Llegamos a ustedes gracias a:



Alertas de Seguridad

El grupo APT chino ToddyCat

Lanza nuevas campañas de ciberespionaje

[14/10/2023] Los investigadores advierten de nuevos ataques contra organizaciones de alto perfil lanzados por un actor APT chino conocido en el sector como ToddyCat. El grupo ha estado refinando sus tácticas, así como su conjunto de herramientas de malware desde el 2020, cuando fue descubierto originalmente.

En un nuevo informe de esta semana, los investigadores de la firma de seguridad Check Point Software Technologies documentaron una campaña de ToddyCat que apodaron "Stayin' Alive" dirigida a organizaciones de países asiáticos, principalmente de los sectores de telecomunicaciones y gubernamental.

"La campaña Stayin' Alive consiste principalmente en descargadores y cargadores, algunos de los cuales se utilizan como vector de infección inicial contra organizaciones asiáticas de alto perfil", afirman los investigadores de Check Point. "El primer downloader encontrado, llamado CurKeep, tenía como objetivo Vietnam, Uzbekistán y Kazajstán. A medida que realizábamos nuestro análisis, nos dimos cuenta de que esta campaña forma parte de una campaña mucho más amplia dirigida a la región".

En un informe separado de esta semana, los investigadores de Kaspersky Lab también documentaron una nueva generación de cargadores de malware utilizados por ToddyCat en ataques recientes, incluyendo algunos que parecen estar hechos a medida para cada víctima. Los investigadores de Kaspersky descubrieron las actividades de ToddyCat a finales del 2020, después de que el grupo atacara a organizaciones asiáticas y europeas de alto perfil.

La carga lateral de DLL es una de las técnicas favoritas de ToddyCat

Una de las técnicas favoritas de ToddyCat para desplegar malware en las computadoras es a través de una técnica llamada DLL side-loading. Consiste en encontrar un ejecutable legítimo de una aplicación que busque un archivo DLL concreto en el mismo directorio y, a continuación, sustituir ese DLL por uno malicioso.

Dado que el archivo ejecutado originalmente pertenece a una aplicación o servicio legítimo, es probable que esté firmado digitalmente y en la lista blanca de algunos productos de seguridad. Los atacantes esperan que la posterior carga de una DLL maliciosa por un ejecutable legítimo no sea detectada o bloqueada.

En el pasado, ToddyCat explotaba vulnerabilidades en servidores Microsoft Exchange expuestos al público, pero también distribuye malware a través de correos electrónicos de spear-phishing que llevan adjuntos archivos maliciosos. Estos archivos contienen los ejecutables legítimos junto con la DLL maliciosa cargada lateralmente.

Según Check Point, una de las aplicaciones explotadas en ataques recientes se llama Dante Discovery, y está fabricada por una empresa llamada Audinate. En un ataque de spear-phishing contra una empresa de telecomunicaciones vietnamita, los atacantes enviaron un archivo con el ejecutable de Dante Discovery llamado mDNSResponder.exe junto con una DLL maliciosa cargada lateralmente llamada dal_keepalives.dll que busca el software.

La DLL maliciosa dal_keepalives.dll es un simple cargador de malware que se utiliza para configurar la persistencia copiando el combo de archivos en la carpeta Application Data, y configurando una tarea programada llamada AppleNotifyService para que siga ejecutándose. El cargador de malware se utiliza para ejecutar un sencillo backdoor que Check Point denomina "CurKeep".

"La lógica principal de la carga útil [CurKeep] consta de tres funcionalidades principales: informe, shell y archivo", explican los investigadores. Cada una de ellas se asigna a un tipo de mensaje diferente que se envía al servidor de C&C. Cuando se ejecuta, el payload ejecuta inicialmente la funcionalidad de informe, enviando información básica de reconocimiento al servidor C&C. A continuación, crea dos hilos separados que ejecutan repetidamente las funcionalidades de shell y archivo".

La funcionalidad shell es utilizada por los atacantes para ejecutar remotamente comandos shell en la máquina, y la funcionalidad de archivos es para descargar archivos al disco que luego serán ejecutados.

Mientras tanto, los investigadores de Kaspersky informaron haber visto tácticas similares de carga lateral aprovechando vlc.exe, un popular reproductor de video de código abierto, con un archivo de acompañamiento falso llamado playlist.dat, o cargadores de malware en forma de archivos DLL que se cargan directamente con la utilidad de Windows rundll32.exe.

Los cargadores vistos por Kaspersky se utilizaron para cargar un programa troyano apodado Ninja que ToddyCat ha utilizado desde el 2020, y que los investigadores describen como "malware sofisticado escrito en C++, probablemente parte de un kit de herramientas de post-explotación desconocido". El programa troyano puede enumerar y matar procesos en ejecución, administrar archivos del sistema, abrir sesiones de shell inversas, inyectar código en procesos arbitrarios, cargar módulos adicionales para ampliar la funcionalidad y configurar un proxy para la comunicación con el servidor de comando y control.

Los cargadores de malware que encontró Kaspersky eran diferentes y utilizaban distintas técnicas persistentes que implicaban claves de registro y la configuración de servicios del sistema. De hecho, algunas variantes de estos cargadores parecían adaptadas a las víctimas utilizando el GUID del ordenador como clave de cifrado para sus posteriores cargas útiles.

Tras investigar la infraestructura de ToddyCat, Check Point ha detectado también otros cargadores. Uno de ellos, denominado "CurLu Loader", se despliega mediante una DLL de carga lateral llamada bdch.dll. Este cargador se utilizó para desplegar una carga útil enmascarada como un archivo de imagen, que a su vez aprovechó la carga lateral de DLL utilizando mscoree.dll para desplegar otro backdoor apodado "CurCore".

Check Point también ha descubierto otros dos cargadores apodados "StylerServ" y "CurLog", cada uno de los cuales utiliza técnicas de despliegue diferentes. CurLog se distribuyó con señuelos tanto como ejecutable como cargado como DLL, mientras que StylerServ parece ser un cargador secundario que funciona como oyente pasivo y es desplegado por una variante más antigua de CurLu.

En general, ToddyCat parece utilizar una variedad de cargadores de malware personalizados y puertas traseras distribuidas de múltiples maneras, pero a menudo a través de la carga lateral de DLL.

Otras herramientas maliciosas de ToddyCat

Los investigadores de Kaspersky también han documentado otras herramientas que el grupo ha utilizado en sus operaciones, además de cargadores, puertas traseras y el troyano Ninja. Una de ellas se llama "LoFiSe" y es una herramienta utilizada para encontrar y recopilar archivos de interés de los sistemas infectados.

"El nombre LoFiSe deriva del nombre del mutex utilizado por esta herramienta (MicrosoftLocalFileService)", afirman los investigadores. "La herramienta en sí es un archivo DLL llamado DsNcDiag.dll que se lanza utilizando la técnica de carga lateral de DLL".

Otras herramientas incluyen uploaders para DropBox y Microsoft OneDrive que se utilizan para exfiltrar archivos, una puerta trasera UDP pasiva que recibe comandos a través de paquetes UDP y Cobalt Strike, un marco comercial de pruebas de penetración que se ha hecho popular entre muchos hackers.

"Los últimos descubrimientos confirman que ToddyCat ataca a su objetivo para realizar actividades de espionaje", afirman los investigadores. "Para lograr este objetivo, el atacante penetra en las redes corporativas utilizando herramientas como los cargadores y troyanos descritos anteriormente. Una vez que se ha afianzado, comienza a recopilar información sobre los hosts conectados a la misma red para encontrar objetivos que puedan tener archivos de interés. El grupo realiza actividades de descubrimiento, enumerando cuentas de dominio y servidores DC aprovechando las utilidades estándar de administración de sistemas operativos".

Una vez identificados otros sistemas, los atacantes utilizan credenciales de administrador de dominio robadas para montar unidades de red, ejecutar scripts y configurar tareas programadas en los sistemas objetivo con el objetivo de encontrar y exfiltrar documentos.