Imagen: TyN Magazine – 2021
Check Point Research (CPR), la división de Inteligencia de Amenazas de
Check Point® Software Technologies Ltd. (NASDAQ: CHKP), proveedor líder de soluciones de
ciberseguridad a nivel mundial, ha identificado y bloqueado una operación de
vigilancia activa dirigida contra un gobierno del sudeste asiático. Los
ciberdelincuentes, que Check Point Research relaciona con grupo organizado
chino, enviaron sistemáticamente documentos manipulados, a varios miembros del
Ministerio de Asuntos Exteriores del mismo. haciéndose pasar por otras
entidades del mismo gobierno.
Los investigadores sospechan que el objetivo de la operación es el
espionaje mediante la instalación de una puerta trasera, en el software de
Windows, hasta ahora desconocida y que ha estado en desarrollo al menos tres
años. Una vez instalado el backdoor es posible recopilar toda la información
deseada, así como realizar capturas de pantalla y ejecutar malware adicional.
Uso del correo electrónico para iniciar la cadena de infección
La campaña comenzó con el envío de documentos maliciosos (.docx) a
diferentes empleados de una entidad gubernamental del sudeste asiático. Estos
correos electrónicos fueron falsificados para que otras entidades públicas
apareciesen como remitentes. Los archivos adjuntos de estos emails eran copias
manipuladas de escritos oficiales de aspecto legítimo y utilizaban plantillas
en remoto para incrustar código malicioso. Esta técnica aprovecha una
característica de Microsoft que permite extraer una plantilla desde un servidor
remoto cada vez que el usuario abre el mismo.
De qué forma funciona la cadena de infección
La víctima recibe un correo electrónico con un documento adjunto,
supuestamente enviado por algún ministerio o comisión de otro gobierno.
Al abrirlo, la víctima ejecuta una cadena de acciones que acaba por
activar una puerta trasera.
El backdoor recaba toda la información que los ciberdelincuentes
desean, incluida la lista de archivos y programas activos en el PC, lo que les
permite el acceso remoto.
La victoria entra por la puerta trasera
En la etapa final de la cadena de infección, el loader malicioso debe
descargar, descifrar y cargar un archivo DLL (Dynamic Link Library) en la
memoria.
Una puerta trasera es un tipo de malware que se salta los
procedimientos normales de autenticación para acceder a un sistema. Como
resultado, se concede acceso remoto a los recursos dentro del dispositivo o la
red infectada, dando a los ciberdelincuentes la capacidad de acceder al sistema
directamente a través de dicha backdoor. Las capacidades de este malware
incluyen la capacidad de:
Eliminar/crear/renombrar/leer/escribir archivos y obtener los atributos
de los archivos
Conseguir información de procesos y servicios
Realizar capturas de pantalla
Lectura/Escritura de archivos - ejecutar comandos a través de cmd.exe
Crear/terminar procesos
Adquirir tablas TCP/UDP
Robar datos de las unidades de CDROM
Obtener información de las claves del registro
Ver los títulos de todas las ventanas principales
Obtener información del equipo de la víctima: nombre del equipo,
usuario, dirección de la Gateway, versión de Windows y tipo de usuario
Apagar el PC.
Check Point Research atribuye, con una confianza media-alta, la
operación de vigilancia en curso a un grupo de amenazas chino, basándose en los
siguientes elementos e indicadores:
Los servidores de comando y control (C&C) estuvieron comunicados
sólo entre las 01:00 y las 08:00 UTC, que se cree que son las horas de trabajo
en el país de los ciberdelincuentes, por lo que el rango de posibles orígenes
de este ataque es limitado.
Los servidores de C&C no devolvieron ninguna carga útil (ni
siquiera en horario laboral), concretamente durante el periodo comprendido
entre el 1 y el 5 de mayo, días festivos del Día del Trabajo en China.
Algunas versiones de prueba del backdoor contenían la prueba de la
conectividad a Internet con www.baidu.com - un sitio web líder en China.
El kit de exploits RoyalRoad RTF, utilizado para convertir los
documentos en armas en el ataque, está asociado principalmente con grupos APT
chinos.
Algunas versiones de prueba del backdoor de 2018 se subieron a
VirusTotal desde China
Todos los indicios apuntan a que se trata de una operación
extremadamente organizada. Los ciberdelincuentes utilizaban emails de
spear-phishing, con versiones manipuladas de documentos gubernamentales, para
intentar entrar en el Ministerio de Asuntos Exteriores del país objetivo. Los
atacantes tuvieron que asaltar primero un departamento dentro del Estado
objetivo, robando y armando escritos para utilizarlos contra el citado
Ministerio.
En última instancia, es importante destacar que la investigación de
Check Point Research condujo al descubrimiento de un nuevo backdoor de Windows,
en otras palabras, un arma de ciberespionaje que el grupo de amenazas chino ha
estado desarrollando desde 2017. Esta puerta trasera se formó y readaptó una y
otra vez durante tres años, antes de utilizarse. Gracias a ello, es mucho más
intrusiva y capaz de recopilar una gran cantidad de datos de un ordenador
infectado. Asimismo, los investigadores se enteraron de que este grupo no sólo
se interesa por los datos, sino también por lo que ocurre en el equipo personal
del objetivo en cada momento, lo que da lugar a un espionaje en tiempo real.
Aunque se pudo bloquear la operación de vigilancia del gobierno del sudeste
asiático descrita, es posible que actualmente estos ciberdelincuentes estén
utilizando su nueva arma de ciberespionaje en otros blancos del mundo.
0 Comentarios