![\"Check](\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2023\/07\/Check-Point-Research-reconoce-a-actores-chinos-e1688401421815.webp\" "\\"\\"")
<\/a>La actividad del actor de amenazas chino dirigida a ministerios de Relaciones Exteriores y embajadas europeas plantea serias preocupaciones en t\u00e9rminos de ciberseguridad. Este enfoque selectivo resalta la necesidad de una mayor vigilancia y cooperaci\u00f3n tanto a nivel nacional como internacional para proteger los intereses y la seguridad de las naciones europeas. A medida que el ciberespacio evoluciona, es imperativo estar preparados y adoptar medidas proactivas para enfrentar estas amenazas emergentes.<\/p>\n
En este informe se ha detectado una campa\u00f1a de actividad cibern\u00e9tica que utiliza el contrabando de HTML para dirigirse a entidades gubernamentales en Europa del Este. Esta campa\u00f1a espec\u00edfica ha estado en curso desde al menos diciembre de 2022 y es probable que sea una continuaci\u00f3n directa de una campa\u00f1a anterior atribuida a RedDelta, y en cierta medida a Mustang Panda.<\/p>\n
La peculiaridad de esta campa\u00f1a radica en el uso de nuevos m\u00e9todos de entrega, en particular el contrabando de HTML, para implementar una nueva variante de PlugX, un implante com\u00fanmente asociado con diversos actores de amenazas chinos. Aunque la carga \u00fatil en s\u00ed sigue siendo similar a las variantes anteriores de PlugX, los m\u00e9todos de entrega utilizados resultan en bajas tasas de detecci\u00f3n, lo que ha permitido que la campa\u00f1a pase desapercibida en gran medida hasta hace poco.<\/p>\n
El contrabando de HTML es una t\u00e9cnica sofisticada que implica ocultar el c\u00f3digo malicioso dentro de documentos HTML leg\u00edtimos y enviarlos a trav\u00e9s de canales de comunicaci\u00f3n aparentemente seguros. Esta t\u00e9cnica es altamente efectiva para evadir los sistemas de detecci\u00f3n tradicionales, ya que el c\u00f3digo malicioso se encuentra enmascarado dentro del contenido leg\u00edtimo del documento.<\/p>\n
La carga \u00fatil utilizada en esta campa\u00f1a consiste en una nueva variante de PlugX, una herramienta de acceso remoto (RAT) que proporciona a los atacantes un control total sobre los sistemas comprometidos. Esta RAT es conocida por su asociaci\u00f3n con actores de amenazas chinos y ha sido utilizada en diversas campa\u00f1as cibern\u00e9ticas con objetivos similares.<\/p>\n
La combinaci\u00f3n de m\u00e9todos de entrega novedosos y la utilizaci\u00f3n de una herramienta de acceso remoto ampliamente utilizada como PlugX ha permitido que esta campa\u00f1a tenga \u00e9xito en su objetivo de pasar desapercibida y comprometer las entidades gubernamentales en Europa del Este.<\/p>\n
Es importante destacar que las bajas tasas de detecci\u00f3n enfatizan la necesidad de implementar soluciones de seguridad cibern\u00e9tica m\u00e1s avanzadas y actualizadas que puedan detectar y mitigar estas nuevas t\u00e9cnicas de ataque.<\/p>\n
La campa\u00f1a descrita en este informe utiliza el contrabando de HTML como m\u00e9todo de entrega para implementar una nueva variante de PlugX, un implante asociado con actores de amenazas chinos. El \u00e9xito de esta campa\u00f1a en eludir las medidas de detecci\u00f3n tradicionales destaca la importancia de adoptar enfoques de seguridad cibern\u00e9tica m\u00e1s sofisticados y actualizados para contrarrestar las t\u00e1cticas en constante evoluci\u00f3n utilizadas por los actores de amenazas.<\/p>\n
Resultados clave:<\/h3>\n\n- Check Point Research descubre una campa\u00f1a dirigida llevada a cabo por un actor de amenazas chino dirigida a entidades gubernamentales en Europa, con un enfoque en entidades de pol\u00edtica exterior e interior.<\/li>\n
- La campa\u00f1a aprovecha el contrabando de HTML, una t\u00e9cnica en la que los atacantes ocultan cargas maliciosas dentro de documentos HTML.<\/li>\n
- Luego de una cadena de infecci\u00f3n compleja que involucra archivos o archivos MSI, los ataques implementan PlugX, un implante com\u00fanmente asociado con los actores de amenazas chinos.<\/li>\n
- La campa\u00f1a, llamada\u00a0SmugX<\/strong>\u00a0, se superpone con la actividad informada anteriormente por los actores chinos APT\u00a0\u00a0RedDelta<\/a>\u00a0\u00a0y\u00a0\u00a0Mustang Panda<\/a>\u00a0.\u00a0Aunque esos dos se correlacionan hasta cierto punto con Camaro Dragon, no hay pruebas suficientes para vincular la campa\u00f1a SmugX con el grupo Camaro Dragon.<\/li>\n<\/ul>\n
Contrabando HTML 101<\/h2>\n
El contrabando de HTML es una t\u00e9cnica bien documentada y ampliamente utilizada por ciberdelincuentes y actores patrocinados por el estado por igual. Esta t\u00e9cnica se utiliza para incrustar archivos maliciosos dentro de documentos HTML, lo que les permite evadir las medidas de detecci\u00f3n basadas en la red, dificultando su identificaci\u00f3n y bloqueo.<\/p>\n
En la campa\u00f1a conocida como SmugX, se ha empleado HTML Smuggling para llevar a cabo sus ataques. La forma en que se implementa esta t\u00e9cnica en SmugX resulta en la descarga de un archivo JavaScript o ZIP malicioso. Al abrir estos documentos HTML maliciosos, se desencadena una serie de eventos que permiten la ejecuci\u00f3n de la carga \u00fatil incrustada en el c\u00f3digo.<\/p>\n
El proceso se lleva a cabo de la siguiente manera:<\/p>\n
\n- Decodificaci\u00f3n y almacenamiento de la carga \u00fatil: La carga \u00fatil maliciosa incrustada dentro del c\u00f3digo HTML se descodifica y se guarda en un “blob” de JavaScript, especificando el tipo de archivo correspondiente, como “application\/zip” en el caso de un archivo ZIP.<\/li>\n
- Creaci\u00f3n din\u00e1mica del enlace: En lugar de utilizar el elemento HTML <a>, el c\u00f3digo JavaScript crea din\u00e1micamente un enlace que apunta al archivo almacenado en el blob.<\/li>\n
- Creaci\u00f3n de un objeto URL: A continuaci\u00f3n, se crea un objeto URL utilizando la funci\u00f3n “createObjectURL” para el blob que contiene el archivo malicioso.<\/li>\n
- Configuraci\u00f3n del atributo “download”: El atributo “download” del enlace se establece con el nombre de archivo deseado, lo que permitir\u00e1 que se descargue con dicho nombre cuando el enlace sea activado.<\/li>\n
- Inicio de la descarga: Finalmente, el c\u00f3digo JavaScript invoca la acci\u00f3n de hacer clic en el enlace, lo que simula a un usuario haciendo clic en el enlace, lo que a su vez inicia la descarga del archivo malicioso.<\/li>\n<\/ol>\n
Es importante tener en cuenta que, para versiones anteriores del navegador que no soporten todas las funcionalidades requeridas para esta t\u00e9cnica, se emplea el m\u00e9todo “msSaveOrOpenBlob” para guardar el blob con el nombre de archivo deseado. Esto asegura que la t\u00e9cnica pueda ser efectiva incluso en entornos donde no se soporten todas las funcionalidades m\u00e1s modernas.<\/p>\n
El uso de HTML Smuggling en la campa\u00f1a SmugX permite a los atacantes evadir las medidas de seguridad tradicionales, lo que dificulta su detecci\u00f3n y hace que la campa\u00f1a sea m\u00e1s efectiva en su objetivo de distribuir y ejecutar archivos maliciosos. La sofisticaci\u00f3n y el sigilo de esta t\u00e9cnica subrayan la importancia de mantener las soluciones de seguridad cibern\u00e9tica actualizadas y adaptadas a las t\u00e1cticas en constante evoluci\u00f3n empleadas por los actores de amenazas.<\/p>\n
\n![\"Figura](\"https:\/\/research.checkpoint.com\/wp-content\/uploads\/2023\/07\/925N2C702S-image1.png\" "\\"\\"")
Figura 1: la implementaci\u00f3n ofuscada de HTML Smuggling.<\/figcaption><\/figure>\n<\/div>\nSe\u00f1uelos y objetivos<\/h2>\n
Los temas atractivos se centran en gran medida en las pol\u00edticas internas y externas europeas y se utilizaron principalmente para dirigirse a los ministerios gubernamentales de Europa del Este.<\/p>\n
\n\n![\"Figura](\"https:\/\/research.checkpoint.com\/wp-content\/uploads\/2023\/07\/925N2C702S-image2.png\" "\\"\\"")
Figura 2: objetivos y se\u00f1uelos de la campa\u00f1a SmugX seg\u00fan Check Point Research<\/figcaption><\/figure><\/figcaption><\/figure>\n<\/div>\nLa mayor\u00eda de los documentos ten\u00edan contenido relacionado con la diplomacia.\u00a0En m\u00e1s de un caso, el contenido estaba directamente relacionado con China.<\/p>\n
Los se\u00f1uelos subidos a VirusTotal incluyen:<\/p>\n
\n- Una carta procedente de la embajada de Serbia en Budapest.<\/li>\n
- Un documento que establece las prioridades de la Presidencia sueca del Consejo de la Uni\u00f3n Europea.<\/li>\n
- Una invitaci\u00f3n a una conferencia diplom\u00e1tica emitida por el Ministerio de Relaciones Exteriores de Hungr\u00eda.<\/li>\n
- Un art\u00edculo sobre dos abogados chinos de derechos humanos condenados a m\u00e1s de una d\u00e9cada de prisi\u00f3n.<\/li>\n<\/ul>\n
Adem\u00e1s, los nombres de los propios archivos archivados sugieren fuertemente que las v\u00edctimas previstas eran diplom\u00e1ticos y entidades gubernamentales.\u00a0Aqu\u00ed hay algunos ejemplos de los nombres que identificamos:<\/p>\n
\n- Borrador del Plan de Acci\u00f3n del Proceso de Praga_SOM_EN<\/li>\n
- 2262_3_PrepCom_Proposal_next_meeting_26_abril<\/li>\n
- Comentarios FRANCIA \u2013 Cumbre UE-CELAC \u2013 4 de mayo<\/li>\n
- 202305 Planificaci\u00f3n indicativa RELEX<\/li>\n
- China encarcela a dos abogados de derechos humanos por subversi\u00f3n<\/li>\n<\/ul>\n\n
\n![\"Figura](\"https:\/\/research.checkpoint.com\/wp-content\/uploads\/2023\/07\/925N2C702S-image3.png\" "\\"\\"")
Figura 3 \u2013 Algunos de los se\u00f1uelos utilizados en esta campa\u00f1a reconocidos por Check Point Research<\/figcaption><\/figure><\/figcaption><\/figure>\n<\/div>\nReconocimiento<\/h2>\n
Durante el curso de la presente investigaci\u00f3n, se ha descubierto un documento denominado “China Tries to Block Prominent Uyghur Speaker at UN.docx” que fue cargado en VirusTotal, un servicio de an\u00e1lisis de archivos para detectar malware y otras amenazas. Este documento emplea una t\u00e9cnica de imagen remota, conocida como seguimiento de p\u00edxeles, con el objetivo de acceder a una URL espec\u00edfica, en este caso, “https:\/\/www.jcswcd[.]com\/?wd=cqyahznz”, que contiene una imagen de un solo p\u00edxel, pr\u00e1cticamente imperceptible para el usuario.<\/p>\n
La t\u00e9cnica de seguimiento de p\u00edxeles se utiliza com\u00fanmente como una herramienta de reconocimiento y recolecci\u00f3n de informaci\u00f3n. Cuando el documento es abierto o visualizado, el c\u00f3digo del mismo solicita la carga de la imagen remota desde la URL mencionada. Es importante destacar que el usuario no es consciente de esta solicitud, ya que la imagen de un solo p\u00edxel es pr\u00e1cticamente invisible.<\/p>\n
Al solicitar la imagen remota, el servidor controlado por los atacantes registra la solicitud, recopilando informaci\u00f3n relevante del destinatario. Esta informaci\u00f3n puede incluir la direcci\u00f3n IP del usuario, el agente de usuario (informaci\u00f3n del navegador y sistema operativo utilizado), y en algunos casos, la hora en la que se accedi\u00f3 al documento. Esencialmente, los atacantes pueden rastrear y registrar datos sobre el comportamiento del destinatario, como cu\u00e1ndo y d\u00f3nde se abri\u00f3 el documento.<\/p>\n
El uso de esta t\u00e9cnica permite a los atacantes obtener una visi\u00f3n m\u00e1s detallada del comportamiento y las acciones del destinatario, lo que podr\u00eda ser utilizado para fines maliciosos, como llevar a cabo ataques m\u00e1s dirigidos o dise\u00f1ar campa\u00f1as de ingenier\u00eda social m\u00e1s efectivas. Adem\u00e1s, al recopilar informaci\u00f3n sobre la direcci\u00f3n IP y el agente de usuario, los atacantes podr\u00edan identificar vulnerabilidades espec\u00edficas del sistema del destinatario y utilizar esta informaci\u00f3n para futuros ataques dirigidos.<\/p>\n
En conclusi\u00f3n, la identificaci\u00f3n de este documento que emplea la t\u00e9cnica de seguimiento de p\u00edxeles resalta la importancia de mantener una s\u00f3lida seguridad cibern\u00e9tica y estar alerta ante posibles t\u00e9cnicas de reconocimiento utilizadas por actores de amenazas cibern\u00e9ticas. La prevenci\u00f3n y detecci\u00f3n temprana de este tipo de t\u00e1cticas son fundamentales para proteger la privacidad y seguridad de los usuarios frente a posibles intentos de ciberespionaje y ataques dirigidos.<\/p>\n![\"Figura](\"https:\/\/research.checkpoint.com\/wp-content\/uploads\/2023\/07\/925N2C702S-image4.png\" "\\"\\"")
Figura 4 \u2013 Archivo de reconocimiento.<\/figcaption><\/figure>\nCadenas de infecci\u00f3n<\/h2>\n\n\n![\"Figura](\"https:\/\/research.checkpoint.com\/wp-content\/uploads\/2023\/07\/925N2C702S-image5.png\" "\\"\\"")
Figura 5: descripci\u00f3n general de las cadenas de infecci\u00f3n de PlugX explicado por Check Point Research<\/figcaption><\/figure><\/figure>\n<\/div>\nHay dos cadenas principales de infecci\u00f3n, las cuales se originan en un archivo HTML que guarda la segunda etapa en la carpeta de descargas de acuerdo con la configuraci\u00f3n del navegador de la v\u00edctima.\u00a0La segunda etapa puede variar: una cadena utiliza un archivo ZIP que contiene un archivo LNK malicioso y la otra cadena utiliza JavaScript para descargar un archivo MSI desde un servidor remoto.<\/p>\n
Cadena de archivo SmugX<\/h3>\n
El escenario descrito revela un sofisticado ataque de ciberseguridad que emplea t\u00e9cnicas avanzadas de evasi\u00f3n para llevar a cabo la infecci\u00f3n. En este caso, el HTML ha sido utilizado para contrabandear un archivo ZIP, el cual contiene un archivo LNK malicioso. A trav\u00e9s de la ejecuci\u00f3n de PowerShell, se procede a extraer y desplegar los contenidos del archivo ZIP en la carpeta temporal del sistema.<\/p>\n
Los archivos contenidos en el ZIP malicioso son los siguientes:<\/p>\n
\n- Un ejecutable leg\u00edtimo: Este archivo, denominado “robotaskbaricon.exe” o “passwordgenerator.exe”, es utilizado como cebo para enga\u00f1ar al usuario y hacer que lo ejecute sin sospechas. Su verdadero prop\u00f3sito es descargar la carga \u00fatil maliciosa.<\/li>\n
- Un archivo DLL malicioso: El archivo “RoboForm.dll” es un componente clave del ataque. Se trata de un archivo DLL que ha sido comprometido con c\u00f3digo malicioso.<\/li>\n
- La carga \u00fatil de PlugX: Esta es la carga maliciosa principal del ataque, almacenada en el archivo “data.dat”. PlugX es un troyano de acceso remoto (RAT) que proporciona a los atacantes un control total sobre el sistema comprometido.<\/li>\n<\/ol>\n
Es importante destacar que este ataque se basa en una vulnerabilidad previa en la versi\u00f3n de RoboForm anterior a la 9.3.7 para Windows, la cual fue abordada por la empresa en una actualizaci\u00f3n lanzada el 1 de noviembre de 2022. Si los usuarios mantienen sus sistemas actualizados, estar\u00e1n protegidos contra esta vulnerabilidad espec\u00edfica.<\/p>\n
En la secuencia de comandos de PowerShell proporcionada, se lleva a cabo el proceso de extracci\u00f3n y ejecuci\u00f3n de los archivos maliciosos. Primero, se busca el archivo LNK espec\u00edfico que contiene el archivo ZIP. A continuaci\u00f3n, PowerShell extrae los datos del archivo LNK y guarda el archivo ZIP en la carpeta temporal del usuario. Luego, el contenido del ZIP es expandido y se ejecuta el ejecutable malicioso “passwordgenerator.exe”.<\/p>\n
La ejecuci\u00f3n de este ejecutable malicioso desencadena la activaci\u00f3n de la carga \u00fatil de PlugX almacenada en el archivo “data.dat”. A partir de este punto, los atacantes pueden tener un control completo y remoto sobre el sistema comprometido, lo que les permite llevar a cabo una serie de acciones maliciosas.<\/p>\n
Este tipo de ataque resalta la importancia de mantener los sistemas actualizados con las \u00faltimas actualizaciones y parches de seguridad. Adem\u00e1s, se destaca la necesidad de implementar soluciones de seguridad proactivas que puedan detectar y mitigar ataques de este tipo, as\u00ed como de educar a los usuarios sobre las pr\u00e1cticas seguras de navegaci\u00f3n y manejo de archivos para evitar ser v\u00edctimas de ciberataques sofisticados.<\/p>\n
Cadena JavaScript SmugX<\/h3>\n
En el segundo escenario, se emplea la t\u00e9cnica de contrabando HTML (HTML Smuggling) para descargar un archivo JavaScript. Una vez ejecutado este archivo, se procede a la descarga y ejecuci\u00f3n de un archivo MSI desde el servidor controlado por los atacantes.<\/p>\n
El archivo MSI descargado crea una nueva carpeta dentro del directorio “%appdata%\\Local”, en la cual se almacenan tres archivos que han sido extra\u00eddos del paquete MSI. Estos archivos consisten en:<\/p>\n
\n- Un ejecutable leg\u00edtimo secuestrado: Este archivo es un programa leg\u00edtimo que ha sido comprometido por los atacantes para llevar a cabo actividades maliciosas. La ejecuci\u00f3n de este ejecutable proporciona una fachada leg\u00edtima para las acciones maliciosas realizadas en el sistema comprometido.<\/li>\n
- La DLL del cargador: Esta DLL es un componente clave utilizado por los atacantes para cargar y ejecutar la carga \u00fatil maliciosa. La DLL act\u00faa como un intermediario entre la carga \u00fatil y el sistema comprometido, facilitando su ejecuci\u00f3n y evitando la detecci\u00f3n.<\/li>\n
- La carga \u00fatil cifrada: Esta carga \u00fatil, como se ha mencionado anteriormente, est\u00e1 cifrada para ocultar su contenido y el prop\u00f3sito malicioso que tiene. Una vez descifrada y ejecutada, la carga \u00fatil puede llevar a cabo diversas acciones maliciosas en el sistema comprometido.<\/li>\n<\/ol>\n
Es importante tener en cuenta que este escenario aprovecha la t\u00e9cnica de contrabando HTML para evadir las medidas de seguridad y lograr la descarga y ejecuci\u00f3n de los archivos maliciosos. La ubicaci\u00f3n espec\u00edfica donde se almacenan los archivos extra\u00eddos del paquete MSI en la carpeta “%appdata%\\Local” es una estrategia utilizada por los atacantes para ocultar su presencia y dificultar su detecci\u00f3n.<\/p>\n
Para protegerse contra este tipo de ataque, es esencial contar con soluciones de seguridad actualizadas que puedan detectar y bloquear la descarga y ejecuci\u00f3n de archivos maliciosos. Adem\u00e1s, mantener los sistemas y las aplicaciones actualizados con los \u00faltimos parches de seguridad ayuda a mitigar las vulnerabilidades que los atacantes pueden explotar. La concientizaci\u00f3n y la educaci\u00f3n en pr\u00e1cticas de seguridad cibern\u00e9tica tambi\u00e9n son fundamentales para que los usuarios puedan identificar y evitar situaciones de riesgo.<\/p>\n
Cargador<\/h3>\n
Como se observ\u00f3 en instancias anteriores, el malware PlugX emplea t\u00e9cnicas de carga lateral de DLL.\u00a0Despu\u00e9s de que el archivo lnk o MSI elimina los archivos necesarios, desencadena la ejecuci\u00f3n de un programa leg\u00edtimo, que a su vez carga la DLL maliciosa.\u00a0La DLL es responsable de descifrar la carga \u00fatil final, que a menudo se almacena en un archivo denominado\u00a0\u00a0data.dat<\/code>\u00a0con cifrado RC4.<\/p>\nEl proceso de descifrado utiliza una clave codificada que var\u00eda seg\u00fan las diferentes versiones del malware.\u00a0Una vez descifrado, la carga \u00fatil se carga en la memoria para su posterior ejecuci\u00f3n.<\/p>\n![\"Figura](\"https:\/\/research.checkpoint.com\/wp-content\/uploads\/2023\/07\/925N2C702S-image6.png\" "\\"\\"")
Figura 6: el cargador carga y descifra la carga \u00fatil en la memoria usando la clave resaltada.<\/figcaption><\/figure>\nEl malware PlugX, utilizado en esta campa\u00f1a de amenazas, es una herramienta de acceso remoto (RAT) que ha sido empleado por varios actores de amenazas chinos desde 2008. Este malware est\u00e1 dise\u00f1ado con una arquitectura modular que permite la incorporaci\u00f3n de diferentes complementos con funcionalidades diversas. Esto brinda a los atacantes la capacidad de llevar a cabo una amplia gama de actividades maliciosas en los sistemas comprometidos, como robo de archivos, capturas de pantalla, registro de pulsaciones de teclas y ejecuci\u00f3n de comandos.<\/p>\n
Para asegurar su persistencia en el sistema comprometido, la carga \u00fatil de PlugX realiza copias del programa leg\u00edtimo y la DLL y los almacena en un directorio oculto que crea. La carga \u00fatil cifrada se guarda en una carpeta oculta separada. Adem\u00e1s, el malware logra mantener su persistencia a\u00f1adiendo una entrada en la clave de registro “Run”.<\/p>\n
En algunas de las variantes de PlugX que hemos encontrado durante esta investigaci\u00f3n, se observa que se genera un se\u00f1uelo enga\u00f1oso en forma de archivo PDF en el directorio “%temp%” que posteriormente se abre. La ruta de este documento se almacena dentro de la configuraci\u00f3n de PlugX bajo el campo “document_name”. Es importante destacar que solo unas pocas muestras de esta campa\u00f1a incluyeron este campo; la mayor\u00eda carec\u00eda de \u00e9l.<\/p>\n
Despu\u00e9s de la ejecuci\u00f3n inicial que establece la persistencia y copia los archivos de malware en sus respectivos directorios, el malware se ejecuta solo una vez m\u00e1s.<\/p>\n
En esta ocasi\u00f3n, se proporciona un par\u00e1metro que indica que solo debe comunicarse con el servidor de comando y control (C&C). Un cambio significativo que hemos observado en las muestras de esta campa\u00f1a es el uso cada vez m\u00e1s frecuente del cifrado RC4 en comparaci\u00f3n con el simple descifrado XOR que se hab\u00eda visto en versiones anteriores.<\/p>\n
La configuraci\u00f3n cifrada a\u00fan se encuentra en la secci\u00f3n de datos, pero ahora se antepone una clave al comienzo de la configuraci\u00f3n en lugar de ubicarse en la funci\u00f3n de descifrado, como se hac\u00eda en ejemplos anteriores.<\/p>\n
Durante nuestra investigaci\u00f3n de las muestras, el actor de amenazas envi\u00f3 un script por lotes, enviado desde el servidor de C&C, con el prop\u00f3sito de eliminar cualquier rastro de sus actividades.<\/p>\n
Este script, denominado “del_RoboTask Update.bat”, elimina el ejecutable leg\u00edtimo, la DLL del cargador de PlugX y la clave de registro utilizada para la persistencia. Finalmente, el script se borra a s\u00ed mismo.<\/p>\n
Es probable que esto se deba a que los actores de amenazas se percataron de que estaban bajo escrutinio y trataron de eliminar las evidencias de su presencia.<\/p>\n
Atribuci\u00f3n<\/h2>\n
Esta campa\u00f1a comparte similitudes significativas con la actividad atribuida por otros proveedores de seguridad a RedDelta o Mustang Panda (en este contexto, vale la pena se\u00f1alar que RedDelta y Mustang Panda est\u00e1n correlacionados hasta cierto punto y, en algunos casos, se usan para describir la misma actividad):<\/p>\n
\n- Infraestructura<\/strong>\u00a0\u00a0: durante nuestra investigaci\u00f3n, encontramos un certificado distintivo en el servidor C&C con la direcci\u00f3n IP\u00a0\u00a0
62.233.57[.]136<\/code>.\u00a0Cabe destacar que el nombre com\u00fan dentro de este certificado apunta a otra direcci\u00f3n IP,\u00a0\u00a045.134.83[.]29<\/code>un indicador previamente\u00a0\u00a0asociado<\/a>\u00a0\u00a0con RedDelta.
\nVale la pena mencionar que se hizo\u00a0\u00a0referencia<\/a>\u00a0al mismo certificado \u00a0en otra investigaci\u00f3n sobre Mustang Panda, lo que fortaleci\u00f3 a\u00fan m\u00e1s el v\u00ednculo entre SmugX y las actividades observadas anteriormente.<\/li>\n<\/ul>\n\n![\"Figura](\"https:\/\/research.checkpoint.com\/wp-content\/uploads\/2023\/07\/925N2C702S-image8.png\" "\\"\\"")
Figura 8: el certificado que se encuentra en el servidor C&C.<\/figcaption><\/figure>\n<\/div>\n\n- Rutas<\/strong>\u00a0\u00a0: algunas de las rutas utilizadas para implementar PlugX son \u00fanicas y se observaron en las campa\u00f1as descritas anteriormente.\u00a0Los caminos \u00fanicos que observamos incluyen:\n
\n- C:\\Users\\Public\\VirtualFile<\/li>\n
- C:\\Usuarios\\P\u00fablico\\SamsungDriver<\/li>\n
- C:\\Usuarios\\P\u00fablico\\SecurityScan<\/li>\n<\/ul>\n<\/li>\n
- Orientaci\u00f3n<\/strong>\u00a0\u00a0: adem\u00e1s de la evidencia t\u00e9cnica, la victimolog\u00eda y las t\u00e1cticas de se\u00f1uelo empleadas en la campa\u00f1a SmugX est\u00e1n altamente correlacionadas con las descritas en los informes de RedDelta y Mustang Panda de otros proveedores.<\/li>\n<\/ul>\n
Recientemente\u00a0\u00a0publicamos<\/a>\u00a0\u00a0una serie de art\u00edculos sobre un actor de amenazas que hemos estado rastreando llamado Camaro Dragon, cuya actividad se superpone con Mustang Panda y RedDelta.<\/p>\nSin embargo, no hay evidencia suficiente para vincular esta campa\u00f1a actual directamente con Camaro Dragon y, por lo tanto, la est\u00e1n rastreando como la campa\u00f1a SmugX.<\/p>\n
Conclusi\u00f3n<\/h2>\n
En este informe, analizamos una campa\u00f1a reciente que se correlaciona con las actividades de RedDelta y se superpone hasta cierto punto con Mustang Panda, destacando su orientaci\u00f3n persistente a las entidades gubernamentales europeas.<\/p>\n![\"Check](\"https:\/\/itconnect.lat\/portal\/wp-content\/uploads\/2023\/07\/Check-Point-Research-da-visibilidad-a-una-nueva-campana-de-origen-chino-e1688402120670.webp\" "\\"\\"")
<\/a>Check Point Research, da visibilidad a una nueva campa\u00f1a de origen chino<\/figcaption><\/figure>\nIdentificamos m\u00faltiples cadenas de infecci\u00f3n que emplean la t\u00e9cnica de contrabando de HTML que lleva al despliegue de la carga \u00fatil de PlugX.<\/p>\n
La campa\u00f1a, llamada SmugX, es parte de una tendencia m\u00e1s amplia que estamos viendo de los actores de amenazas chinos que cambian su enfoque a Europa.<\/p>\n
Si bien ninguna de las t\u00e9cnicas observadas en esta campa\u00f1a es nueva o \u00fanica, la combinaci\u00f3n de las diferentes t\u00e1cticas y la variedad de cadenas de infecci\u00f3n que resultaron en bajas tasas de detecci\u00f3n permitieron que los actores de amenazas permanecieran bajo el radar durante bastante tiempo.<\/p>\n
En cuanto a PlugX, tambi\u00e9n se mantuvo pr\u00e1cticamente sin cambios con respecto a apariciones anteriores, aunque un nuevo aspecto observado es la adopci\u00f3n del cifrado RC4 de la carga \u00fatil, que es una desviaci\u00f3n del cifrado XOR utilizado anteriormente.<\/p>\n
Los clientes de Check Point Software permanecen protegidos contra la amenaza descrita en esta investigaci\u00f3n.<\/h2>\n
Check Point\u00a0\u00a0Threat Emulation<\/u><\/a>\u00a0\u00a0y\u00a0\u00a0Harmony Endpoint<\/a>\u00a0\u00a0brindan una cobertura integral de t\u00e1cticas de ataque, tipos de archivos y sistemas operativos y brindan protecci\u00f3n contra el tipo de ataques y amenazas que se describen en este informe.<\/p>\nEmulaci\u00f3n de amenazas de Check Point:<\/p>\n
\n- APT.Gana.MustangPanda.AP<\/li>\n<\/ul>\n
Punto final de armon\u00eda:<\/p>\n
\n- APT.Win.PlugX.O<\/li>\n
- APT.Win.PlugX.Q<\/li>\n
- APT.Win.PlugX.R<\/li>\n<\/ul>\n
COI<\/h2>\nHach\u00eds<\/h3>\n
HTML<\/strong><\/p>\n\n- edb5d4b454b6c7d3abecd6de7099e05575b8f28bb09dfc364e45ce8c16a34fcd<\/li>\n
- 736451c2593bc1601c52b45c16ad8fd1aec56f868eb3bba333183723dea805af<\/li>\n
- 0e4b81e04ca77762be2afb8bd451abb2ff46d2831028cde1c5d0ec45199f01a1<\/li>\n
- 989ede1df02e4d9620f6caf75a88a11791d156f62fdea4258e12d972df76bc05<\/li>\n
- 10cad59ea2a566597d933b1e8ba929af0b4c7af85481eacaab708ef4ddf6e0ee<\/li>\n
- c96723a68fc939c835578ff746f7d4c5371cb82a9c0dffe360bb656acea4d6e1<\/li>\n
- 9ce5abd02d397689d99f62dfbd2a6a396876c6629cb5db453f1dcbbc3465ac9a<\/li>\n<\/ul>\n
Archivo<\/strong><\/p>\n\n- 5f751fb287db51f79bb6df2e330a53b6d80ef3d2af93f09bb786b62e613514db<\/li>\n
- baca1159acc715545a787d522950117eae5b7dc65efacfe86383f62e6b9b59d3<\/li>\n
- 720a70ca6ee1fbaf06c7cb60d14e27391130407e34e13a092d19f1df2c9c6d05<\/li>\n
- 460c459db77c5625ed1c029b2dd6c6eae5e631b81a169494fb0182d550769f76<\/li>\n
- 277390cc50e00f52e76a6562e6e699b0345497bd1df26c7c41bd56da5b6d1347<\/li>\n<\/ul>\n
JavaScripts<\/strong><\/p>\n\n- 3c6ace055527877778d989f469a5a70eb5ef7700375b850f0b1b8414151105ee<\/li>\n
- 27a61653ce4e503334413cf80809647ce5dca02ff4aea63fb3a39bc62c9c258c<\/li>\n
- ce308b538ff3a0be0dbcee753db7e556a54b4aeddbddd0c03db7126b08911fe2<\/li>\n<\/ul>\n
MSI<\/strong><\/p>\n\n- fd0711a50c8af1dbc5c7ba42b894b2af8a2b03dd7544d20f5a887c93b9834429<\/li>\n
- 3489955d23e66d6f34b3ada70b4d228547dbb3ccb0f6c7282553cbbsordo168cb<\/li>\n
- 04b99518502774deb4a9d9cf6b54d43ff8f333d8ec5b4b230c0e995542bb2c61<\/li>\n
- bd3881964e351a7691bfc7e997e8a2c8ce4a8e26b79e3712d0cbdc484a5646b6<\/li>\n
- ea2869424df2ffbb113017d95ae48ae8ed9897280fd21b26e046c75b3e43b25a<\/li>\n<\/ul>\n
RoboForm.dll<\/strong><\/p>\n\n- b00c252a60171f33e32e64891ffe826b8a45f8816acf778838d788897213a405<\/li>\n
- 2bc30ced135acd6a506cfb557734407f21b70fecd2f645c5b938e14199b24f1e<\/li>\n
- 0d13a503d86a6450f71408eb82a196718324465744bf6b8c4e0a780fd5be40c0<\/li>\n
- 0bdfb922a39103658195d1d37ff584d24f7bd88464e7a119e86d6e3579958cc1<\/li>\n
- a0879dd439c7f1ed520aad0c309fe1dbf1a2fc41e2468f4174489a0ec56c47c7<\/li>\n
- bddbc529f23ab6b865bc750508403ef57c8cf77284d613d030949bd37078d880<\/li>\n
- 4547914e17c127d9b53bbc9d44de0e5b867f1a86d2e5ede828cd3188ed7fe838<\/li>\n
- 0032d5430f1b5fcfb6a380b4f1d226b6b919f2677340503f04df04235409b2d0<\/li>\n<\/ul>\n
Carga \u00fatil cifrada<\/strong><\/p>\n\n- 62c2e246855d589eb1ec37a9f3bcc0b6f3ba9946532aff8a39a4dc9d3a93f42c<\/li>\n
- f7d35cb95256513c07c262d4b03603e073e58eb4cd5fa9aac1e04ecc6e870d42<\/li>\n
- bf4f8a5f75e9e5ecd752baa73abddd37b014728722ac3d74b82bffa625bf09b5<\/li>\n
- 8a6ef9aa3f0762b03f983a1e53e8c731247273aafa410ed884ecd4c4e02c7db8<\/li>\n
- ec3e491a831b4057fc0e2ebe9f43c32f1f07959b6430b323d35d6d409d2b31e4<\/li>\n
- bf8e512921522e49d16c638dc8d01bd0a2803a4ef019afbfc2f0941875019ea1<\/li>\n
- ba55542c6fa12865633d6d24f4a81bffd512791a6e0a9b77f6b17a53e2216659<\/li>\n<\/ul>\n
Carga \u00fatil descifrada<\/strong><\/p>\n\n- 8ea34b85dd4fb64f7e6591e4f1c24763fc3421caa7c0f0d8350c67b9bafa4d32<\/li>\n
- 8cac6dfb2a894ff3f530c29e79dcd37810b4628279b9570a34f7e22bd4d416b3<\/li>\n
- ea5825fa1f39587a88882e87064caae9dd3b79f02438dc3a229c5b775b530c7d<\/li>\n
- 1acb061ce63ee8ee172fbdf518bd261ef2c46d818ffd4b1614db6ce3daa5a885<\/li>\n
- 08661f40f40371fc8a49380ad3d57521f9d0c2aa322ae4b0a684b27e637aed12<\/li>\n
- 324bfb2f414be221e24aaa9fb22cb49e4d4c0904bd7c203afdff158ba63fe35b<\/li>\n<\/ul>\n
IP y dominios<\/h3>\n\n- 45.90.58[.]69<\/li>\n
- 62.233.57[.]136<\/li>\n
- 217.12.207[.]164<\/li>\n
- 152.152.12[.]12<\/li>\n
- jcswcd[.]com<\/li>\n
- newsmailnet[.]com<\/li>\n<\/ul>\n
Caminos<\/h3>\n\n- C:\\Usuarios\\<nombre de usuario>\\Archivo virtual<\/li>\n
- C:\\Users\\Public\\VirtualFile<\/li>\n
- C:\\Usuarios\\<nombre de usuario>\\SamsungDriver<\/li>\n
- C:\\Usuarios\\P\u00fablico\\SamsungDriver<\/li>\n
- C:\\Usuarios\\P\u00fablico\\SecurityScan<\/li>\n<\/ul>\n
Por Marcelo Lozano – General Publisher IT CONNECT LATAM<\/p>\n
Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research,\u00a0<\/span><\/p>\nLea m\u00e1s sobre ciberseguridad en;<\/p>\n
Zero Trust: 5 Beneficios y Desaf\u00edos en Seguridad y Experiencia del Usuario<\/a><\/p>\nSOC 2 Tipo 2 \u2013 Control de Organizaci\u00f3n de Servicios: Kaspersky super\u00f3 la auditor\u00eda<\/a><\/p>\nVANGUARD PANDA: usan webshells y biblioteca de Tomcat con 1 backdoor<\/a><\/p>\n
Contrabando HTML 101<\/h2>\n
El contrabando de HTML es una t\u00e9cnica bien documentada y ampliamente utilizada por ciberdelincuentes y actores patrocinados por el estado por igual. Esta t\u00e9cnica se utiliza para incrustar archivos maliciosos dentro de documentos HTML, lo que les permite evadir las medidas de detecci\u00f3n basadas en la red, dificultando su identificaci\u00f3n y bloqueo.<\/p>\n
En la campa\u00f1a conocida como SmugX, se ha empleado HTML Smuggling para llevar a cabo sus ataques. La forma en que se implementa esta t\u00e9cnica en SmugX resulta en la descarga de un archivo JavaScript o ZIP malicioso. Al abrir estos documentos HTML maliciosos, se desencadena una serie de eventos que permiten la ejecuci\u00f3n de la carga \u00fatil incrustada en el c\u00f3digo.<\/p>\n
El proceso se lleva a cabo de la siguiente manera:<\/p>\n
- \n
- Decodificaci\u00f3n y almacenamiento de la carga \u00fatil: La carga \u00fatil maliciosa incrustada dentro del c\u00f3digo HTML se descodifica y se guarda en un “blob” de JavaScript, especificando el tipo de archivo correspondiente, como “application\/zip” en el caso de un archivo ZIP.<\/li>\n
- Creaci\u00f3n din\u00e1mica del enlace: En lugar de utilizar el elemento HTML <a>, el c\u00f3digo JavaScript crea din\u00e1micamente un enlace que apunta al archivo almacenado en el blob.<\/li>\n
- Creaci\u00f3n de un objeto URL: A continuaci\u00f3n, se crea un objeto URL utilizando la funci\u00f3n “createObjectURL” para el blob que contiene el archivo malicioso.<\/li>\n
- Configuraci\u00f3n del atributo “download”: El atributo “download” del enlace se establece con el nombre de archivo deseado, lo que permitir\u00e1 que se descargue con dicho nombre cuando el enlace sea activado.<\/li>\n
- Inicio de la descarga: Finalmente, el c\u00f3digo JavaScript invoca la acci\u00f3n de hacer clic en el enlace, lo que simula a un usuario haciendo clic en el enlace, lo que a su vez inicia la descarga del archivo malicioso.<\/li>\n<\/ol>\n
Es importante tener en cuenta que, para versiones anteriores del navegador que no soporten todas las funcionalidades requeridas para esta t\u00e9cnica, se emplea el m\u00e9todo “msSaveOrOpenBlob” para guardar el blob con el nombre de archivo deseado. Esto asegura que la t\u00e9cnica pueda ser efectiva incluso en entornos donde no se soporten todas las funcionalidades m\u00e1s modernas.<\/p>\n
El uso de HTML Smuggling en la campa\u00f1a SmugX permite a los atacantes evadir las medidas de seguridad tradicionales, lo que dificulta su detecci\u00f3n y hace que la campa\u00f1a sea m\u00e1s efectiva en su objetivo de distribuir y ejecutar archivos maliciosos. La sofisticaci\u00f3n y el sigilo de esta t\u00e9cnica subrayan la importancia de mantener las soluciones de seguridad cibern\u00e9tica actualizadas y adaptadas a las t\u00e1cticas en constante evoluci\u00f3n empleadas por los actores de amenazas.<\/p>\n
\nFigura 1: la implementaci\u00f3n ofuscada de HTML Smuggling.<\/figcaption><\/figure>\n<\/div>\n Se\u00f1uelos y objetivos<\/h2>\n
Los temas atractivos se centran en gran medida en las pol\u00edticas internas y externas europeas y se utilizaron principalmente para dirigirse a los ministerios gubernamentales de Europa del Este.<\/p>\n
\n\n Figura 2: objetivos y se\u00f1uelos de la campa\u00f1a SmugX seg\u00fan Check Point Research<\/figcaption><\/figure> <\/figcaption><\/figure>\n<\/div>\n La mayor\u00eda de los documentos ten\u00edan contenido relacionado con la diplomacia.\u00a0En m\u00e1s de un caso, el contenido estaba directamente relacionado con China.<\/p>\n
Los se\u00f1uelos subidos a VirusTotal incluyen:<\/p>\n
- \n
- Una carta procedente de la embajada de Serbia en Budapest.<\/li>\n
- Un documento que establece las prioridades de la Presidencia sueca del Consejo de la Uni\u00f3n Europea.<\/li>\n
- Una invitaci\u00f3n a una conferencia diplom\u00e1tica emitida por el Ministerio de Relaciones Exteriores de Hungr\u00eda.<\/li>\n
- Un art\u00edculo sobre dos abogados chinos de derechos humanos condenados a m\u00e1s de una d\u00e9cada de prisi\u00f3n.<\/li>\n<\/ul>\n
Adem\u00e1s, los nombres de los propios archivos archivados sugieren fuertemente que las v\u00edctimas previstas eran diplom\u00e1ticos y entidades gubernamentales.\u00a0Aqu\u00ed hay algunos ejemplos de los nombres que identificamos:<\/p>\n
- \n
- Borrador del Plan de Acci\u00f3n del Proceso de Praga_SOM_EN<\/li>\n
- 2262_3_PrepCom_Proposal_next_meeting_26_abril<\/li>\n
- Comentarios FRANCIA \u2013 Cumbre UE-CELAC \u2013 4 de mayo<\/li>\n
- 202305 Planificaci\u00f3n indicativa RELEX<\/li>\n
- China encarcela a dos abogados de derechos humanos por subversi\u00f3n<\/li>\n<\/ul>\n\n
\n Figura 3 \u2013 Algunos de los se\u00f1uelos utilizados en esta campa\u00f1a reconocidos por Check Point Research<\/figcaption><\/figure> <\/figcaption><\/figure>\n<\/div>\n Reconocimiento<\/h2>\n
Durante el curso de la presente investigaci\u00f3n, se ha descubierto un documento denominado “China Tries to Block Prominent Uyghur Speaker at UN.docx” que fue cargado en VirusTotal, un servicio de an\u00e1lisis de archivos para detectar malware y otras amenazas. Este documento emplea una t\u00e9cnica de imagen remota, conocida como seguimiento de p\u00edxeles, con el objetivo de acceder a una URL espec\u00edfica, en este caso, “https:\/\/www.jcswcd[.]com\/?wd=cqyahznz”, que contiene una imagen de un solo p\u00edxel, pr\u00e1cticamente imperceptible para el usuario.<\/p>\n
La t\u00e9cnica de seguimiento de p\u00edxeles se utiliza com\u00fanmente como una herramienta de reconocimiento y recolecci\u00f3n de informaci\u00f3n. Cuando el documento es abierto o visualizado, el c\u00f3digo del mismo solicita la carga de la imagen remota desde la URL mencionada. Es importante destacar que el usuario no es consciente de esta solicitud, ya que la imagen de un solo p\u00edxel es pr\u00e1cticamente invisible.<\/p>\n
Al solicitar la imagen remota, el servidor controlado por los atacantes registra la solicitud, recopilando informaci\u00f3n relevante del destinatario. Esta informaci\u00f3n puede incluir la direcci\u00f3n IP del usuario, el agente de usuario (informaci\u00f3n del navegador y sistema operativo utilizado), y en algunos casos, la hora en la que se accedi\u00f3 al documento. Esencialmente, los atacantes pueden rastrear y registrar datos sobre el comportamiento del destinatario, como cu\u00e1ndo y d\u00f3nde se abri\u00f3 el documento.<\/p>\n
El uso de esta t\u00e9cnica permite a los atacantes obtener una visi\u00f3n m\u00e1s detallada del comportamiento y las acciones del destinatario, lo que podr\u00eda ser utilizado para fines maliciosos, como llevar a cabo ataques m\u00e1s dirigidos o dise\u00f1ar campa\u00f1as de ingenier\u00eda social m\u00e1s efectivas. Adem\u00e1s, al recopilar informaci\u00f3n sobre la direcci\u00f3n IP y el agente de usuario, los atacantes podr\u00edan identificar vulnerabilidades espec\u00edficas del sistema del destinatario y utilizar esta informaci\u00f3n para futuros ataques dirigidos.<\/p>\n
En conclusi\u00f3n, la identificaci\u00f3n de este documento que emplea la t\u00e9cnica de seguimiento de p\u00edxeles resalta la importancia de mantener una s\u00f3lida seguridad cibern\u00e9tica y estar alerta ante posibles t\u00e9cnicas de reconocimiento utilizadas por actores de amenazas cibern\u00e9ticas. La prevenci\u00f3n y detecci\u00f3n temprana de este tipo de t\u00e1cticas son fundamentales para proteger la privacidad y seguridad de los usuarios frente a posibles intentos de ciberespionaje y ataques dirigidos.<\/p>\n
Figura 4 \u2013 Archivo de reconocimiento.<\/figcaption><\/figure>\n Cadenas de infecci\u00f3n<\/h2>\n
\n\n Figura 5: descripci\u00f3n general de las cadenas de infecci\u00f3n de PlugX explicado por Check Point Research<\/figcaption><\/figure><\/figure>\n<\/div>\n Hay dos cadenas principales de infecci\u00f3n, las cuales se originan en un archivo HTML que guarda la segunda etapa en la carpeta de descargas de acuerdo con la configuraci\u00f3n del navegador de la v\u00edctima.\u00a0La segunda etapa puede variar: una cadena utiliza un archivo ZIP que contiene un archivo LNK malicioso y la otra cadena utiliza JavaScript para descargar un archivo MSI desde un servidor remoto.<\/p>\n
Cadena de archivo SmugX<\/h3>\n
El escenario descrito revela un sofisticado ataque de ciberseguridad que emplea t\u00e9cnicas avanzadas de evasi\u00f3n para llevar a cabo la infecci\u00f3n. En este caso, el HTML ha sido utilizado para contrabandear un archivo ZIP, el cual contiene un archivo LNK malicioso. A trav\u00e9s de la ejecuci\u00f3n de PowerShell, se procede a extraer y desplegar los contenidos del archivo ZIP en la carpeta temporal del sistema.<\/p>\n
Los archivos contenidos en el ZIP malicioso son los siguientes:<\/p>\n
- \n
- Un ejecutable leg\u00edtimo: Este archivo, denominado “robotaskbaricon.exe” o “passwordgenerator.exe”, es utilizado como cebo para enga\u00f1ar al usuario y hacer que lo ejecute sin sospechas. Su verdadero prop\u00f3sito es descargar la carga \u00fatil maliciosa.<\/li>\n
- Un archivo DLL malicioso: El archivo “RoboForm.dll” es un componente clave del ataque. Se trata de un archivo DLL que ha sido comprometido con c\u00f3digo malicioso.<\/li>\n
- La carga \u00fatil de PlugX: Esta es la carga maliciosa principal del ataque, almacenada en el archivo “data.dat”. PlugX es un troyano de acceso remoto (RAT) que proporciona a los atacantes un control total sobre el sistema comprometido.<\/li>\n<\/ol>\n
Es importante destacar que este ataque se basa en una vulnerabilidad previa en la versi\u00f3n de RoboForm anterior a la 9.3.7 para Windows, la cual fue abordada por la empresa en una actualizaci\u00f3n lanzada el 1 de noviembre de 2022. Si los usuarios mantienen sus sistemas actualizados, estar\u00e1n protegidos contra esta vulnerabilidad espec\u00edfica.<\/p>\n
En la secuencia de comandos de PowerShell proporcionada, se lleva a cabo el proceso de extracci\u00f3n y ejecuci\u00f3n de los archivos maliciosos. Primero, se busca el archivo LNK espec\u00edfico que contiene el archivo ZIP. A continuaci\u00f3n, PowerShell extrae los datos del archivo LNK y guarda el archivo ZIP en la carpeta temporal del usuario. Luego, el contenido del ZIP es expandido y se ejecuta el ejecutable malicioso “passwordgenerator.exe”.<\/p>\n
La ejecuci\u00f3n de este ejecutable malicioso desencadena la activaci\u00f3n de la carga \u00fatil de PlugX almacenada en el archivo “data.dat”. A partir de este punto, los atacantes pueden tener un control completo y remoto sobre el sistema comprometido, lo que les permite llevar a cabo una serie de acciones maliciosas.<\/p>\n
Este tipo de ataque resalta la importancia de mantener los sistemas actualizados con las \u00faltimas actualizaciones y parches de seguridad. Adem\u00e1s, se destaca la necesidad de implementar soluciones de seguridad proactivas que puedan detectar y mitigar ataques de este tipo, as\u00ed como de educar a los usuarios sobre las pr\u00e1cticas seguras de navegaci\u00f3n y manejo de archivos para evitar ser v\u00edctimas de ciberataques sofisticados.<\/p>\n
Cadena JavaScript SmugX<\/h3>\n
En el segundo escenario, se emplea la t\u00e9cnica de contrabando HTML (HTML Smuggling) para descargar un archivo JavaScript. Una vez ejecutado este archivo, se procede a la descarga y ejecuci\u00f3n de un archivo MSI desde el servidor controlado por los atacantes.<\/p>\n
El archivo MSI descargado crea una nueva carpeta dentro del directorio “%appdata%\\Local”, en la cual se almacenan tres archivos que han sido extra\u00eddos del paquete MSI. Estos archivos consisten en:<\/p>\n
- \n
- Un ejecutable leg\u00edtimo secuestrado: Este archivo es un programa leg\u00edtimo que ha sido comprometido por los atacantes para llevar a cabo actividades maliciosas. La ejecuci\u00f3n de este ejecutable proporciona una fachada leg\u00edtima para las acciones maliciosas realizadas en el sistema comprometido.<\/li>\n
- La DLL del cargador: Esta DLL es un componente clave utilizado por los atacantes para cargar y ejecutar la carga \u00fatil maliciosa. La DLL act\u00faa como un intermediario entre la carga \u00fatil y el sistema comprometido, facilitando su ejecuci\u00f3n y evitando la detecci\u00f3n.<\/li>\n
- La carga \u00fatil cifrada: Esta carga \u00fatil, como se ha mencionado anteriormente, est\u00e1 cifrada para ocultar su contenido y el prop\u00f3sito malicioso que tiene. Una vez descifrada y ejecutada, la carga \u00fatil puede llevar a cabo diversas acciones maliciosas en el sistema comprometido.<\/li>\n<\/ol>\n
Es importante tener en cuenta que este escenario aprovecha la t\u00e9cnica de contrabando HTML para evadir las medidas de seguridad y lograr la descarga y ejecuci\u00f3n de los archivos maliciosos. La ubicaci\u00f3n espec\u00edfica donde se almacenan los archivos extra\u00eddos del paquete MSI en la carpeta “%appdata%\\Local” es una estrategia utilizada por los atacantes para ocultar su presencia y dificultar su detecci\u00f3n.<\/p>\n
Para protegerse contra este tipo de ataque, es esencial contar con soluciones de seguridad actualizadas que puedan detectar y bloquear la descarga y ejecuci\u00f3n de archivos maliciosos. Adem\u00e1s, mantener los sistemas y las aplicaciones actualizados con los \u00faltimos parches de seguridad ayuda a mitigar las vulnerabilidades que los atacantes pueden explotar. La concientizaci\u00f3n y la educaci\u00f3n en pr\u00e1cticas de seguridad cibern\u00e9tica tambi\u00e9n son fundamentales para que los usuarios puedan identificar y evitar situaciones de riesgo.<\/p>\n
Cargador<\/h3>\n
Como se observ\u00f3 en instancias anteriores, el malware PlugX emplea t\u00e9cnicas de carga lateral de DLL.\u00a0Despu\u00e9s de que el archivo lnk o MSI elimina los archivos necesarios, desencadena la ejecuci\u00f3n de un programa leg\u00edtimo, que a su vez carga la DLL maliciosa.\u00a0La DLL es responsable de descifrar la carga \u00fatil final, que a menudo se almacena en un archivo denominado\u00a0\u00a0
data.dat<\/code>\u00a0con cifrado RC4.<\/p>\nEl proceso de descifrado utiliza una clave codificada que var\u00eda seg\u00fan las diferentes versiones del malware.\u00a0Una vez descifrado, la carga \u00fatil se carga en la memoria para su posterior ejecuci\u00f3n.<\/p>\n
Figura 6: el cargador carga y descifra la carga \u00fatil en la memoria usando la clave resaltada.<\/figcaption><\/figure>\n El malware PlugX, utilizado en esta campa\u00f1a de amenazas, es una herramienta de acceso remoto (RAT) que ha sido empleado por varios actores de amenazas chinos desde 2008. Este malware est\u00e1 dise\u00f1ado con una arquitectura modular que permite la incorporaci\u00f3n de diferentes complementos con funcionalidades diversas. Esto brinda a los atacantes la capacidad de llevar a cabo una amplia gama de actividades maliciosas en los sistemas comprometidos, como robo de archivos, capturas de pantalla, registro de pulsaciones de teclas y ejecuci\u00f3n de comandos.<\/p>\n
Para asegurar su persistencia en el sistema comprometido, la carga \u00fatil de PlugX realiza copias del programa leg\u00edtimo y la DLL y los almacena en un directorio oculto que crea. La carga \u00fatil cifrada se guarda en una carpeta oculta separada. Adem\u00e1s, el malware logra mantener su persistencia a\u00f1adiendo una entrada en la clave de registro “Run”.<\/p>\n
En algunas de las variantes de PlugX que hemos encontrado durante esta investigaci\u00f3n, se observa que se genera un se\u00f1uelo enga\u00f1oso en forma de archivo PDF en el directorio “%temp%” que posteriormente se abre. La ruta de este documento se almacena dentro de la configuraci\u00f3n de PlugX bajo el campo “document_name”. Es importante destacar que solo unas pocas muestras de esta campa\u00f1a incluyeron este campo; la mayor\u00eda carec\u00eda de \u00e9l.<\/p>\n
Despu\u00e9s de la ejecuci\u00f3n inicial que establece la persistencia y copia los archivos de malware en sus respectivos directorios, el malware se ejecuta solo una vez m\u00e1s.<\/p>\n
En esta ocasi\u00f3n, se proporciona un par\u00e1metro que indica que solo debe comunicarse con el servidor de comando y control (C&C). Un cambio significativo que hemos observado en las muestras de esta campa\u00f1a es el uso cada vez m\u00e1s frecuente del cifrado RC4 en comparaci\u00f3n con el simple descifrado XOR que se hab\u00eda visto en versiones anteriores.<\/p>\n
La configuraci\u00f3n cifrada a\u00fan se encuentra en la secci\u00f3n de datos, pero ahora se antepone una clave al comienzo de la configuraci\u00f3n en lugar de ubicarse en la funci\u00f3n de descifrado, como se hac\u00eda en ejemplos anteriores.<\/p>\n
Durante nuestra investigaci\u00f3n de las muestras, el actor de amenazas envi\u00f3 un script por lotes, enviado desde el servidor de C&C, con el prop\u00f3sito de eliminar cualquier rastro de sus actividades.<\/p>\n
Este script, denominado “del_RoboTask Update.bat”, elimina el ejecutable leg\u00edtimo, la DLL del cargador de PlugX y la clave de registro utilizada para la persistencia. Finalmente, el script se borra a s\u00ed mismo.<\/p>\n
Es probable que esto se deba a que los actores de amenazas se percataron de que estaban bajo escrutinio y trataron de eliminar las evidencias de su presencia.<\/p>\n
Atribuci\u00f3n<\/h2>\n
Esta campa\u00f1a comparte similitudes significativas con la actividad atribuida por otros proveedores de seguridad a RedDelta o Mustang Panda (en este contexto, vale la pena se\u00f1alar que RedDelta y Mustang Panda est\u00e1n correlacionados hasta cierto punto y, en algunos casos, se usan para describir la misma actividad):<\/p>\n
- \n
- Infraestructura<\/strong>\u00a0\u00a0: durante nuestra investigaci\u00f3n, encontramos un certificado distintivo en el servidor C&C con la direcci\u00f3n IP\u00a0\u00a0
62.233.57[.]136<\/code>.\u00a0Cabe destacar que el nombre com\u00fan dentro de este certificado apunta a otra direcci\u00f3n IP,\u00a0\u00a045.134.83[.]29<\/code>un indicador previamente\u00a0\u00a0asociado<\/a>\u00a0\u00a0con RedDelta.
\nVale la pena mencionar que se hizo\u00a0\u00a0referencia<\/a>\u00a0al mismo certificado \u00a0en otra investigaci\u00f3n sobre Mustang Panda, lo que fortaleci\u00f3 a\u00fan m\u00e1s el v\u00ednculo entre SmugX y las actividades observadas anteriormente.<\/li>\n<\/ul>\n\nFigura 8: el certificado que se encuentra en el servidor C&C.<\/figcaption><\/figure>\n<\/div>\n - \n
- Rutas<\/strong>\u00a0\u00a0: algunas de las rutas utilizadas para implementar PlugX son \u00fanicas y se observaron en las campa\u00f1as descritas anteriormente.\u00a0Los caminos \u00fanicos que observamos incluyen:\n
- \n
- C:\\Users\\Public\\VirtualFile<\/li>\n
- C:\\Usuarios\\P\u00fablico\\SamsungDriver<\/li>\n
- C:\\Usuarios\\P\u00fablico\\SecurityScan<\/li>\n<\/ul>\n<\/li>\n
- Orientaci\u00f3n<\/strong>\u00a0\u00a0: adem\u00e1s de la evidencia t\u00e9cnica, la victimolog\u00eda y las t\u00e1cticas de se\u00f1uelo empleadas en la campa\u00f1a SmugX est\u00e1n altamente correlacionadas con las descritas en los informes de RedDelta y Mustang Panda de otros proveedores.<\/li>\n<\/ul>\n
Recientemente\u00a0\u00a0publicamos<\/a>\u00a0\u00a0una serie de art\u00edculos sobre un actor de amenazas que hemos estado rastreando llamado Camaro Dragon, cuya actividad se superpone con Mustang Panda y RedDelta.<\/p>\n
Sin embargo, no hay evidencia suficiente para vincular esta campa\u00f1a actual directamente con Camaro Dragon y, por lo tanto, la est\u00e1n rastreando como la campa\u00f1a SmugX.<\/p>\n
Conclusi\u00f3n<\/h2>\n
En este informe, analizamos una campa\u00f1a reciente que se correlaciona con las actividades de RedDelta y se superpone hasta cierto punto con Mustang Panda, destacando su orientaci\u00f3n persistente a las entidades gubernamentales europeas.<\/p>\n
<\/a>Check Point Research, da visibilidad a una nueva campa\u00f1a de origen chino<\/figcaption><\/figure>\n Identificamos m\u00faltiples cadenas de infecci\u00f3n que emplean la t\u00e9cnica de contrabando de HTML que lleva al despliegue de la carga \u00fatil de PlugX.<\/p>\n
La campa\u00f1a, llamada SmugX, es parte de una tendencia m\u00e1s amplia que estamos viendo de los actores de amenazas chinos que cambian su enfoque a Europa.<\/p>\n
Si bien ninguna de las t\u00e9cnicas observadas en esta campa\u00f1a es nueva o \u00fanica, la combinaci\u00f3n de las diferentes t\u00e1cticas y la variedad de cadenas de infecci\u00f3n que resultaron en bajas tasas de detecci\u00f3n permitieron que los actores de amenazas permanecieran bajo el radar durante bastante tiempo.<\/p>\n
En cuanto a PlugX, tambi\u00e9n se mantuvo pr\u00e1cticamente sin cambios con respecto a apariciones anteriores, aunque un nuevo aspecto observado es la adopci\u00f3n del cifrado RC4 de la carga \u00fatil, que es una desviaci\u00f3n del cifrado XOR utilizado anteriormente.<\/p>\n
Los clientes de Check Point Software permanecen protegidos contra la amenaza descrita en esta investigaci\u00f3n.<\/h2>\n
Check Point\u00a0\u00a0Threat Emulation<\/u><\/a>\u00a0\u00a0y\u00a0\u00a0Harmony Endpoint<\/a>\u00a0\u00a0brindan una cobertura integral de t\u00e1cticas de ataque, tipos de archivos y sistemas operativos y brindan protecci\u00f3n contra el tipo de ataques y amenazas que se describen en este informe.<\/p>\n
Emulaci\u00f3n de amenazas de Check Point:<\/p>\n
- \n
- APT.Gana.MustangPanda.AP<\/li>\n<\/ul>\n
Punto final de armon\u00eda:<\/p>\n
- \n
- APT.Win.PlugX.O<\/li>\n
- APT.Win.PlugX.Q<\/li>\n
- APT.Win.PlugX.R<\/li>\n<\/ul>\n
COI<\/h2>\n
Hach\u00eds<\/h3>\n
HTML<\/strong><\/p>\n
- \n
- edb5d4b454b6c7d3abecd6de7099e05575b8f28bb09dfc364e45ce8c16a34fcd<\/li>\n
- 736451c2593bc1601c52b45c16ad8fd1aec56f868eb3bba333183723dea805af<\/li>\n
- 0e4b81e04ca77762be2afb8bd451abb2ff46d2831028cde1c5d0ec45199f01a1<\/li>\n
- 989ede1df02e4d9620f6caf75a88a11791d156f62fdea4258e12d972df76bc05<\/li>\n
- 10cad59ea2a566597d933b1e8ba929af0b4c7af85481eacaab708ef4ddf6e0ee<\/li>\n
- c96723a68fc939c835578ff746f7d4c5371cb82a9c0dffe360bb656acea4d6e1<\/li>\n
- 9ce5abd02d397689d99f62dfbd2a6a396876c6629cb5db453f1dcbbc3465ac9a<\/li>\n<\/ul>\n
Archivo<\/strong><\/p>\n
- \n
- 5f751fb287db51f79bb6df2e330a53b6d80ef3d2af93f09bb786b62e613514db<\/li>\n
- baca1159acc715545a787d522950117eae5b7dc65efacfe86383f62e6b9b59d3<\/li>\n
- 720a70ca6ee1fbaf06c7cb60d14e27391130407e34e13a092d19f1df2c9c6d05<\/li>\n
- 460c459db77c5625ed1c029b2dd6c6eae5e631b81a169494fb0182d550769f76<\/li>\n
- 277390cc50e00f52e76a6562e6e699b0345497bd1df26c7c41bd56da5b6d1347<\/li>\n<\/ul>\n
JavaScripts<\/strong><\/p>\n
- \n
- 3c6ace055527877778d989f469a5a70eb5ef7700375b850f0b1b8414151105ee<\/li>\n
- 27a61653ce4e503334413cf80809647ce5dca02ff4aea63fb3a39bc62c9c258c<\/li>\n
- ce308b538ff3a0be0dbcee753db7e556a54b4aeddbddd0c03db7126b08911fe2<\/li>\n<\/ul>\n
MSI<\/strong><\/p>\n
- \n
- fd0711a50c8af1dbc5c7ba42b894b2af8a2b03dd7544d20f5a887c93b9834429<\/li>\n
- 3489955d23e66d6f34b3ada70b4d228547dbb3ccb0f6c7282553cbbsordo168cb<\/li>\n
- 04b99518502774deb4a9d9cf6b54d43ff8f333d8ec5b4b230c0e995542bb2c61<\/li>\n
- bd3881964e351a7691bfc7e997e8a2c8ce4a8e26b79e3712d0cbdc484a5646b6<\/li>\n
- ea2869424df2ffbb113017d95ae48ae8ed9897280fd21b26e046c75b3e43b25a<\/li>\n<\/ul>\n
RoboForm.dll<\/strong><\/p>\n
- \n
- b00c252a60171f33e32e64891ffe826b8a45f8816acf778838d788897213a405<\/li>\n
- 2bc30ced135acd6a506cfb557734407f21b70fecd2f645c5b938e14199b24f1e<\/li>\n
- 0d13a503d86a6450f71408eb82a196718324465744bf6b8c4e0a780fd5be40c0<\/li>\n
- 0bdfb922a39103658195d1d37ff584d24f7bd88464e7a119e86d6e3579958cc1<\/li>\n
- a0879dd439c7f1ed520aad0c309fe1dbf1a2fc41e2468f4174489a0ec56c47c7<\/li>\n
- bddbc529f23ab6b865bc750508403ef57c8cf77284d613d030949bd37078d880<\/li>\n
- 4547914e17c127d9b53bbc9d44de0e5b867f1a86d2e5ede828cd3188ed7fe838<\/li>\n
- 0032d5430f1b5fcfb6a380b4f1d226b6b919f2677340503f04df04235409b2d0<\/li>\n<\/ul>\n
Carga \u00fatil cifrada<\/strong><\/p>\n
- \n
- 62c2e246855d589eb1ec37a9f3bcc0b6f3ba9946532aff8a39a4dc9d3a93f42c<\/li>\n
- f7d35cb95256513c07c262d4b03603e073e58eb4cd5fa9aac1e04ecc6e870d42<\/li>\n
- bf4f8a5f75e9e5ecd752baa73abddd37b014728722ac3d74b82bffa625bf09b5<\/li>\n
- 8a6ef9aa3f0762b03f983a1e53e8c731247273aafa410ed884ecd4c4e02c7db8<\/li>\n
- ec3e491a831b4057fc0e2ebe9f43c32f1f07959b6430b323d35d6d409d2b31e4<\/li>\n
- bf8e512921522e49d16c638dc8d01bd0a2803a4ef019afbfc2f0941875019ea1<\/li>\n
- ba55542c6fa12865633d6d24f4a81bffd512791a6e0a9b77f6b17a53e2216659<\/li>\n<\/ul>\n
Carga \u00fatil descifrada<\/strong><\/p>\n
- \n
- 8ea34b85dd4fb64f7e6591e4f1c24763fc3421caa7c0f0d8350c67b9bafa4d32<\/li>\n
- 8cac6dfb2a894ff3f530c29e79dcd37810b4628279b9570a34f7e22bd4d416b3<\/li>\n
- ea5825fa1f39587a88882e87064caae9dd3b79f02438dc3a229c5b775b530c7d<\/li>\n
- 1acb061ce63ee8ee172fbdf518bd261ef2c46d818ffd4b1614db6ce3daa5a885<\/li>\n
- 08661f40f40371fc8a49380ad3d57521f9d0c2aa322ae4b0a684b27e637aed12<\/li>\n
- 324bfb2f414be221e24aaa9fb22cb49e4d4c0904bd7c203afdff158ba63fe35b<\/li>\n<\/ul>\n
IP y dominios<\/h3>\n
- \n
- 45.90.58[.]69<\/li>\n
- 62.233.57[.]136<\/li>\n
- 217.12.207[.]164<\/li>\n
- 152.152.12[.]12<\/li>\n
- jcswcd[.]com<\/li>\n
- newsmailnet[.]com<\/li>\n<\/ul>\n
Caminos<\/h3>\n
- \n
- C:\\Usuarios\\<nombre de usuario>\\Archivo virtual<\/li>\n
- C:\\Users\\Public\\VirtualFile<\/li>\n
- C:\\Usuarios\\<nombre de usuario>\\SamsungDriver<\/li>\n
- C:\\Usuarios\\P\u00fablico\\SamsungDriver<\/li>\n
- C:\\Usuarios\\P\u00fablico\\SecurityScan<\/li>\n<\/ul>\n
Por Marcelo Lozano – General Publisher IT CONNECT LATAM<\/p>\n
Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research, Check Point Research,\u00a0<\/span><\/p>\n
Lea m\u00e1s sobre ciberseguridad en;<\/p>\n
Zero Trust: 5 Beneficios y Desaf\u00edos en Seguridad y Experiencia del Usuario<\/a><\/p>\n
SOC 2 Tipo 2 \u2013 Control de Organizaci\u00f3n de Servicios: Kaspersky super\u00f3 la auditor\u00eda<\/a><\/p>\n
VANGUARD PANDA: usan webshells y biblioteca de Tomcat con 1 backdoor<\/a><\/p>\n
- APT.Gana.MustangPanda.AP<\/li>\n<\/ul>\n
- Rutas<\/strong>\u00a0\u00a0: algunas de las rutas utilizadas para implementar PlugX son \u00fanicas y se observaron en las campa\u00f1as descritas anteriormente.\u00a0Los caminos \u00fanicos que observamos incluyen:\n
- Infraestructura<\/strong>\u00a0\u00a0: durante nuestra investigaci\u00f3n, encontramos un certificado distintivo en el servidor C&C con la direcci\u00f3n IP\u00a0\u00a0