Cuckoo Spear ataca a usuarios de Windows con malware altamente sofisticado


Los investigadores descubrieron un nuevo actor de amenazas, Cuckoo Spear, asociado con el grupo APT10 y revelaron que ha estado llevando a cabo una operación sigilosa sostenida dentro de las redes de víctimas durante dos o tres años.

Las amenazas persistentes avanzadas (APT) utilizan nuevas técnicas y herramientas para llevar a cabo ciberespionaje y contrarrestar a adversarios avanzados de estados-nación como APT10, protocolos de seguridad sólidos, amenazas persistentes y Enfatiza la importancia crítica de la vigilancia y el intercambio conjunto de inteligencia entre organizaciones y gobiernos.

Desde diciembre de 2019, el malware LODEINFO atribuido al grupo APT10 respaldado por el gobierno chino ha estado apuntando activamente a sectores académicos y de infraestructura crítica.

Investigaciones recientes han vinculado a LODEINFO con el nuevo malware NOOPDOOR conocido colectivamente como “Cuckoo Spear”.

Cómo crear un marco de seguridad con recursos limitados para equipos de seguridad de TI (PDF): guía gratuita

El malware utiliza ambas variantes para la infiltración persistente en la red y la exfiltración de datos, lo que sugiere fuertemente que el espionaje es el motivo principal.

La superposición de tácticas, víctimas y arsenal de malware con operaciones anteriores de APT10 como ‘Earth Kasha’ y ‘MirrorFace’ solidifica la identidad de este sofisticado actor de amenazas.

Se ha observado que NOOPDOOR, una puerta trasera modular avanzada de 64 bits que utiliza comunicaciones C2 basadas en DGA, es cargada por descifradores NOOPLDR utilizados por actores de amenazas en ataques de múltiples etapas.

La puerta trasera principal, LODEINFO, instala NOOPDOOR como puerta trasera secundaria para mantener el acceso persistente dentro de las redes comprometidas durante más de dos años.

Si bien NOOPDOOR proporciona una operación encubierta a largo plazo, se cree que LODEINFO sirve como vector de infección inicial y canal de comando y control.

El equipo de investigación de Cybereason, formado por Jin Ito, Loic Castel y Kotaro Ogino, investigó exhaustivamente las últimas variantes de malware NOOPDOOR y NOOPLDR y detalló sus características y tácticas avanzadas en un informe de análisis de amenazas.

Su análisis examina las características avanzadas del malware, incluidas las comunicaciones C2 basadas en DGA, los mecanismos de descifrado y la arquitectura modular, y examina los arsenales en evolución de los actores de amenazas y las intrusiones sigilosas, la exfiltración de datos y las redes persistentes.

Los recientes esfuerzos de respuesta a incidentes han revelado un sofisticado conjunto de herramientas para actores de amenazas diseñado para la infiltración encubierta, la exfiltración de datos y el control sostenido.

La ingeniería inversa avanzada revela que el acceso inicial se basa principalmente en el phishing, específicamente en LODEINFO, lo que destaca la necesidad de contar con defensas sólidas contra las tácticas cambiantes de los actores de amenazas.

Los actores de amenazas implementan NOOPDOOR a través de tareas programadas y eventos de consumidores WMI para establecer persistencia.

El primer método aprovecha MSBuild para compilar un archivo XML malicioso en el cargador NOOPDOOR.

El segundo método explota el consumidor de eventos WMI para activar la ejecución de ActiveScript y luego aprovecha MSBuild para realizar una compilación NOOPDOOR.

Ambas técnicas demuestran la adaptabilidad de los atacantes para explotar las herramientas del sistema con fines maliciosos.

Los actores de amenazas establecen un acceso persistente a los sistemas comprometidos instalando servicios maliciosos de Windows y cargando bibliotecas de enlaces dinámicos (DLL) sin firmar en la memoria.

Esto permite a los atacantes ejecutar código malicioso con privilegios elevados, mantener operaciones encubiertas y evadir la detección por parte de soluciones de seguridad que dependen de métodos de detección basados ​​en firmas.

¿Está en un equipo SOC y DFIR? Analice incidentes de malware y obtenga acceso en vivo en ANY.RUN -> Acceso gratuito



Fuente: https://cybersecuritynews.com/cuckoo-spear-windows-malware-attack/amp/