WARZONE RAT: tenga cuidado con el malware troyano que roba la activación de datos de varios documentos de Office


Warzone RAT es parte de una campaña de APT llamada "Confucio". Se sabe que Confucius APT apunta a sectores gubernamentales de China y algunos otros países del sur de Asia. Esta campaña de APT estuvo bastante activa alrededor de enero de 2021. Warzone RAT surgió por primera vez en 2018 como malware como servicio (MaaS) y es conocido por su uso agresivo de archivos ".docx" como vector de infección inicial. La carga útil inicial se conoce como "Ave Maria Stealer", que puede robar credenciales y registrar pulsaciones de teclas en la máquina de la víctima. La versión avanzada de este malware se vende actualmente en el mercado clandestino por 22,95 dólares al mes y 49,95 $ durante tres meses. Los creadores de Warzone tienen un sitio web oficial donde está a la venta.

Figura 1: Sitio web de Warzone que muestra el precio de venta

Estas son las diversas características de la RAT mencionadas en el sitio web:

  • Escritorio remoto y cámara web
  • Escalada de privilegios: omisión de UAC
  • Recuperación de contraseña
  • Descargar y ejecutar.
  • Registrador de teclas en vivo
  • Shell remoto
  • Persistencia
  • Omisión de Windows Defender

Nos encontramos con una versión resquebrajada de Warzone RAT en GitHub. Aquí está la captura de pantalla de ese repositorio:

Figura 2: Una versión crackeada de warzone en GitHub

Según nuestra investigación, confirmamos que el actor de amenazas está tratando de eludir los ataques con un señuelo y manipular a los usuarios, entregando la carga útil de la siguiente etapa a través de la técnica de inyección de plantillas. En este blog, vamos a hablar sobre ".docx" utilizado como vector de ataque inicial y cómo está entregando su carga útil final: Warzone RAT.

Análisis técnico:

Figura 3: Cadena de ataque

Las distintas fases del ataque son:

  • La víctima abre el documento de Word.
  • Este documento descarga además un exploit RTF (CVE-2017-11882).
  • Se activa el exploit en RTF y se elimina y ejecuta muka.dll.
  • Muka.dll descarga Warzone RAT.

Fase 1:

Aquí la cadena de infección comienza con un archivo ".docx". Podemos ver a continuación el documento señuelo (Hash: 59ccfff73bdb8567e7673a57b73f86fc082b0e4eeaa3faf7e92875c35bf4f62c). Este documento señuelo fue elaborado por atacantes para inducir a las víctimas.

Figura 4: Captura de pantalla de "Suparco Vacancy Notification.docx"

Mientras se ejecuta, utiliza la técnica de inyección de plantilla para descargar el exploit RTF de la siguiente etapa. Este exploit ofrece una carga útil final integrada en dll que se conecta al dominio para conectarse al CNC y descargar la carga útil Warzone Rat. Podemos ver en la imagen de abajo.

Figura 5: Uso de la técnica de inyección de plantillas

El exploit RTF se descarga a través del archivo " word _rels settings.xml.rels" presente en la estructura del documento utilizando la técnica de inyección de plantilla como se muestra a continuación.

Figura 6: settings.xml.rels que contiene un enlace a la plantilla

Fase 2:

El archivo RTF descargado (Hash: 686847b331ace1b93b48528ba50507cbf0f9b59aef5b5f539a7d6f2246135424) contiene código que aprovecha una antigua vulnerabilidad “CVE-2017-11882”. La falla reside en el editor de ecuaciones (EQNEDT32.exe), un componente en la oficina de Microsoft que inserta o edita la vinculación e incrustación de objetos (OLE). Encontramos que muka.dll está incrustado en un objeto OLE.

Figura 7: muka.dll incrustado en un objeto ole

Fase 3:

El archivo muka.dll incrustado (Hash: 1c41a03c65108e0d965b250dc9b3388a267909df9f36c3fefffbd26d512a2126) contiene la función de exportación zenu y esta dll se utiliza para proporcionar funcionalidades a otros programas. Aquí hay una imagen que muestra esto:

Figura 8: Directorio de exportación que contiene la función de exportación zenu

Fase 4:

Tras una explotación exitosa, la dll se conecta a un dominio malicioso (wordupdate.com) que también está activo hoy en día y descarga la carga útil final de Warzone.

Figura 9: Solicitar acceso al dominio malicioso

La carga útil de Warzone se guarda como update.exe (Hash: 7dd1dba508f4b74d50a22f41f0efe3ff4bc30339e9eef45d390d32de2aa2ca2b).

Conclusión:

Warzone RAT aprovecha una vulnerabilidad bastante antigua pero popular, "CVE-2017-11882", en el componente editor de ecuaciones de Microsoft. Este RAT funciona como un malware ladrón de información. Los atacantes suelen propagar dicho malware a través de archivos de documentos como archivos adjuntos de correo electrónico. Recomendamos a nuestros clientes que no accedan a correos electrónicos / archivos adjuntos sospechosos y que mantengan actualizado su software antivirus para proteger sus sistemas de un malware tan complejo. Detectamos el vector de infección inicial así como el Warzone RAT final como XML.Downloader.39387 y Trojan.GenericRI.S16988580 respectivamente.

COI:

  • DOCX:59ccfff73bdb8567e7673a57b73f86fc082b0e4eeaa3faf7e92875c35bf4f62c
  • RTF:686847b331ace1b93b48528ba50507cbf0f9b59aef5b5f539a7d6f2246135424
  • DLL:1c41a03c65108e0d965b250dc9b3388a267909df9f36c3fefffbd26d512a2126
  • EXE:7dd1dba508f4b74d50a22f41f0efe3ff4bc30339e9eef45d390d32de2aa2ca2b

Dominios:

  • reciente.wordupdate.com
  • wordupdate.com

Ayush Puri



Enlace a la noticia original