El misterioso APT deja una pista curiosa sobre "KilllSomeOne" - Calendae | Informática, Electrónica, CMS, Ciberseguridad

El misterioso APT deja una pista curiosa sobre «KilllSomeOne»

Hola otra vez. Te habla Eduardo Arroyo y hoy hablaremos sobre El misterioso APT deja una pista curiosa sobre «KilllSomeOne»

El misterioso APT deja una pista curiosa sobre «KilllSomeOne»

APT enmascara la identidad utilizando mensajes de script para niños y técnicas avanzadas de distribución y orientación.

Los investigadores se rascan la cabeza cuando se trata de desenmascarar un nuevo grupo de amenazas persistentes avanzadas (APT) dirigidas a organizaciones no gubernamentales en la nación del sudeste asiático Myanmar (antes Birmania).

Con base en mensajes sin procesar, como «KilllSomeOne», utilizados en las cadenas de código de ataque, junto con técnicas avanzadas de distribución y orientación, dicen que la APT tiene una personalidad dividida.

“Los mensajes ocultos en sus muestras [malware] están al nivel de script kiddies. Por otro lado, la orientación y la implementación son las de un grupo APT serio «, escribió Gabor Szappanos, autor de un informe técnico de Sophos, publicado el miércoles, describiendo lo que se sabe sobre la APT.

Szappanos escribió que la pandilla se basa principalmente en una técnica de ataque cibernético conocida como carga lateral DLL. Este método de ataque preferido ganó popularidad en China en 2013. Este hecho, junto con las continuas tensiones fronterizas entre los rebeldes étnicos chinos y el ejército de Myanmar, sugiere que la pandilla es una APT china, creen los investigadores.

«Mientras que la [DLL side-loading] está lejos de ser nuevo: lo vimos por primera vez utilizado por grupos de APT (principalmente chinos) ya en 2013, antes de que los grupos de ciberdelincuencia comenzaran a agregarlo a su arsenal; esta carga útil en particular no era lo que teníamos visto antes «, escribió Szappanos.

Según los investigadores, cuatro escenarios distintos de carga lateral de DLL proporcionan una carga útil de shell (que permite a un adversario ejecutar comandos en sistemas específicos) o instalan un «conjunto complejo de malware» en los sistemas.

La carga lateral de DLL, en pocas palabras, es un tipo de aplicación que parece ser legítima y, a menudo, puede eludir mecanismos de seguridad débiles, como la lista blanca de aplicaciones. Una vez de confianza, la aplicación obtiene permisos adicionales de Windows mientras se ejecuta.

«La carga lateral es el uso de una DLL maliciosa que falsifica una legítima, confiando en ejecutables legítimos de Windows para cargar y ejecutar el código malicioso», describe Sophos.

Los cuatro escenarios de carga lateral de DLL ejecutan código malicioso e instalan puertas traseras en las redes de las organizaciones objetivo. Cada uno también comparte la misma ruta de la base de datos del programa y cadenas de texto sin formato escritas en un inglés pobre con mensajes de inspiración política en sus muestras, dijo Sophos.

“Los casos están vinculados por un artefacto común: la ruta a la base de datos del programa (PDB). Todas las muestras comparten una ruta PDB similar, y muchas de ellas contienen el nombre de carpeta ‘KilllSomeOne’, escribieron los investigadores.

Ejemplos de cadenas de texto sin formato en el código de malware KilllSomeOne incluyen «La felicidad es una puerta de enlace entre demasiado y muy poco» y «HELLO_USA_PRISIDENT».

“Los tipos de perpetradores detrás de los ataques dirigidos en general no son un grupo homogéneo. Vienen con conjuntos de habilidades y habilidades muy diferentes. Algunos de ellos son altamente calificados, mientras que otros no tienen habilidades más allá del nivel promedio de los ciberdelincuentes «, dijeron los investigadores.» El grupo responsable de los ataques que investigamos en este informe claramente no cae en ninguno de los extremos del espectro. Han pasado a implementaciones más simples en codificación, especialmente encriptación de carga útil «, dijeron.

.

Recuerda compartir en tu Facebook para que tus amigos lo vean

??? ? ? ???

Comparte