Mikroceen RAT traspasa las redes del gobierno asiático en una nueva ola de ataques


Los investigadores que examinan un troyano que se united states actualmente en ataques contra un gobierno asiático y otras organizaciones creen que puede estar relacionado con ataques anteriores de alto perfil en Rusia, Bielorrusia y Mongolia.

Un informe conjunto emitido el jueves por equipos de ciberseguridad de ESET y Avast sugiere que el troyano de acceso remoto (RAT), que está en desarrollo «constante», es probablemente el trabajo de un grupo de Amenaza persistente avanzada (APT), posiblemente de China, que ha «plantado puertas traseras para obtener acceso a largo plazo a redes corporativas «.

China ha sido recientemente acusada formalmente por los Estados Unidos de ciberespionaje en el intento de robo de la investigación sobre coronavirus.

Según los investigadores, la puerta trasera, denominada Mikroceen, ha sido rastreada en campañas contra entidades públicas y privadas desde 2017. Mikroceen se enfoca en objetivos en Asia Central y recientemente ha sido rastreado en ataques contra entidades gubernamentales, empresas de telecomunicaciones y el fuel. industria.

La RAT y las herramientas asociadas con la puerta trasera también parecen estar conectadas a ataques pasados ​​según lo documentado por Kaspersky, Palo Alto Networks y Checkpoint. En estas campañas, el private militar ruso, el gobierno bielorruso y el sector público mongol fueron atacados.

Las muestras en cuestión están vinculadas a las campañas anteriores. Microcina, ADIOSy Panda vicioso, según lo nombrado por separado por las empresas mencionadas.

Se desconoce el vector de ataque del Mikroceen RAT en campañas recientes, pero una vez que el malware aterriza en una máquina comprometida, se utilizan herramientas personalizadas para establecer una conexión con un servidor de comando y control (C2). Mikroceen está establecido y vinculado a un bot que tiene una característica inusual: un atacante debe autenticar el sistema ingresando una contraseña para controlar al cliente.

Ver también: Zeus Sphinx se renueva mientras la ola de ataque de pago de alivio de coronavirus continúa

Además, un cliente no puede conectarse directamente a un C2 en cambio, esta conexión se asegura a través de un certificado, una característica que los investigadores dicen que «distingue a Mikroceen de la legión de puertas traseras que hemos visto desde antes».

ESET y Avast no pueden verificar el motivo exacto por el que se implementó la medida de autenticación, más allá de la idea de que puede ser un manage de seguridad para evitar la «toma de regulate de botnet, en caso de que un actor de la competencia o la policía confisque su infraestructura».

Mikroceen tomará una huella electronic del sistema infectado, verificará si se está ejecutando en un entorno digital y si puede robar, mover y eliminar archivos terminar y cambiar procesos y servicios de Windows, mantener la persistencia, ejecutar comandos de consola y enviar información de vuelta al C2.

«El C2 también puede ordenar al dispositivo infectado que actúe como un proxy o escuche en un puerto específico en cada interfaz de crimson», dice Avast.

La gramática básica utilizada para los comandos es la misma que la utilizada en informes anteriores sobre la RAT, truncada a seis letras y luego codificada en base64. Sin embargo, en las nuevas campañas, también se ha incluido una capa adicional de cifrado.

CNET: Estados Unidos acusa a China de intentar piratear la investigación de la vacuna contra el coronavirus

Las herramientas asociadas con Mikroceen también han revelado pistas sobre su conexión con un posible APT. Estos incluyen Mimikatz, un sistema de extracción de texto sin formato de código abierto, y Gh0st RAT, un antiguo troyano. Sin embargo, en el último caso, incluir el malware parece redundante ya que Mikroceen proporciona la misma funcionalidad, si no más.

Informes anteriores también han señalado las malas medidas de seguridad implementadas por los operadores que no protegen el panel de regulate de la RAT. Parece que este sigue siendo el caso, ya que los investigadores pudieron obtener una versión del panel y también rastrear el origen del malware hasta la misma red de alojamiento a prueba de balas observada en la campaña Vicious Panda.

«Los desarrolladores de malware pusieron un gran esfuerzo en la seguridad y la solidez de la conexión con sus víctimas y los operadores lograron penetrar en las redes corporativas de alto perfil», dice ESET. «Además, tienen un conjunto de herramientas más grande de herramientas de ataque a su disposición y sus proyectos están en constante desarrollo, principalmente visibles como variaciones en la ofuscación».

TechRepublic: La campaña de phishing explota Symantec URL Defense para cubrir sus huellas

Se han publicado indicadores de compromiso (IoC) en ESET y AvastLos repositorios de GitHub.

En noticias relacionadas esta semana, ESET recientemente estuvo sujeto a un ataque de denegación de servicio distribuido (DDoS) lanzado desde una aplicación maliciosa que logró burlar las medidas de seguridad de Google y aterrizar en Google Engage in. La aplicación se comercializó como una fuente de noticias, pero en realidad esclavizó a los dispositivos móviles para lanzar ataques DDoS.

Cobertura previa y relacionada


¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0




Enlace a la noticia initial