Se observó que el grupo chino de hackers Cicada, rastreado como APT10, abusaba del software de seguridad para instalar una nueva versión del malware LODEINFO contra organizaciones japonesas.
Las entidades objetivo son grupos de medios, agencias diplomáticas, organizaciones gubernamentales y del sector público y grupos de expertos en Japón, todos objetivos de gran interés para el ciberespionaje.
Según Kaspersky, cuyos analistas han estado siguiendo las operaciones de APT10 en Japón desde 2019, los actores de amenazas evolucionan constantemente sus tácticas de infección y su puerta trasera personalizada, ‘LODEINFO’, para dificultar mucho las detecciones.
La compañía de ciberseguridad ha publicado dos informes, uno ilustrando las nuevas técnicas de la cadena de infección de APT10 y otro centrado en la evolución de LODEINFO.
Abusar del software de seguridad
A partir de marzo de 2022, Kaspersky notó que los ataques APT10 en Japón usaban un nuevo vector de infección, que incluía un correo electrónico de phishing selectivo, un archivo RAR autoextraíble (SFX) y abusaba de una falla de carga lateral de DLL en el software de seguridad.
El archivo RAR contiene el ejecutable legítimo del software K7Security Suite, NRTOLD.exe, y una DLL maliciosa llamada K7SysMn1.dll. Cuando se ejecuta NRTOLD.exe, intentará cargar el archivo K7SysMn1.dll legítimo que normalmente se incluye en el paquete de software.
Sin embargo, el ejecutable no busca la DLL en una carpeta específica y, por lo tanto, permite a los desarrolladores de malware crear una DLL maliciosa con el mismo nombre que K7SysMn1.dll.
Si la DLL maliciosa se almacena en la misma carpeta que los ejecutables legítimos, cuando se inicie, el ejecutable ahora cargará la DLL maliciosa, que contiene el malware LODEINFO.
Dado que el malware se carga lateralmente mediante una aplicación de seguridad legítima, es posible que otro software de seguridad no lo detecte como malicioso.
“K7SysMn1.dll contiene un BLOB con una rutina ofuscada que no se observó en actividades pasadas”, explica Kaspersky en el informe.
“El BLOB incrustado se divide en fragmentos de cuatro bytes, y cada parte se almacena en una de las 50 funciones de exportación nombradas aleatoriamente del binario DLL”.
“Estas funciones de exportación reconstruyen el BLOB en un búfer asignado y luego decodifican el código de shell LODEINFO usando una clave XOR de un byte”.
Mientras el archivo se extrae en segundo plano e inicia el proceso de infección, la víctima ve un documento señuelo en primer plano para minimizar las posibilidades de darse cuenta del compromiso.
En junio de 2022, Kaspersky notó otra variante en la cadena de infección APT10, utilizando un código de shell de descarga sin archivos entregado a través de un documento de Microsoft Office protegido con contraseña que contiene un código VBA malicioso.
Esta vez, en lugar de la carga lateral de DLL, los piratas informáticos confiaron en el código de la macro para inyectar y cargar el código shell (DOWNISSA) directamente en la memoria del proceso WINWORD.exe.
Nuevo LODEINFO
Los autores del malware lanzaron seis nuevas versiones de LODEINFO en 2022, la última v0.6.7, lanzada en septiembre de 2022.
A fines de 2021, con el lanzamiento de LODEINFO v0.5.6, APT10 agregó múltiples capas de cifrado de comunicación C2 utilizando la clave de cifrado Vigenere en combinación con datos basura generados aleatoriamente.
Además, LODEINFO v0.5.6 usó ofuscación XOR para los 21 comandos admitidos por la puerta trasera, mientras que en la versión 0.5.9, se introdujo un nuevo algoritmo de cálculo de hash para nombres de funciones API.
La compatibilidad con plataformas de 64 bits se agregó en la versión 0.6.2, lo que esencialmente amplía el alcance del malware. Esa versión también introdujo una exención para las máquinas que usan la configuración regional “en_US” para evitar infecciones no deseadas.
En LODEINFO v0.6.3, lanzado en junio de 2022, los autores del malware eliminaron diez comandos innecesarios, posiblemente para hacer que la puerta trasera sea más ágil y eficiente.
Los comandos que se mantienen en las versiones actuales son:
- Mostrar la lista de comandos de puerta trasera integrada
- Descargar un archivo de C2
- Subir un archivo a C2
- Inyectar el shellcode en la memoria
- Matar un proceso usando un ID de proceso
- Cambio de directorio
- Enviar malware e información del sistema
- Tomar una captura de pantalla
- Cifrar archivos con una clave AES generada
- Ejecutar un comando usando WM I
- Configuración (implementación incompleta)
Las operaciones dirigidas a Japón de APT10 se caracterizan por una evolución constante, la expansión de plataformas específicas, una mejor evasión y cadenas de infección sigilosas.
Kaspersky dice que LODEINFO v0.6.6 y v0.6.7, que no se analizaron en este informe, ya se distribuyen a través de nuevos TTP, por lo que la amenaza cambia constantemente de forma, lo que hace que sea muy difícil para los analistas y defensores mantenerse al día.
Otras operaciones descubiertas recientemente vinculadas a APT10 incluyen una campaña dirigida a los gobiernos de Oriente Medio y África que utilizan esteganografía y otra que abusa de VLC para lanzar puertas traseras personalizadas.