Los investigadores de Symantec informaron que el grupo APT, Lancefly, está utilizando una nueva puerta trasera personalizada en diferentes ataques dirigidos a organizaciones en el sur y sureste de Asia, como parte de una campaña de larga duración.
Los ataques dirigidos apuntan a organizaciones en los sectores de gobierno, aviación, educación y telecomunicaciones. La campaña de recopilación de inteligencia comenzó a mediados de 2022 y es probable que todavía esté en curso.
“El malware personalizado de Lancefly, que hemos denominado Merdoor, es una poderosa puerta trasera que parece haber existido desde 2018”. Dice Symantec en su análisis. “Los investigadores de Symantec observaron que se usó en alguna actividad en 2020 y 2021, así como en esta campaña más reciente, que continuó en el primer trimestre de 2023. La puerta trasera se usa de manera muy selectiva, apareciendo solo en un puñado de redes y una pequeña cantidad de máquinas a lo largo de los años, y su uso parece ser muy específico”.
Los actores de amenazas también han empleado una versión actualizada del rootkit, ZXShell.
Merdoor es una puerta trasera con todas las funciones que admite múltiples capacidades, incluida la instalación como un servicio, registro de teclas, una variedad de métodos para comunicarse con su servidor de comando y control (C&C) (HTTP, HTTPS, DNS, UDP, TCP), y la capacidad de escuchar comandos en un puerto local.
Las instancias de la puerta trasera de Merdoor analizadas por los investigadores solo difieren en la configuración integrada y cifrada, que incluye el método de comunicación C2, los detalles del servicio y el directorio de instalación.
Los expertos informaron que la puerta trasera se inyecta en los procesos legítimos, como perfhost.exe o svchost.exe.
El cuentagotas de Merdoor se propaga como un archivo .RAR autoextraíble (SFX) que contiene tres archivos, un binario legítimo y firmado vulnerable al secuestro de orden de búsqueda de DLL, un loader malicioso (cargador de Merdoor) y un archivo cifrado (.pak) que contiene la payload final (Puerta trasera de Merdoor).
La cadena de ataque empleada en 2020 comenzó con un correo electrónico de phishing con un señuelo basado en la 37.ª Cumbre de la ASEAN. En ataques más recientes, el grupo APT probablemente usó señuelos de phishing, fuerza bruta SSH o la explotación de servidores públicos expuestos.
Lancefly APT usó múltiples técnicas sin malware para el robo de credenciales en las máquinas de las víctimas, que incluyen:
- PowerShell se utilizó para iniciar rundll32.exe con el fin de volcar la memoria de un proceso mediante la función MiniDump de comsvcs.dll. Esta técnica se usa a menudo para volcar la memoria LSASS.
- Reg.exe se utilizó para volcar las secciones de registro SAM y SYSTEM.
- Los atacantes instalaron una herramienta legítima de Avast y la usaron para volcar la memoria LSASS.
El grupo fue visto usando una «versión enmascarada» de WinRAR para organizar y cifrar archivos antes de la exfiltración.
Al investigar posibles vínculos con otros grupos, los expertos notaron que el rootkit ZXShell utilizado por el grupo Lancefly APT está firmado por el certificado «Wemade Entertainment Co. Ltd«, que fue utilizado por el grupo APT41 (también conocido como Blackfly/Grayfly) vinculado a China. La puerta trasera ZXShell también ha sido utilizada anteriormente por el grupo HiddenLynx – APT17, pero los expertos señalaron que el código fuente de ZXShell ahora está disponible públicamente.
Se observó que Lancefly usaba las puertas traseras PlugX y ShadowPad, que comúnmente se asociaban con operaciones realizadas por grupos APT vinculados a China.
“Las herramientas utilizadas y los sectores objetivo apuntan a que las motivaciones de esta campaña de ataque son la recopilación de inteligencia. Las similitudes entre esta actividad reciente y la actividad anterior de Lancefly indican que el grupo quizás no se dio cuenta de que se había descubierto la actividad anterior, por lo que no estaba preocupado por los vínculos que se establecían entre los dos». concluye el informe que también incluye Indicadores de Compromiso (IOC). “Queda por ver si la exposición de esta actividad conducirá o no a alguna alteración en la forma en que el grupo lleva a cabo su actividad”.
Ingeniero en Ciberseguridad por la Universidad Tecnológica de Chile, Speaker, Analista de Ciberinteligencia, Investigador y Redactor para CronUp Ciberseguridad.
