Los piratas informáticos de LuckyMouse apuntan a bancos, empresas y gobiernos en 2020

Un adversario conocido por sus ataques de abrevadero contra entidades gubernamentales se ha relacionado con una serie de intrusiones recientemente detectadas dirigidas a varias organizaciones en Asia Central y Medio Oriente.

La actividad maliciosa, denominada colectivamente «EmissarySoldier», se ha atribuido a un actor de amenazas llamado LuckyMouse, y se dice que ocurrió en 2020 con el objetivo de obtener información geopolítica en la región. Los ataques involucraron el despliegue de un conjunto de herramientas denominado Actualización del sistema (también conocido como Soldier) en varias organizaciones violadas, incluidas agencias gubernamentales y diplomáticas, proveedores de telecomunicaciones, una empresa de medios de televisión y un banco comercial.

LuckyMouse, también conocido como APT27 y Emissary Panda, es un sofisticado grupo de ciberespionaje que tiene un historial de violación de múltiples redes gubernamentales en Asia Central y Medio Oriente. El actor también ha sido vinculado a ciberataques dirigidos a organizaciones transnacionales como la Organización de Aviación Civil Internacional (OACI) en 2019 y recientemente atrajo la atención por explotar las fallas de ProxyLogon para comprometer el servidor de correo electrónico de una entidad gubernamental en el Medio Oriente.

EmisarioSoldado es solo el último de una serie de esfuerzos de vigilancia dirigidos a los objetivos.

«Con el fin de comprometer a las víctimas, LuckyMouse generalmente usa pozos de agua, lo que compromete los sitios web que probablemente sean visitados por sus objetivos previstos, dijo el investigador de malware de ESET, Matthieu Faou, en un informe publicado hoy». dirigido por sus víctimas previstas «.

Además, ESET también observó infecciones de LuckyMouse en un número no especificado de sistemas con acceso a Internet que ejecutan Microsoft SharePoint, que los investigadores sospechan que se produjeron al aprovechar las vulnerabilidades de ejecución remota de código en la aplicación.

Independientemente del método utilizado para obtener un punto de apoyo inicial, la cadena de ataque culmina con la implementación de implantes personalizados posteriores al compromiso, SysUpdate o HyperBro, que aprovechan el secuestro de órdenes de búsqueda de DLL para cargar cargas útiles maliciosas y frustrar la detección. «El modelo tridente presenta una aplicación legítima vulnerable al secuestro de DLL, una DLL personalizada que carga la carga útil y una carga útil binaria codificada Shikata Ga Nai sin procesar», señaló Faou.

Por su parte, SysUpdate funciona como una herramienta modular, con cada componente dedicado a un propósito operativo particular. Implica abusar de una aplicación benigna como cargador de una DLL maliciosa, que a su vez carga la carga útil de la primera etapa que finalmente decodifica e implementa el implante de memoria en el sistema comprometido. Desde su descubrimiento en 2018, el conjunto de herramientas ha sido objeto de numerosas revisiones dedicadas a agregar nuevas funcionalidades, lo que indica que los operadores están trabajando activamente para renovar su arsenal de malware.

«LuckyMouse estuvo cada vez más activo a lo largo de 2020, aparentemente atravesando un proceso de reorganización en el que varias funciones se integraron gradualmente en el conjunto de herramientas SysUpdate», dijo Faou. «Esto puede ser un indicador de que los actores de amenazas detrás de LuckyMouse están pasando gradualmente del uso de HyperBro a SysUpdate».

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática