Se ha observado que el actor de amenazas patrocinado por el estado chino conocido como Stone Panda emplea una nueva cadena de infección sigilosa en sus ataques dirigidos a entidades japonesas.
Los objetivos incluyen medios, organizaciones diploma ticas, gubernamentales y del sector público y grupos de expertos en Japón, según informes gemelos publicados por Kaspersky.
Stone Panda , también llamado APT10 , Bronze Riverside, Cicada y Potassium, es un grupo de ciberespionaje conocido por sus intrusiones contra organizaciones identificadas como estratégicamente significativas para China. Se cree que el actor de amenazas ha estado activo desde al menos 2009.
El último conjunto de ataques, observado entre marzo y junio de 2022, involucra el uso de un archivo falso de Microsoft Word y un archivo de archivo autoextraíble ( SFX ) en formato RAR propagado a través de correos electrónicos de phishing, lo que lleva a la ejecución de una puerta trasera llamada LODEINFO.
Si bien el maldoc requiere que los usuarios habiliten macros para activar la cadena de eliminación, se descubrió que la campaña de junio de 2022 abandonó este método a favor de un archivo SFX que, cuando se ejecuta, muestra un documento de Word señuelo inofensivo para ocultar las actividades maliciosas.
La macro, una vez habilitada, suelta un archivo ZIP que contiene dos archivos, uno de los cuales (“NRTOLF.exe”) es un ejecutable legítimo del software K7Security Suite que posteriormente se usa para cargar una DLL no autorizada (“K7SysMn1.dll”) a través de DLL carga lateral .
Dejando a un lado el abuso de la aplicación de seguridad, Kaspersky dijo que también descubrió en junio de 2022 otro método de infección inicial en el que un archivo de Microsoft Word protegido con contraseña actuó como un conducto para entregar un descargador sin archivos denominado DOWNIISSA al habilitar macros.
“La macro incrustada genera el shellcode DOWNIISSA y lo inyecta en el proceso actual (WINWORD.exe)”, dijo la compañía rusa de ciberseguridad.
DOWNIISSA esta configurado para comunicarse con un servidor remoto codificado, usa ndolo para recuperar una carga útil BLOB encriptada de LODEINFO, una puerta trasera capaz de ejecutar shellcode arbitrario, tomar capturas de pantalla y filtrar archivos de vuelta al servidor.
El malware, que se vio por primera vez en 2019, experimentó numerosas mejoras, y Kaspersky identificó seis versiones diferentes en marzo, abril, junio y septiembre de 2022.
Los cambios incluyen técnicas de evasión mejoradas para pasar desapercibidos, detener la ejecución en ma quinas con la configuración regional “en_US”, revisar la lista de comandos admitidos y ampliar el soporte para la arquitectura Intel de 64 bits.
“El malware LODEINFO se actualiza con mucha frecuencia y continúa atacando activamente a las organizaciones japonesas”, concluyeron los investigadores.
“Los TTP actualizados y las mejoras en LODEINFO y el malware relacionado […] indican que el atacante esta particularmente enfocado en dificultar la detección, el ana lisis y la investigación para los investigadores de seguridad”.
FUENTE: THN