Investigadores descubren operación de ciberespionaje dirigida al ejército indio

virus-del-ejército-indio

Los investigadores de ciberseguridad descubrieron nuevas pruebas de una campaña de ciberespionaje en curso contra las unidades de defensa indias y el personal de las fuerzas armadas al menos desde 2019 con el objetivo de robar información confidencial.

Doblado «Operación SideCopy«por la firma india de ciberseguridad Quick Heal, los ataques se han atribuido a un grupo de amenazas persistentes avanzadas (APT) que ha logrado mantenerse bajo el radar al» copiar «las tácticas de otros actores de amenazas como SideWinder.

Explotando la falla del editor de ecuaciones de Microsoft

El punto de partida de la campaña es un correo electrónico con un archivo adjunto malicioso incrustado, ya sea en forma de archivo ZIP que contiene un archivo LNK o un documento de Microsoft Word, que desencadena una cadena de infección a través de una serie de pasos para descargar la carga útil de la etapa final.

Además de identificar tres cadenas de infección diferentes, lo que es notable es el hecho de que una de ellas explotó la inyección de plantilla y la falla del Editor de ecuaciones de Microsoft (CVE-2017-11882), un problema de corrupción de memoria de 20 años en Microsoft Office que, cuando se explotó con éxito. , permita que los atacantes ejecuten código remoto en una máquina vulnerable incluso sin la interacción del usuario.

Microsoft abordó el problema en un parche lanzado en noviembre de 2017.

Como suele ser el caso con este tipo de campañas de malspam, el ataque se basa en un poco de ingeniería social para atraer al usuario a abrir un documento de Word aparentemente realista que afirma ser sobre la política de producción de defensa del gobierno indio.

Además, los archivos LNK tienen una extensión doble («Defense-Production-Policy-2020.docx.lnk») y vienen con íconos de documentos, lo que engaña a una víctima desprevenida para que abra el archivo.

Una vez abiertos, los archivos LNK abusan de «mshta.exe» para ejecutar archivos HTA (abreviatura de Microsoft HTML Applications) maliciosos que están alojados en sitios web fraudulentos, y los archivos HTA se crean utilizando una herramienta de generación de carga útil de código abierto llamada CACTUSTORCH.

Un proceso de entrega de malware de varias etapas

El archivo HTA de la primera etapa incluye un documento señuelo y un módulo .NET malicioso que ejecuta dicho documento y descarga un archivo HTA de la segunda etapa, que a su vez verifica la presencia de soluciones antivirus populares antes de copiar la credencial de Microsoft y la utilidad de restauración (» credwiz.exe «) a una carpeta diferente en la máquina de la víctima y modificando el registro para ejecutar el ejecutable copiado cada vez que se inicia.

En consecuencia, cuando se ejecuta este archivo, no solo descarga un archivo «DUser.dll» malicioso, sino que también inicia el módulo RAT «winms.exe», ambos obtenidos de la etapa 2 HTA.

«Este DUser.dll iniciará la conexión sobre esta dirección IP ‘173.212.224.110’ sobre el puerto TCP 6102», dijeron los investigadores.

«Una vez conectado con éxito, se […] luego proceda a realizar varias operaciones basadas en el comando recibido de C2. Por ejemplo, si C2 envía 0, recopila el nombre de la computadora, el nombre de usuario, la versión del sistema operativo, etc. y lo envía de vuelta a C2».

vector de ataque cibernético

Al indicar que RAT compartía similitudes a nivel de código con Allakore Remote, un software de acceso remoto de código abierto escrito en Delphi, el equipo de Seqrite de Quick Heal señaló que el troyano empleaba el protocolo RFB (remote frame buffer) de Allakore para extraer datos del sistema infectado.

Posibles enlaces a la tribu transparente APT

Además, también se dice que algunas cadenas de ataque han dejado caer una RAT basada en .NET nunca antes vista (llamada «Crimson RAT» por los investigadores de Kaspersky) que viene equipada con una amplia gama de capacidades, que incluyen acceder a archivos, datos del portapapeles, eliminar procesos. e incluso ejecutar comandos arbitrarios.

Aunque el modus operandi de nombrar archivos DLL comparte similitudes con el grupo SideWinder, la gran dependencia de APT en el conjunto de herramientas de código abierto y una infraestructura C2 completamente diferente llevó a los investigadores a concluir con razonable confianza que el actor de amenazas es de origen paquistaní, específicamente el El grupo de la Tribu Transparente, que recientemente se ha relacionado con varios ataques contra el personal militar y gubernamental indio.

«Por lo tanto, sospechamos que el actor detrás de esta operación es una subdivisión (o parte del) grupo APT de la Tribu Transparente y solo está copiando los TTP de otros actores de amenazas para engañar a la comunidad de seguridad», dijo Quick Heal.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática