La evolución del malware
La empresa de ciberseguridad ESET ha descubierto que un grupo de piratas informáticos conocido y esquivo ha estado implementando en silencio un malware que tiene algunos objetivos específicos. El malware explota una puerta trasera que ha pasado desapercibida con éxito en el pasado. Además, el software realiza algunas pruebas interesantes para asegurarse de que se dirige a una computadora que se utiliza activamente. Si el malware no detecta actividad o no está satisfecho, simplemente se apaga y desaparece para mantener un sigilo óptimo y evadir una posible detección. El nuevo malware busca personalidades importantes dentro de la maquinaria del gobierno estatal. En pocas palabras, el malware persigue a diplomáticos y departamentos gubernamentales de todo el mundo.
los Ke3chang El grupo de amenazas persistentes avanzadas parece haber resurgido con una nueva campaña de piratería enfocada. El grupo ha estado lanzando y gestionando con éxito campañas de ciberespionaje desde al menos 2010. Las actividades y los ataques del grupo son bastante eficientes. Combinado con los objetivos previstos, parece que el grupo está patrocinado por una nación. La última cepa de malware implementada por Ke3chang grupo es bastante sofisticado. Los troyanos de acceso remoto implementados anteriormente y otro malware también estaban bien diseñados. Sin embargo, el nuevo malware va más allá de la infección ciega o masiva de las máquinas objetivo. En cambio, su comportamiento es bastante lógico. El malware intenta confirmar y autenticar la identidad del objetivo y la máquina.
Investigadores de ciberseguridad de ESET identifican nuevos ataques por Ke3chang:
El grupo de amenazas persistentes avanzadas Ke3chang, activo desde al menos 2010, también se identifica como APT 15. La popular empresa eslovaca de antivirus, firewall y otra empresa de ciberseguridad ESET ha identificado rastros confirmados y pruebas de las actividades del grupo. Los investigadores de ESET afirman que el grupo Ke3chang está utilizando sus técnicas probadas y confiables. Sin embargo, el malware se ha actualizado significativamente. Además, esta vez, el grupo está intentando explotar una nueva puerta trasera. La puerta trasera no descubierta y no informada anteriormente se denomina provisionalmente Okrum.
Los investigadores de ESET indicaron además que su análisis interno indica que el grupo está persiguiendo cuerpos diplomáticos y otras instituciones gubernamentales. Por cierto, el grupo Ke3chang ha sido excepcionalmente activo en la realización de campañas de ciberespionaje sofisticadas, específicas y persistentes. Tradicionalmente, el grupo iba tras funcionarios gubernamentales y personalidades importantes que trabajaban con el gobierno. Sus actividades se han observado en países de Europa y América Central y del Sur.
Nuevo malware de Okrum utilizado por Ke3chang Group para apuntar a diplomáticos https://t.co/asgcCKWqu6 pic.twitter.com/KFSk5NW0FO
- Store4app (@ Store4app1) 18 de julio de 2019
El interés y la atención de ESET siguen estando en el grupo Ke3chang porque el grupo ha estado bastante activo en el país de origen de la empresa, Eslovaquia. Sin embargo, otros objetivos populares del grupo son Bélgica, Croacia, la República Checa en Europa. Se sabe que el grupo apuntó a Brasil, Chile y Guatemala en América del Sur. Las actividades del grupo Ke3chang indican que podría ser un grupo de piratería patrocinado por el estado con hardware potente y otras herramientas de software que no están disponibles para los piratas informáticos comunes o individuales. Por lo tanto, los últimos ataques también podrían ser parte de una campaña sostenida a largo plazo para recopilar inteligencia, señaló Zuzana Hromcova, investigadora de ESET, 'Lo más probable es que el objetivo principal del atacante sea el ciberespionaje, por eso seleccionaron estos objetivos'.
¿Cómo funcionan Ketrican Malware y Okrum Backdoor?
El malware Ketrican y la puerta trasera Okrum son bastante sofisticados. Los investigadores de seguridad todavía están investigando cómo se instaló o soltó la puerta trasera en las máquinas objetivo. Si bien la distribución de la puerta trasera de Okrum sigue siendo un misterio, su funcionamiento es aún más fascinante. La puerta trasera de Okrum realiza algunas pruebas de software para confirmar que no se está ejecutando en una caja de arena, que es esencialmente un espacio virtual seguro que los investigadores de seguridad utilizan para observar el comportamiento del software malicioso. Si el cargador no obtiene resultados fiables, simplemente se desconecta para evitar la detección y análisis posteriores.
El método de la puerta trasera de Okrum para confirmar que se está ejecutando en una computadora que funciona en el mundo real también es bastante interesante. El cargador o la puerta trasera activa la vía para recibir la carga útil real después de hacer clic en el botón izquierdo del mouse al menos tres veces. Los investigadores creen que esta prueba de confirmación se realiza principalmente para garantizar que la puerta trasera esté funcionando en máquinas reales que funcionan y no en máquinas virtuales o sandbox.
Una vez que el cargador está satisfecho, la puerta trasera de Okrum primero se otorga a sí misma todos los privilegios de administrador y recopila información sobre la máquina infectada. Tabula información como el nombre de la computadora, el nombre de usuario, la dirección IP del host y el sistema operativo instalado. A partir de entonces, requiere herramientas adicionales. El nuevo malware Ketrican también es bastante sofisticado y tiene múltiples funcionalidades. Incluso tiene un descargador incorporado y un cargador. El motor de carga se utiliza para exportar archivos de forma sigilosa. La herramienta de descarga dentro del malware puede solicitar actualizaciones e incluso ejecutar comandos de shell complejos para penetrar profundamente en la máquina host.
Un misterioso grupo de malware de la vieja escuela que se cree que opera fuera de China ha estado apuntando a diplomáticos con lo que los investigadores de seguridad dicen que es una puerta trasera previamente indocumentada. El grupo Ke3chang, que ha estado activo durante varios años, ha sido ob… https://t.co/n1TBoQ1pQX
- The Register: Resumen (@_TheRegister) 18 de julio de 2019
Los investigadores de ESET habían observado anteriormente que la puerta trasera de Okrum podría incluso implementar herramientas adicionales como Mimikatz. Esta herramienta es esencialmente un keylogger sigiloso. Puede observar y registrar las pulsaciones de teclas e intentar robar las credenciales de inicio de sesión en otras plataformas o sitios web.
Por cierto, los investigadores han notado varias similitudes en los comandos que utilizan la puerta trasera Okrum y el malware Ketrican para eludir la seguridad, otorgar privilegios elevados y realizar otras actividades ilícitas. El inconfundible parecido entre los dos ha llevado a los investigadores a creer que los dos están estrechamente relacionados. Si esa no es una asociación lo suficientemente fuerte, ambos software se habían dirigido a las mismas víctimas, señaló Hromcova, “Comenzamos a conectar los puntos cuando descubrimos que la puerta trasera de Okrum se usó para soltar una puerta trasera de Ketrican, compilada en 2017. Además de eso , encontramos que algunas entidades diplomáticas que se vieron afectadas por el malware Okrum y las puertas traseras Ketrican de 2015 también se vieron afectadas por las puertas traseras Ketrican de 2017. '
Grupo APT Ke3chang lanza bomba de puerta trasera Okrum sobre objetivos diplomáticos https://t.co/GhovtgTkvd pic.twitter.com/3TthDyH1iR
- 420 Cyber, Inc. (@ 420Cyber) 18 de julio de 2019
Las dos piezas de software malicioso relacionadas que tienen años de diferencia y las actividades persistentes del grupo de amenazas persistentes avanzadas de Ke3chang indican que el grupo se ha mantenido leal al ciberespionaje. ESET tiene confianza, el grupo ha mejorado sus tácticas y la naturaleza de los ataques ha ido creciendo en sofisticación y eficacia. El grupo de ciberseguridad ha estado registrando las hazañas del grupo durante mucho tiempo y se ha mantener un informe de análisis detallado .
Recientemente informamos sobre cómo un grupo de piratas informáticos había abandonado sus otras actividades ilegales en línea y comenzó a centrarse en el ciberespionaje . Es bastante probable que los grupos de piratería puedan encontrar mejores perspectivas y recompensas en esta actividad. Con el aumento de los ataques patrocinados por el estado, los gobiernos deshonestos también podrían estar apoyando en secreto a los grupos y ofreciéndoles un perdón a cambio de valiosos secretos de estado.
