Los especialistas de Palo Alto Networks han identificado ataques dirigidos contra organizaciones rusas. Para hacer esto, AcidBox usó un exploit que anteriormente estaba asociado con el grupo de hackers de habla rusa Turla (también conocido como Waterbug, Venomous Bear y KRYPTON).
En particular, Turla es conocido por ser el primer grupo de piratas informáticos en abusar de un controlador de dispositivo de terceros para desactivar Driver Signature Enforcement (DSE), una característica de seguridad introducida en Windows Vista para evitar que se carguen controladores no firmados.
El problema CVE-2008-3431, que fue explotado por Turla, utilizó el controlador VirtualBox firmado (VBoxDrv.sys v1.6.2) para desactivar DSE y cargar controladores de carga útil sin firmar. Pero el exploit del grupo, de hecho, explotó dos vulnerabilidades, mientras que solo una de ellas fue reparada. Hubo una segunda versión del exploit, enfocada en usar solo esta vulnerabilidad desconocida.
Ahora los analistas de Palo Alto Networks escriben que desde 2017, los piratas informáticos desconocidos que claramente no están relacionados con Turla han estado utilizando el mismo problema solucionado para explotar nuevas versiones del controlador VBoxDrv.sys.
Entonces, en 2017, los atacantes atacaron al menos dos organizaciones rusas utilizando la versión del controlador 2.2.0 (probablemente porque esta versión no se consideraba anteriormente vulnerable). Por lo tanto, los atacantes desplegaron una familia de malvari previamente desconocida para los expertos, que se llamaba AcidBox.
AcidBox utiliza algún tipo de esteganografía y oculta datos confidenciales en iconos, abusa de la interfaz SSP para arreglarse de forma segura en el sistema, almacena su carga útil en el registro de Windows y no muestra ningún paralelismo obvio con otro malware conocido (aunque tiene poco parecido con Remsec) .
"Dado que no se encontraron otras víctimas, creemos que este es un malware muy raro que se usa solo en ataques dirigidos", escriben los expertos.
Los analistas enfatizan que AcidBox es definitivamente parte de un gran conjunto de herramientas, probablemente perteneciente a un cierto APT, y que aún se puede usar, siempre que el grupo de pirateo en sí siga activo. Junto con otros expertos en seguridad de la información, los investigadores de Palo Alto Networks pudieron identificar tres muestras de malvari en modo de usuario (DLL de 64 bits que cargan al trabajador principal desde el registro de Windows) y el controlador de carga útil en modo kernel (que está integrado en el trabajador principal).
Todas las muestras se compilaron el 9 de mayo de 2017 y probablemente se usaron como parte de una campaña maliciosa en el mismo año. No se pudieron encontrar muestras más nuevas, y aún no está claro si este grupo de pirateo está actualmente activo.
Desafortunadamente, los expertos de Palo Alto Networks no pudieron identificar el juego de herramientas, del cual AcidBox es parte, pero sin embargo compartieron dos reglas de YARA para detectar esta amenaza, así como un script de Python para ayudar a extraer datos confidenciales de los íconos.
0 Comentarios