Los investigadores de FortiGuard Labs han compartido los detalles del documento malicioso utilizado, las técnicas de evasión y otras técnicas utilizadas por los atacantes. La actividad aún está en desarrollo o es un subconjunto de algún ejercicio de Red Team.
Se ha observado un nuevo ataque de varias etapas que aprovecha un documento malicioso falsificado para suplantar a la empresa estatal ucraniana Energoatom, responsable de administrar cuatro plantas de energía nuclear en Ucrania. Utiliza el marco Havoc C2, el kit de herramientas de post-explotación de código abierto, para entregar múltiples cargas útiles en diferentes etapas.
El documento malicioso se envía a través de un archivo de imagen ISO, con el mismo nombre que el propio archivo.
Para abrir el documento, protegido por el software de gestión de documentos ucraniano M.E. Doc, se insta a los usuarios a habilitar la ejecución del código macro de Word.
Una vez que se habilita la macro, la imagen superpuesta desaparece y muestra una lista de personas autorizadas para recibir equipo de protección. Sin embargo, muchas actividades maliciosas comienzan a ejecutarse en segundo plano.
Cargas útiles de varias etapas
El malware comprueba la existencia del archivo OfficeTelemetry.dll en una ruta específica del sistema. En función de su existencia, se recuperan las cargas útiles de la siguiente etapa. Si existe el archivo OfficeTelemetry.dll, se ejecuta. Este archivo parece ser una DLL, sin embargo, es un archivo ejecutable independiente.
Tras la ejecución, localiza una carga útil comprimida en la memoria, realiza más tareas de limpieza para obtener otra carga útil y la ejecuta mediante ShellExecute.
La segunda etapa consta de shellcode con la DLL del agente Havoc C2 adjunto. El shellcode busca la carga útil en la memoria y llama a un cargador, llamado KaynLdr. KaynLdr carga aún más el agente Havoc Demon que se comunica con el servidor C2 para realizar más acciones. Todo el código está protegido por varias capas de ofuscación.
Tácticas de evasión – trucos anti-depuración
Para complicar el análisis, el código VBA utilizado en la macro comprende varias técnicas interesantes, que incluso bloquean el depurador y provocan varios errores con las herramientas de análisis de malware (oletools).
Cuando se ejecuta con oletools, el archivo da como resultado varios errores, la mayoría de los cuales indican que algunos archivos de flujo se han definido en el código, pero no se pudieron encontrar archivos en el archivo.
Cuando el archivo se descomprime en una secuencia dentro del archivo, la herramienta informa un error relacionado con una firma de archivo incorrecta. La función de infección primaria se ejecuta mediante la función Application.OnTime, que se suele utilizar para programar procedimientos de VBA para su ejecución en un momento específico.
Artículos relacionados
Seminario organizado por la PDI y la Universidad de Talca destaca avances y desafíos en materia de ciberseguridad
14 de abril de 2023En el aula magna de la Universidad de Talca, se llevó a cabo el seminario Cib3rsegur1dad y Transformación digital, el cual fue organizado por la Facultad de Economía y Negocios de la misma universidad, y la Brigada de delitos económicos de la Policía de Investigaciones.
