Llegamos a ustedes gracias a:



Alertas de Seguridad

Un backdoor no documentado anteriormente

Tiene como objetivo el Editor de Ecuaciones de Microsoft

[30/04/2021] Los investigadores del equipo Nocturnus de Cybereason han detectado características anómalas en un weaponizer de RoyalRoad recientemente descubierto que entrega un backdoor no documentado anteriormente. Los investigadores han estado siguiendo la evolución reciente de RoyalRoad cuando descubrieron un ataque dirigido a un contratista de defensa con sede en Rusia.

El ataque de spear-phishing se dirige a un contratista de defensa ruso

En este caso, el objetivo del ataque de spear-phishing era un director general que trabaja en la Oficina de Diseño Rubin, un contratista de defensa con sede en Rusia que diseña submarinos nucleares para la Armada de la Federación Rusa.

El correo electrónico utilizado para entregar el vector de infección inicial estaba dirigido al "respetuoso director general Igor Vladimirovich" de la Oficina de Diseño Rubin, un centro de diseño de submarinos del consorcio "Gidropribor" de San Petersburgo, un centro nacional de investigación que diseña armas submarinas.

Cómo funciona la variante RoyalRoad

El equipo de investigación definió RoyalRoad como una herramienta que genera documentos RTF armados que explotan las vulnerabilidades del Editor de Ecuaciones de Microsoft, incluyendo CVE-2017-11882, CVE-2018-0798 y CVE-2018-0802. El editor de ecuaciones de Microsoft se incluía en versiones anteriores de Word, pero se eliminó de todas las versiones en la actualización pública de enero del 2018 debido a problemas de seguridad con su implementación.

El weaponizer RoyalRoad también es conocido como el constructor de exploits 8.t Dropper/RTF. La variante analizada había alterado su carga útil codificada del conocido archivo "8.t" a un nuevo nombre de archivo: "e.o". Una vez abierto y ejecutado el documento RTF, se suelta un archivo de complemento de Microsoft Word en la carpeta de inicio de Microsoft Word, una técnica utilizada para eludir la detección de la persistencia de la ejecución automática. El RTF lleva la fecha del 2007, otra técnica utilizada para pasar desapercibido.

Esta nueva variante deja caer la puerta trasera no documentada anteriormente, denominada PortDoor, un malware con múltiples funcionalidades, entre las que se incluyen la capacidad de reconocimiento, la elaboración de perfiles de objetivos, la entrega de cargas útiles adicionales, el aumento de privilegios, la manipulación de procesos, la evasión de la detección estática del antivirus, el cifrado XOR de un byte, la exfiltración de datos cifrados con AES y otras, según Cybereason Nocturnus. Los investigadores esperan que se estén desarrollando más variantes nuevas.

Los investigadores no tenían suficiente información para atribuir esta puerta trasera, pero dijeron: "hay un par de grupos APT chinos conocidos que comparten bastantes similitudes con el actor de la amenaza detrás de las nuevas muestras de malware analizadas en este blog". En concreto, contenía una codificación de cabecera utilizada anteriormente por los actores de la amenaza Tonto Team, TA428 y Rancor.