Malware SANNY distribuido a múltiples gobiernos en todo el mundo.


Visita: https://www.securityhacklabs.net/ 
 
En marzo de 2018, FireEye ha descubierto documentos maliciosos basados en macros de Microsoft Word, un vector de explotación bastante común; estos documentos distribuían el malware SANNY a múltiples gobiernos en todo el mundo. FireEye ha realizado seguimiento a SANNY desde 2012 y se cree que su origen es Coreana, porque el correo SMTP y los servidores de comando y control utilizados por el malware se encuentran en Corea (no se especifica qué Corea). Además, las fuentes del documento “señuelo” son Batang y KP CheongPong, que también son coreanas. El ataque se ha dirigido sistemáticamente a entidades diplomáticas de todo el mundo, principalmente utilizando documentos escritos en inglés y ruso.
Ahora los atacantes han cambiado la manera de distribuir el malware, se realiza por etapas, y cada etapa se descarga desde el servidor del atacante. Así mismo ha evolucionado y se ha mejorado sustancialmente el malware incorporando técnicas de evasión de línea de comandos, la capacidad de infectar sistemas que ejecutan Windows 10 y el uso de técnicas recientes de control de cuentas de usuario (UAC).
Los atacantes, han atacado a víctimas diplomáticas desde 2012. Según el informe de FireEye, escrito por los investigadores Sudeep Singh y Yijie Sui, los ataques están utilizando tanto cirílico como inglés. El archivo malicioso contiene una macro incrustada que, cuando está habilitada, desencadena una cadena de infección que finalmente entrega a la carga útil de malware de SANNY.
“Esta campaña fue de bajo volumen, pero, sin embargo, muy dirigida”, dijo Singh en una respuesta por correo electrónico a las preguntas de Threatpost. “El método de entrega de malware anterior usado para propagar el malware SANNY no era de múltiples etapas. Todos los componentes se soltaron directamente en el disco y se ejecutaron mediante el documento basado en macro en las variantes anteriores “.
Dentro de los nombres de documentos maliciosos se incluyen “РГНФ 2018-2019.doc” y “Copia de la comunicación del Comité del Consejo de Seguridad (1718) .doc“. Mientras que el documento cirílico analiza “la geopolítica eurasiática en relación con China, así como la seguridad de Rusia”, el documento en inglés cubre “sanciones a las operaciones humanitarias en la República Popular Democrática de Corea (RPDC)”.
El análisis realizado de la macro, reveló que un TextBox que se encuentra en el documento de Word, cuando está activado, ejecuta un comando malicioso oculto. “A esta propiedad de TextBox primero se accede por la macro para ejecutar el comando en el sistema y luego se sobrescribe para eliminar la evidencia de la línea de comando”, escribieron los investigadores.
A continuación, realizaremos una breve descripción de cada etapa, esto basado en la investigación de FireEye:
  • Etapa uno: “El macro aprovecha la utilidad legítima de Microsoft Windows certutil.exe para descargar un archivo codificado de Windows Batch (BAT) de la siguiente URL: http: //more.1apps [.] Com / 1.txt. La macro luego decodifica el archivo codificado y lo coloca en el directorio% temp% con el nombre: 1.bat. “
  • Etapa dos: “El archivo BAT descargará el archivo CAB en función de la arquitectura del sistema operativo subyacente. El resto de las actividades maliciosas las realiza el archivo CAB descargado “.
Un archivo CAB es la abreviatura de Windows Cabinet file. Los archivos de tipo CAB tienen como función almacenar los datos relacionados con instalaciones de Windows, donde son incluidos controladores de dispositivos o archivos del sistema. Para el caso de SANNY, el archivo CAB contenía varias funciones maliciosas, incluida la entrega de “ipnet.dlle” (el malware SANNY) e “ipnet.ini” (un archivo de configuración utilizado por el malware).
Otro componente adicional del archivo CAB incluye “update.dll”, que se utiliza para realizar un bypass de Control de cuentas de usuario (UAC) de Windows 10. “Este componente del archivo CAB se usa para realizar un bypass de UAC en Windows 10 … si el sistema operativo subyacente es Windows 10, entonces usa update.dll para comenzar la ejecución del código en lugar de invocar el archivo install.bat directamente,” FireEye explica.
La función del archivo BAT es comprobar la presencia de soluciones de software antivirus específicas en sistemas específicos. “Si se encuentra, la instalación de CAB se modifica en consecuencia en un intento de eludir la detección”, dijeron los investigadores.
Singh le dijo a Threatpost que la capacidad de infectar a Windows 10 es nueva con estos últimos ataques: “Realiza una comprobación específica para detectar el sistema operativo Windows 10 y ejecuta el código en consecuencia”. Más allá del método de entrega, la carga final (ipnet.dll / Sanny) no ha cambiado desde las variantes observadas previamente, dijo Singh.
Una vez que el sistema está infectado, SANNY recolecta todo, desde las cuentas de Microsoft Outlook y los datos del navegador que incluyen nombres de usuario y contraseñas almacenados. SANNY utiliza FTP como medio para filtrar datos del sistema de destino al servidor de comando y control del atacante.
“El malware Sanny utiliza un mecanismo interesante para comprimir los contenidos de los datos recopilados del sistema y codificarlos antes de la exfiltración. En lugar de utilizar una utilidad de archivado, el malware aprovecha el objeto COM de Shell.Application y llama al método CopyHere de la interfaz IShellDispatch para realizar la compresión “, escribió FireEye.
“Esta actividad nos muestra que los agentes de amenazas que usan el malware SANNY están desarrollando sus métodos de entrega de malware, en particular mediante la incorporación de bypass de UAC y técnicas de evasión de endpoints. Al usar un ingenio de ataque de etapas múltiples En una arquitectura modular, los autores de malware aumentan la dificultad de la ingeniería inversa y potencialmente evaden las soluciones de seguridad “, escribieron los investigadores.

Fuente: https://www.securityhacklabs.net/

Publicar un comentario

0 Comentarios