Los piratas informáticos chinos utilizan el troyano bisonal de una década en campañas de ciberespionaje


Los investigadores sospechan que Lázaro está desarrollando su propio troyano Dacls
El troyano puede infectar tanto máquinas Windows como Linux.

Los ciberatacantes chinos continúan mejorando e implementando un troyano de acceso remoto (RAT) de una década en campañas en curso contra objetivos rusos, japoneses y surcoreanos.

El jueves, investigadores de Cisco Talos dijeron que el Bisonal RAT es una muestra inusual de malware que ha sido mejorado, revertido y refinado durante un período de 10 años, una práctica poco común por parte de los actores de amenazas que con mayor frecuencia revisarán su arsenal de armas con Nuevas herramientas y software a lo largo del tiempo.

En un informe compartido exclusivamente con ZDNet antes de su publicación, Talos dijo que el troyano ha sido vinculado al equipo de Tonto, un grupo de APT (Advanced Persistent Threat, Advanced Persistent Threat) patrocinado por el estado chino que pertenece al ejército chino.

Conforme a FireEye (.PDF), el equipo de Tonto tiene su base potencial en la Oficina de Reconocimiento Técnico de la Región Militar de Shenyang y puede haber estado involucrado en los ataques de 2017 contra el sistema de misiles Terminal High-Altitude Air Defense (THAAD) de Corea del Sur, desplegado en respuesta a las pruebas de misiles de Corea del Norte.

Los ataques anteriores del Equipo Tonto también se han conectado a objetivos en Rusia, Japón y Corea del Sur.

Los investigadores de ciberseguridad de Cisco Talos, Warren Mercer, Paul Rascagneres y Vitor Ventura, dicen que Bisonal ha sido visto en campañas recientes contra los mismos países, con un enfoque particular en los hablantes de ruso.

"Sus campañas tenían objetivos muy específicos que sugerirían que su juego final estaba más relacionado con la recolección de inteligencia operativa y el espionaje", dice Talos.

La primera etapa de la cadena de ataque suele ser un correo electrónico de phishing, a veces reforzado mediante ingeniería social, que contiene un documento de señuelo.

Ver también: El nuevo troyano SectopRAT crea un segundo escritorio oculto para controlar las sesiones del navegador

Las oleadas de ataques anteriores, que datan de 2009, utilizaron documentos maliciosos relacionados con la investigación nacional, el ejército y el gobierno de Corea del Sur; así como empresas estatales rusas y conferencias.

Más recientemente, Talos ha identificado un documento RTF ruso diseñado para eliminar un archivo winhelp.wll que contiene Bisonal, junto con una variedad de documentos surcoreanos que utilizan exploits RTF similares para eliminar el malware. El ejemplo ruso se relaciona con la investigación, mientras que los archivos adjuntos de correo electrónico de phishing de Corea del Sur afirman estar relacionados con el gobierno del país.

Bisonal tiene una historia que se remonta a una década. Compilado por primera vez el 24 de diciembre de 2010, la versión más antigua del troyano era su variante más simple; diseñado como malware que utiliza una API de Windows para ejecutar hilos que contienen el código del malware.

Solo se implementaron tres comandos; ejecución de comandos a través de la API ShellExecuteW (); la capacidad de enumerar procesos en ejecución y funciones de limpieza.

La versión 2010 tiene un factor común con su última evolución: el uso de DNS dinámico en relación con la comunicación con su servidor de comando y control (C2), una característica que todavía se usa en la actualidad.

Un año después, Bisonal recibió actualizaciones de ofuscación, incluido el disfraz de nombres de funciones y el uso de API a través de la división de cadenas. Más adelante en el año, se lanzó una nueva versión con codificación XOR y se agregó soporte para servidores proxy.

La función de limpieza se eliminó, posiblemente por accidente, solo para volver a implementarse durante otra versión en 2011.

A finales de año, Bisonal se transformó en una biblioteca liviana y simple ejecutada a través de un lanzador. Si bien se eliminaron muchas funciones, el malware contenía nuevas capacidades de espionaje, incluida la exfiltración de archivos, el listado de archivos, la eliminación de procesos y la eliminación de archivos.

CNET: Clearview AI investigó las ventas de reconocimiento facial a gobiernos extranjeros

A lo largo de 2012, el desarrollador cambió entre ocultar código malicioso en bibliotecas, cambiar variables C2 codificadas, alterar el código para establecerse como un servicio de Windows y, finalmente, cambiar a un formato .exe.

No se encontraron nuevas muestras en 2013. Sin embargo, en 2014, los desarrolladores de Bisonal relanzaron con un paquete MPRESS, así como un cambio de XOR a un nuevo algoritmo personalizado diseñado para mejorar la ofuscación. Además, se reescribió una gran parte del código, incluido un movimiento desde sockets sin procesar para conectarse al C2 a WinInet.

Dos años más tarde, Bisonal se sometió a un cambio de empaquetador que dificultó el análisis y que involucró lo que los investigadores llaman "saltos y llamadas inútiles" y casi ninguna llamada directa a funciones.

Durante 2018, el desarrollador de RAT comenzó a experimentar con el marco MFC y las bibliotecas de Visual C, pero también se volvió un poco descuidado; incluyendo cadenas en texto claro y olvidando ofuscar funciones importantes.

El año pasado se realizaron revisiones masivas que incluyeron la reversión de errores pasados, la implementación de nuevos empacadores, dos nuevos algoritmos de ofuscación, técnicas anti-sandbox que incluyen el uso de código basura y una nueva extensión de Microsoft Office, un documento RTF, que utiliza CVE-2018-0798, una vulnerabilidad del Editor de ecuaciones que permite la ejecución remota de código en una máquina vulnerable.

TechRepublic: Casi la mitad del malware móvil son aplicaciones ocultas

Un cambio interesante es una técnica de infección en múltiples etapas. La vulnerabilidad se utiliza para transferir el cuentagotas del malware, pero no se ejecutará hasta que se abra una aplicación de Office y se realice un reinicio. El cuentagotas también agrega 80 MB de datos binarios al final del binario Bisonal, que Talos sospecha que puede ser una técnica anti-análisis para combatir herramientas y cajas de arena con restricciones de tamaño, como la API VirusTotal.

"El desarrollo de Bisonal ha estado activo durante más de una década", dicen los investigadores. "Las funciones específicas todavía se utilizan hoy en día, muchos años después de la implementación original del malware Bional. Incluso si Bisonal pudiera considerarse simple con menos de 30 funciones, se ha pasado la vida apuntando a entidades sensibles en los sectores público y privado. no veo ninguna razón por la cual este actor se detendrá en el futuro cercano ".

La suplantación de identidad sigue siendo un vector de ataque común para las empresas y una amenaza que debe tomarse en serio. Paul Rascagneres, investigador de amenazas en Cisco Talos, nos dijo:

"La suplantación de identidad es el principal vector de infección para las campañas de espionaje. La nueva publicación nos muestra que se usa de forma masiva. El documento parece realista y, a veces, es real, los atacantes toman documentos reales y agregan cargas maliciosas en su interior. Es importante implementar el correo electrónico. protección y capacitar a los usuarios haciendo campañas falsas de phishing con lanza, por ejemplo ".

Cobertura previa y relacionada


¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal en +447713 025 499, o más en Keybase: charlie0




Enlace a la noticia original