La nueva herramienta de espionaje USBCulprit roba datos de computadoras con brechas de aire

ataque de malware informático airgap

Un actor de amenazas chino ha desarrollado nuevas capacidades para apuntar a sistemas con brechas de aire en un intento de filtrar datos confidenciales para espionaje, según una investigación recientemente publicada por Kaspersky ayer.

La APT, conocida como Cycldek, Goblin Panda o Conimes, emplea un extenso conjunto de herramientas para el movimiento lateral y el robo de información en las redes de las víctimas, incluidas herramientas, tácticas y procedimientos personalizados no informados anteriormente en ataques contra agencias gubernamentales en Vietnam, Tailandia y Laos.

«Una de las herramientas recientemente reveladas se llama USB culpable y se ha descubierto que se basa en medios USB para filtrar los datos de la víctima «, dijo Kaspersky. «Esto puede sugerir que Cycldek está tratando de llegar a redes con brechas de aire en entornos de víctimas o se basa en la presencia física para el mismo propósito».

Observado por primera vez por CrowdStrike en 2013, Cycldek tiene una larga historia de señalar los sectores de defensa, energía y gobierno en el sudeste asiático, particularmente Vietnam, utilizando documentos señuelo que explotan vulnerabilidades conocidas (por ejemplo, CVE-2012-0158, CVE-2017-11882 , CVE-2018-0802) en Microsoft Office para colocar un malware llamado NewCore RAT.

Exfiltración de datos a unidades extraíbles

El análisis de Kaspersky de NewCore reveló dos variantes diferentes (llamadas BlueCore y RedCore) centradas en dos grupos de actividad, con similitudes tanto en el código como en la infraestructura, pero que también contienen características que son exclusivas de RedCore, a saber, un registrador de teclas y un registrador RDP que captura detalles sobre usuarios conectados a un sistema a través de RDP.

«Cada grupo de actividad tenía un enfoque geográfico diferente», dijeron los investigadores. «Los operadores detrás del clúster BlueCore invirtieron la mayor parte de sus esfuerzos en objetivos vietnamitas con varios valores atípicos en Laos y Tailandia, mientras que los operadores del clúster RedCore comenzaron con un enfoque en Vietnam y se desviaron a Laos a fines de 2018».

Tanto los implantes BlueCore como RedCore, a su vez, descargaron una variedad de herramientas adicionales para facilitar el movimiento lateral (HDoor) y extraer información (JsonCookies y ChromePass) de los sistemas comprometidos.

El principal de ellos es un malware llamado USBCulprit que es capaz de escanear varias rutas, recolectando documentos con extensiones específicas (* .pdf; *. Doc; *. Wps; * docx; * ppt; *. Xls; *. Xlsx; * .pptx; *.rtf) y exportarlos a una unidad USB conectada.

Además, el malware está programado para copiarse a sí mismo de forma selectiva en ciertas unidades extraíbles para que pueda moverse lateralmente a otros sistemas con espacio de aire cada vez que se inserta una unidad USB infectada en otra máquina.

Un análisis de telemetría realizado por Kaspersky encontró que la primera instancia del binario data de 2014, con las últimas muestras registradas a fines del año pasado.

El mecanismo de infección inicial se basa en aprovechar archivos binarios maliciosos que imitan los componentes antivirus legítimos para cargar USBCulprit en lo que se denomina secuestro de orden de búsqueda de DLL antes de proceder a recopilar la información relevante, guardarla en forma de un archivo RAR encriptado y filtrar los datos a un dispositivo extraíble conectado.

«Las características del malware pueden dar lugar a varias suposiciones sobre su propósito y casos de uso, uno de los cuales es alcanzar y obtener datos de máquinas con espacio de aire», dijeron los investigadores. «Esto explicaría la falta de comunicación de red en el malware y el uso de solo medios extraíbles como medio para transferir datos entrantes y salientes».

En última instancia, las similitudes y diferencias entre las dos piezas de malware son indicativas del hecho de que los actores detrás de los clústeres comparten código e infraestructura, mientras operan como dos ramificaciones diferentes bajo una sola entidad más grande.

«Cycldek es un ejemplo de un actor que tiene una capacidad más amplia de lo que se percibe públicamente», concluyó Kaspersky. «Si bien la mayoría de las descripciones conocidas de su actividad dan la impresión de un grupo marginal con capacidades por debajo de la media, la variedad de herramientas y la duración de las operaciones muestran que el grupo tiene una gran presencia dentro de las redes de objetivos de alto perfil en el sudeste asiático».

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática