Los sectores de telecomunicaciones y fabricación en los países del centro y del sur de Asia se han convertido en el objetivo de una campaña en curso que distribuye una nueva variante de un malware conocido llamado Plugx (también conocido como Korplug o Sogu).
«Las características de la nueva variante se superponen con ambos Día de lluvia y Turiano puertas traseras, incluido el abuso de las mismas aplicaciones legítimas para la carga lateral de DLL, el algoritmo Xor-Rc4-RtlDecompressbuffer utilizado para cifrar/descifrar las cargas útiles y las claves RC4 «, los investigadores de Cisco Talos Joey Chen y Takahiro Takeda dicho En un análisis publicado esta semana.
La compañía de seguridad cibernética señaló que la configuración asociada con la variante de BleGX diverge significativamente del formato de configuración de Tugx habitual, en lugar de adoptar la misma estructura utilizada en Día de lluviauna puerta trasera asociada con un actor de amenaza vinculado a China conocido como Panda de loto (también conocido como Naikon Apt). También es probable que sea rastreado por Kaspersky como Cáscara y atribuido a un grupo de amenazas de habla china que llama Cyclldek.
Plugx es un troyano de acceso remoto modular (rata) ampliamente utilizado por Muchos piratería alineados en China grupos, pero más prominentemente por Mustang panda (Aka Basin, Presidente de Bronce, Camaro Dragon, Earth Preta, Honeymyte, Reddelta, Red Lich, Majesty Taurus, Temp.Hex y Typhoon de billetes).
Turiano (también conocido como quariano o pájaro piloto), por otro lado, se evalúa como una puerta trasera empleada exclusivamente en ataques cibernéticos dirigidos al Medio Oriente por otro grupo avanzado de amenaza persistente (apt) con vínculos con China conocidos como Backdoordiplomacy (también conocido como Computación de la nube o falsificar dragón).
Los patrones de victimología, particularmente el enfoque en las compañías de telecomunicaciones, y la implementación técnica de malware habían arrojado evidencia que sugieren probables conexiones entre el loto panda y la backdoordiplomacy, lo que aumenta la posibilidad de que los dos grupos sean uno y lo mismo, o que obtengan sus herramientas de un vendor común.
En un incidente detectado por la compañía, se dice que Naikon apuntó a una firma de telecomunicaciones en Kazajstán, un país que comparte sus fronteras con Uzbekistán, que previamente ha sido señalada por backdoordiplomacy. Además, se ha encontrado que ambos equipos de piratería se concentran en los países del sur de Asia.
Las cadenas de ataque esencialmente implican abusar de un ejecutable legítimo asociado con la aplicación ventana emergente móvil para colocar una DLL maliciosa que luego se usa para descifrar y lanzar las cargas útiles de Turx, Rainyday y Turian en la memoria. Las ondas de ataque recientes orquestadas por el actor de amenaza se han apoyado en gran medida en Plugx, que utiliza la misma estructura de configuración que Rainyday e incluye un complemento de Keylogger integrado.
«Si bien no podemos concluir que existe una conexión clara entre Naikon y Backdoordiplomacy, existen aspectos superpuestos significativos, como la elección de objetivos, métodos de carga útil de cifrado/descifrado, reutilización clave de cifrado y uso de herramientas compatibles con el mismo proveedor», dijo Talos. «Estas similitudes sugieren un enlace de confianza media con un actor de habla china en esta campaña».
Malware de ratón de biblioteca de Mustang Panda detallado
La divulgación se produce cuando Palo Alto Networks Unit 42 arroja luz sobre el funcionamiento interno del malware del gusano bibliotecal utilizado por el actor de Mustang Panda Desde 2015 Para obtener un control extenso sobre los sistemas comprometidos. La rata avanzada viene equipada con capacidades para ejecutar comandos arbitrarios, cargar/descargar archivos, exfiltrados datos y establecer un acceso persistente.
A principios de marzo, el proveedor de ciberseguridad dicho Identificó ataques dirigidos a países afiliados a la Asociación de Naciones del Sudeste Asiático (ASEAN) para distribuir el malware.
Bookworm utiliza dominios de aspecto legítimo o infraestructura comprometida para fines C2 para combinar con el tráfico de red normal. También se ha encontrado que las variantes seleccionadas del malware compartan superposiciones con Toneladauna puerta trasera conocida asociada con Mustang Pana desde finales de 2022.
Al igual que Plugx y Toneshell, las cadenas de ataque que se distribuyen Bookworm se basan en la carga lateral de DLL para la ejecución de la carga útil, aunque las variantes más nuevas han adoptado una técnica que implica el envasado de shellcode como cadenas de identificadores universalmente únicos (UUID), que luego se decodifican y ejecutan.
«Bookworm es conocido por su arquitectura modular única, lo que permite que su funcionalidad central se amplíe cargando módulos adicionales directamente desde su servidor de comando y control (C2)», el investigador de la Unidad 42 Kyle Wilhoit dicho. «Esta modularidad hace que el análisis estático sea más desafiante, ya que el módulo líder se basa en otras DLL para proporcionar una funcionalidad específica».
«Este despliegue y adaptación de Bookworm, que se ejecuta en paralelo con otras operaciones majestuosas de Tauro, muestra su papel a largo plazo en el arsenal del actor. También apunta a un compromiso sostenido a largo plazo con su desarrollo y uso por parte del grupo».
Fuente