Nuevo Malware Confirma La Actividad Del Usuario Antes De Explotar La Puerta Trasera Para Realizar Ciberespionaje

2023 Autor: Kayla Nelson | [email protected]. Última modificación: 2023-05-24 12:02

La empresa de ciberseguridad ESET ha descubierto que un grupo de piratas informáticos escurridizo y conocido ha estado implementando malware que tiene algunos objetivos específicos. El malware explota la puerta trasera que ha pasado desapercibida con éxito en el pasado. Además, el software realiza algunas pruebas interesantes para asegurarse de que se dirige a una computadora que se utiliza activamente. Si el malware no detecta actividad o no está satisfecho, simplemente se apaga y desaparece para mantener un sigilo óptimo y evadir una posible detección. El nuevo malware busca personalidades importantes dentro de la maquinaria del gobierno estatal. En pocas palabras, el malware persigue a diplomáticos y departamentos gubernamentales de todo el mundo.

La Ke3chang El grupo de amenazas persistentes avanzadas parece haber resurgido con una nueva campaña de piratería enfocada. El grupo ha lanzado y gestionado con éxito campañas de ciberespionaje desde al menos 2010. Las actividades y los ataques del grupo son bastante eficientes. Combinado con los objetivos previstos, parece que el grupo está patrocinado por una nación. La última cepa de malware implementada por Ke3chang grupo es bastante sofisticado. Los troyanos de acceso remoto implementados anteriormente y otros programas maliciosos también estaban bien diseñados. Sin embargo, el nuevo malware va más allá de la infección ciega o masiva de las máquinas objetivo. En cambio, su comportamiento es bastante lógico. El malware intenta confirmar y autenticar la identidad del objetivo y la máquina.

Investigadores de ciberseguridad de ESET identifican nuevos ataques por Ke3chang:

El grupo de amenazas persistentes avanzadas Ke3chang, activo desde al menos 2010, también se identifica como APT 15. La popular empresa eslovaca de antivirus, firewall y otra empresa de ciberseguridad ESET ha identificado rastros confirmados y pruebas de las actividades del grupo. Los investigadores de ESET afirman que el grupo Ke3chang está utilizando sus técnicas probadas y confiables. Sin embargo, el malware se ha actualizado significativamente. Además, esta vez, el grupo está intentando explotar una nueva puerta trasera. La puerta trasera no descubierta y no denunciada anteriormente se denomina provisionalmente Okrum.

Los investigadores de ESET indicaron además que su análisis interno indica que el grupo está persiguiendo a los cuerpos diplomáticos y otras instituciones gubernamentales. Por cierto, el grupo Ke3chang ha sido excepcionalmente activo en la realización de campañas de ciberespionaje sofisticadas, específicas y persistentes. Tradicionalmente, el grupo perseguía a funcionarios gubernamentales y personalidades importantes que trabajaban con el gobierno. Sus actividades se han observado en países de Europa y América Central y del Sur.

Nuevo malware de Okrum utilizado por Ke3chang Group para apuntar a diplomáticos https://t.co/asgcCKWqu6 pic.twitter.com/KFSk5NW0FO

- Store4app (@ Store4app1) 18 de julio de 2019

El interés y el enfoque de ESET siguen estando en el grupo Ke3chang porque el grupo ha estado bastante activo en el país de origen de la empresa, Eslovaquia. Sin embargo, otros objetivos populares del grupo son Bélgica, Croacia, la República Checa en Europa. Se sabe que el grupo se ha dirigido a Brasil, Chile y Guatemala en América del Sur. Las actividades del grupo Ke3chang indican que podría ser un grupo de piratería patrocinado por el estado con hardware potente y otras herramientas de software que no están disponibles para los piratas informáticos comunes o individuales. Por lo tanto, los últimos ataques también podrían ser parte de una campaña sostenida a largo plazo para recopilar inteligencia, señaló ZuzanHromcova, investigadora de ESET, "Lo más probable es que el objetivo principal del atacante sea el ciberespionaje, por eso seleccionaron estos objetivos".

¿Cómo funciona el malware Ketrican y la puerta trasera de Okrum?

El malware Ketrican y la puerta trasera Okrum son bastante sofisticados. Los investigadores de seguridad todavía están investigando cómo se instaló o soltó la puerta trasera en las máquinas objetivo. Si bien la distribución de la puerta trasera de Okrum sigue siendo un misterio, su funcionamiento es aún más fascinante. La puerta trasera de Okrum realiza algunas pruebas de software para confirmar que no se está ejecutando en la caja de arena, que es esencialmente un espacio virtual seguro que los investigadores de seguridad utilizan para observar el comportamiento del software malicioso. Si el cargador no obtiene resultados confiables, simplemente se detiene para evitar la detección y análisis adicionales.

El método de la puerta trasera de Okrum para confirmar que se está ejecutando en una computadora que funciona en el mundo real también es bastante interesante. El cargador o la puerta trasera activa la vía para recibir la carga útil real después de hacer clic en el botón izquierdo del mouse al menos tres veces. Los investigadores creen que esta prueba de confirmación se realiza principalmente para garantizar que la puerta trasera esté funcionando en máquinas reales y en funcionamiento y no en máquinas virtuales o sandbox.

Una vez que el cargador está satisfecho, la puerta trasera de Okrum primero se otorga a sí misma todos los privilegios de administrador y recopila información sobre la máquina infectada. Tabula información como el nombre de la computadora, el nombre de usuario, la dirección IP del host y el sistema operativo instalado. A partir de entonces, requiere herramientas adicionales. El nuevo malware Ketrican también es bastante sofisticado y contiene múltiples funcionalidades. Incluso tiene un descargador incorporado y un cargador. El motor de carga se utiliza para exportar archivos de forma sigilosa. La herramienta de descarga dentro del malware puede solicitar actualizaciones e incluso ejecutar comandos de shell complejos para penetrar profundamente en la máquina host.

Un grupo de malware en la sombra de la vieja escuela que se cree que opera desde Chin ha estado apuntando a diplomáticos con lo que los investigadores de seguridad de información dicen que es una puerta trasera indocumentada. El grupo Ke3chang, que ha estado activo durante varios años, ha sido ob…

- The Register: Resumen (@_TheRegister) 18 de julio de 2019

Los investigadores de ESET habían observado anteriormente que la puerta trasera de Okrum podría incluso implementar herramientas adicionales como Mimikatz. Esta herramienta es esencialmente un keylogger sigiloso. Puede observar y registrar las pulsaciones de teclas e intentar robar las credenciales de inicio de sesión en otras plataformas o sitios web.

Por cierto, los investigadores han notado varias similitudes en los comandos que utilizan la puerta trasera de Okrum y el malware Ketrican para eludir la seguridad, otorgar privilegios elevados y realizar otras actividades ilícitas. El inconfundible parecido entre los dos ha llevado a los investigadores a creer que los dos están estrechamente relacionados. Si esa no es una asociación lo suficientemente fuerte, ambos software se habían dirigido a las mismas víctimas, señaló Hromcova, "Comenzamos a conectar los puntos cuando descubrimos que la puerta trasera de Okrum se usó para soltar la puerta trasera de Ketrican, compilada en 2017. Además de eso, nosotros descubrió que algunas entidades diplomáticas que se vieron afectadas por el malware Okrum y las puertas traseras Ketrican 2015 también se vieron afectadas por las puertas traseras Ketrican 2017."

El grupo APT de Ke3chang lanza una bomba de puerta trasera Okrum sobre objetivos diplomáticos https://t.co/GhovtgTkvd pic.twitter.com/3TthDyH1iR

- 420 Cyber, Inc. (@ 420Cyber) 18 de julio de 2019

Las dos piezas de software malicioso relacionadas que tienen años de diferencia y las actividades persistentes del grupo de amenazas persistentes avanzadas de Ke3chang indican que el grupo se ha mantenido leal al ciberespionaje. ESET tiene confianza, el grupo ha estado mejorando sus tácticas y la naturaleza de los ataques ha ido creciendo en sofisticación y eficacia. El grupo de ciberseguridad ha estado registrando las vulnerabilidades del grupo durante mucho tiempo y ha estado manteniendo un informe de análisis detallado.

Recientemente, informamos sobre cómo un grupo de piratería había abandonado sus otras actividades ilegales en línea y comenzó a centrarse en el ciberespionaje. Es muy probable que los grupos de piratería puedan encontrar mejores perspectivas y recompensas en esta actividad. Con el aumento de los ataques patrocinados por el estado, los gobiernos deshonestos también podrían estar apoyando en secreto a los grupos y ofreciéndoles perdón a cambio de valiosos secretos de estado.