Según los especialistas de Symantec Threat Labs, un nuevo grupo de Ciberdelicuentes APT llamado Lancefly han estado utilizando un malware dirigido a organizaciones gubernamentales, de aviación y telecomunicaciones en el sur y sureste de Asia. Este ataque, caracterizado por ser de puerta trasera (backdoor) sigilosa, son altamente dirigidos desde 2018, utilizando diversas técnicas que van desde la persistencia entre reinicios, ejecución de comandos, hasta el registro de teclas en redes corporativas. En base al informe provisto por Symantec, se supo que este ataque, denominado Merdoor, tiene registros de uso en los años 2020 y 2021, centrándose puntualmente en el espionaje cibernético.
Una amplia cadena de ataque
Al momento Symantec no ha descubierto el vector de infección inicial utilizado, pero halló una evidencia clave que le permitió concluir que, el ataque se basa en correos electrónicos de phishing, fuerza bruta de credenciales SSH y explotación de vulnerabilidades de servidores públicos para acceso no autorizado a lo largo de los años. Por lo que aclaran los especialistas, el proceso de inyección de Merdoor, se cumple una vez que los atacantes establecen presencia en el sistema del objetivo, a través de la carga lateral de DDL en ‘perfhost.exe’ o ‘svchost.exe’ (ambos procesos legítimos en Windows que ayudan a que el malware evada la detección).
Luego de ejecutarse, el malware establece comunicaciones con el servidor C2, explotando alguno de los siguientes protocolos: (HTTP, HTTPS, DNS, UDP y TCP), mediante los cuales, intercambia datos con dicho servidor, además de propagarse lateralmente a otros dispositivos de la red, con el objetivo de robar credenciales a través de la ejecución del proceso LSASS (Servicio de Subsistema de Autoridad de Seguridad Local). Una vez cumplido dicho objetivo, utiliza una versión enmascarada de WinRAR para encriptar los archivos robados y luego extraerlos.
La nueva Versión de rootkit ZXShell
Continuando con las investigaciones, se descubrió también, el uso de una nueva versión de rootkit ZXShell, más liviana y con más funciones mediante la carga de “FormDII.dll”, la cual exporta funciones que se pueden usar para soltar cargas útiles que coincidan con la arquitectura del sistema host, para luego leer y ejecutar shellcode (conjunto de ordenes programadas para conseguir que en una maquina ejecute la operación que se haya programado). En base a esto, se supo también que rootkit comparte código común con el cargador Merdoor, lo que da la pauta de que Lancefly contiene una base de código compartida para sus herramientas. Por otro lado, la funcionalidad de ZXSheell se basa en acciones vinculadas a: creación, secuestro y lanzamiento de servicios, modificación de registro y la compresión de su propio ejecutable para la evasión y resiliencia.
Según la hipótesis brindada por los especialistas, el uso de rootkit ZXShell por parte de Lancefly conecta directamente con otros grupos APT chinos, ya que se observó que utilizan RAT (Troyanos de Acceso Remoto), PlugX y ShadowPad, herramientas que se comparten hace varios años entre estos grupos, sin embargo, el vínculo es débil ya que rootkit se encuentra disponible desde hace ya varios años.
Fuente
Ciberprisma - alianza por la ciberseguridad 