WithSecure descubre que hackers chinos y rusos utilizan el malware SILKLOADER para no ser detectados.
WithSecure descubre que hackers chinos y rusos utilizan el malware SILKLOADER para no ser detectados.
Grupos cibercriminales chinos y rusos utilizan un nuevo malware para cargar Cobalt Strike en máquinas infectadas, la empresa finlandesa de ciberseguridad WithSecure la denomino SILKLOADER, este malware utiliza técnicas de carga lateral de DLL para entregar el software comercial de simulación de adversarios.
El malware comparte similitudes con LithiumLoader puesto que ambos emplean el método de carga lateral de DLL para secuestrar una aplicación legítima con el objetivo de ejecutar una biblioteca de vínculos dinámicos (DLL) separada y malintencionada.
“Los más comunes de éstos incluyen añadir complejidad a los beacon o stager payloads auto-generados a través del uso de packers, crypters, loaders, o técnicas similares”, dijeron los investigadores de WithSecure.
SILKLOADER logra esto mediante archivos libvlc.dll especialmente diseñados que se dejan junto a un binario legítimo pero renombrado del reproductor multimedia VLC (Charmap.exe). Uniendose a otros cargadores como KoboldLoader, MagnetLoader y LithiumLoader que han sido descubiertos recientemente incorporando componentes de Cobalt Strike.
“Los beacons de Cobalt Strike son muy conocidos y las detecciones contra ellos en una máquina bien protegida son casi garantizadas”, dijo el investigador de WithSecure, Hassan Nejad.
“Sin embargo, añadiendo capas adicionales de complejidad al contenido del archivo y lanzándolo a través de una aplicación conocida como VLC Media Player mediante carga lateral, los atacantes esperan evadir estos mecanismos de defensa”.
WithSecure descubrió el cargador de shellcode tras un análisis de “varias intrusiones operadas por humanos” dirigidas a varias entidades que abarcaban una amplia gama de organizaciones ubicadas en Brasil, Francia y Taiwán en el cuarto trimestre de 2022.
Aunque estos ataques no tuvieron éxito, se sospecha que la actividad es un preludio de despliegues de ransomware, con tácticas y herramientas que “se superponen fuertemente” con las atribuidas a los operadores del ransomware Play.
En un ataque dirigido a una organización francesa de bienestar social no identificada, el actor de amenazas obtuvo una posición en la red explotando un aparato de Fortinet SSL VPN comprometido para preparar los beacons de Cobalt Strike.
“El actor de la amenaza mantuvo una posición en esta organización durante varios meses”, dijo WithSecure. “Durante este tiempo, realizaron actividades de descubrimiento y robo de credenciales, seguidas por la implementación de múltiples beacons de Cobalt Strike”.
Pero cuando este intento falló, el adversario cambió a usar SILKLOADER para evadir la detección y entregar la carga de la baliza.
Eso no es todo. Otro cargador conocido como BAILLOADER, que también se utiliza para distribuir balizas Cobalt Strike, ha sido vinculado a ataques que involucran el ransomware Quantum, GootLoader y el troyano IcedID en los últimos meses.
BAILLOADER, por su parte, se dice que exhibe similitudes con un crypter llamado Tron que ha sido utilizado por diferentes adversarios para distribuir Emotet, TrickBot, BazarLoader, IcedID, ransomware Conti y Cobalt Strike.
Esto ha dado lugar a la posibilidad de que actores de amenazas dispares estén compartiendo balizas Cobalt Strike, crypters e infraestructura proporcionados por afiliados de terceros para atender múltiples intrusiones utilizando diferentes tácticas.
En otras palabras, es probable que SILKLOADER se esté ofreciendo como un cargador fuera de la estantería a través de un programa Packer-as-a-Service a actores de amenazas con sede en Rusia.
“Este cargador se está proporcionando directamente a grupos de ransomware o posiblemente a través de grupos que ofrecen Cobalt Strike/Infrastructure-as-a-Service a afiliados de confianza”, dijo WithSecure.
Al parecer la mayoría de estos afiliados fueron parte del grupo Conti, sus miembros y descendientes después de su supuesto cierre.
Las muestras de SILKLOADER analizadas por la empresa muestran que las primeras versiones del malware se remontan al comienzo de 2022, con el cargador utilizado exclusivamente en diferentes ataques dirigidos a víctimas en China y Hong Kong.
Se cree que el cambio de objetivos del este asiático a otros países como Brasil y Francia ocurrió alrededor de julio de 2022, después de lo cual todos los incidentes relacionados con SILKLOADER han sido atribuidos a actores cibercriminales rusos.
Esto ha dado paso a una hipótesis que dice “SILKLOADER fue originalmente escrito por actores de amenazas que actúan dentro del ecosistema cibercriminal chino” también que “El cargador fue utilizado por los actores de amenazas dentro de este nexo al menos desde mayo de 2022 hasta julio de 2022”.
“El constructor o el código fuente fue posteriormente adquirido por un actor de amenazas dentro del ecosistema cibercriminal ruso entre julio y septiembre de 2022”, dijo WithSecure, añadiendo “El autor chino original vendió el cargador a un actor de amenazas ruso una vez que ya no tenía ningún uso para él”.
Definitivamente tanto SILKLOADER como BAILLOADER son sólo los últimos ejemplos de actores de amenazas que refinan y reconfiguran sus enfoques para mantenerse por delante de la curva de detección.
“Conforme el ecosistema cibercriminal se modulariza cada vez más a través de ofertas de servicios, ya no es posible atribuir ataques a grupos de amenazas simplemente vinculándolos a componentes específicos dentro de sus ataques”, concluyeron los investigadores de WithSecure.
