reddelta, Lich Red, Tauro, Temp.Hex y Typhoon).
Turian (también conocido como Quarian o Whitebird), por otro lado, se evalúa como una puerta trasera empleada exclusivamente en ataques cibernéticos dirigidos al Medio Oriente por otro grupo avanzado de amenaza persistente (apt) con vínculos con China conocidos como backdoordiplomacy (también conocido como dragón de cloud -comedia).
Los patrones de victimología, particularmente el enfoque en las compañías de telecomunicaciones, y la implementación técnica de malware habían arrojado evidencia que sugieren probables conexiones entre el loto panda y la backdoordiplomacy, lo que aumenta la posibilidad de que los dos grupos sean uno y lo mismo, o que obtengan sus herramientas de un vendor común.
En un incidente detectado por la compañía, se dice que Naikon apuntó a una firma de telecomunicaciones en Kazajstán, un país que comparte sus fronteras con Uzbekistán, que previamente ha sido señalada por backdoordiplomacy. Además, se ha encontrado que ambos equipos de piratería se concentran en los países del sur de Asia.
Las cadenas de ataque esencialmente implican abusar de un ejecutable legítimo asociado con la aplicación ventana emergente móvil para colocar una DLL maliciosa que luego se usa para descifrar y lanzar las cargas útiles de Turx, Rainyday y Turian en la memoria. Las ondas de ataque recientes orquestadas por el actor de amenaza se han apoyado en gran medida en Plugx, que utiliza la misma estructura de configuración que Rainyday e incluye un complemento de Keylogger incrustado.
«Si bien no podemos concluir que existe una conexión clara entre Naikon y Backdoordiplomacy, existen aspectos superpuestos significativos, como la elección de objetivos, métodos de carga útil de cifrado/descifrado, reutilización clave de cifrado y uso de herramientas compatibles con el mismo proveedor», dijo Talos. «Estas similitudes sugieren un enlace de confianza media con un actor de habla china en esta campaña».
Malware de ratón de biblioteca de Mustang Panda detallado
La divulgación se produce cuando Palo Alto Networks Unit 42 arroja luz sobre el funcionamiento interno del malware del gusano biblioteca utilizado por el actor de Mustang Panda desde 2015 para obtener un control extenso sobre los sistemas comprometidos. La rata avanzada viene equipada con capacidades para ejecutar comandos arbitrarios, cargar/descargar archivos, exfiltrados datos y establecer un acceso persistente.
A principios de marzo, el proveedor de ciberseguridad dijo que identificó ataques dirigidos a países afiliados a la Asociación de Naciones del Sudeste Asiático (ASEAN) para distribuir el malware.
Bookworm utiliza dominios de aspecto legítimo o infraestructura comprometida para fines C2 para combinar con el tráfico de red normal. También se ha encontrado que las variantes seleccionadas del malware comparten superposiciones con Toneshell, un patio trasero conocido asociado con Mustang Pana desde finales de 2022.
Al igual que Plugx y Toneshell, las cadenas de ataque que se distribuyen Bookworm se basan en la carga lateral de DLL para la ejecución de la carga útil, aunque las variantes más nuevas han adoptado una técnica que implica el envasado de shellcode como cadenas de identificadores universalmente únicos (UUID), que luego se decodifican y ejecutan.
«Bookworm es conocido por su arquitectura modular única, lo que permite que su funcionalidad central se amplíe cargando módulos adicionales directamente desde su servidor de comando y control (C2)», dijo el investigador Kyle Wilhoit de la Unidad 42. «Esta modularidad hace que el análisis estático sea más desafiante, ya que el módulo líder se basa en otras DLL para proporcionar una funcionalidad específica».
«Este despliegue y adaptación de Bookworm, que se ejecuta en paralelo con otras operaciones majestuosas de Tauro, muestra su papel a largo plazo en el arsenal del actor. También apunta a un compromiso sostenido a largo plazo con su desarrollo y uso por parte del grupo».