Turla utiliza PowerShell para ejecutar malware solo en memoria

El grupo de ciberespionaje Turla, conocido por sus complejos malware, reaparece con nuevos ataques a objetivos políticos. Para confundir la detección, sus operadores recientemente comenzaron a usar scripts de PowerShell que brindan carga y ejecución directa en memoria de ejecutables y bibliotecas de malware. Esto les permite omitir la detección que puede activarse cuando un ejecutable malintencionado se coloca en el disco, indica ESET.

Turla es un grupo de ciberespionaje (de Rusia según los medios) también conocido como Snake o Uroburos, han estado activos al menos desde el 2008, año en el que atacaron con éxito al ejército de E.E.U.U.

Dentro de sus ataques recientes, al grupo de amenaza persistente avanzada (APT) se le ha vinculado con un backdoor implantado en la Oficina Federal de Relaciones Exteriores de Alemania para fines de exfiltración de datos (2017). Además se le han atribuido ataques contra un contratista de defensa y una variedad de entidades gubernamentales europeas.

Imagen de Kaspersky Lab.

Según los investigadores de ESET, Turla ha usado recientemente scripts de PowerShell. Las secuencias de comandos permiten la «carga y ejecución directa en memoria de ejecutables y bibliotecas de malware», dice el equipo.

El uso de PowerShell no es completamente ajeno a Turla. El año pasado, Kaspersky Labs dijo que la APT estaba experimentando con las cargas en memoria de PowerShell para eludir las protecciones de seguridad, en forma de un sistema PoshSec-Mod de código abierto personalizado.

El cargador de Turla se basaba en el software legítimo PoshSec-Mod, pero en 2018, el código personalizado se consideraba defectuoso y con frecuencia fallaba debido a errores.

ESET dice que ahora, un año después, la mayoría de las grietas en el sistema se han tapado.

Turla mejoró su uso de PowerShell y está usando scripts para cargar una variedad de malware. Sin embargo, los scripts en cuestión no se consideran simples droppers, ya que son capaces de «persistir en el sistema, porque regularmente cargan en la memoria solo los ejecutables incrustados», según ESET.

El cargador PowerShell usa la suscripción de eventos de Instrumental de administración de Windows (WMI) y altera el perfil de PowerShell (archivo profile.ps1) para mantener la persistencia en un sistema infectado.

En total, se crean dos filtros de eventos WMI y dos consumidores de eventos WMI, de los cuales los consumidores son simples líneas de comando para cargar PowerShell en el registro de Windows.

Cuando se trata de descifrar las cargas útiles almacenadas en el registro, se utiliza el algoritmo 3DES. Una vez descifrado, un cargador reflectivo PowerShell entra en juego.

«El ejecutable está codificado en el script y se carga directamente en la memoria de un proceso elegido al azar que ya se está ejecutando en el sistema», dicen los investigadores.

Sin embargo, el proceso de selección no es completamente aleatorio, ya que algunos procesos, incluidos avp.exe, avpsus.exe, klnagent.exe y vapm.exe, están excluidos. Estos procesos se refieren específicamente al software legítimo de protección antivirus Kaspersky, que puede indicar la exclusión para evitar la detección.

En algunos ejemplos, también se encontró que el script de PowerShell de Turla se había modificado para omitir la Interfaz de análisis antimalware (AMSI), la función de Windows que permite que el sistema operativo se integre con los productos antivirus. El script también puede parchear el proceso AmsiScanBuffer, lo que impide que el producto antivirus pueda realizar cualquier análisis de malware.

El cargador PowerShell se usa para lanzar malware, incluido un backdoor basado en el protocolo RPC que puede filtrar los datos, facilita la ejecución de comandos y admite complementos para módulos de malware adicionales.

«Muchas variantes de esta puerta trasera RPC se utilizan en la naturaleza», dice ESET. «Entre algunos de ellos, hemos visto proxies locales (usando upnprpc como punto final y ncalrpc como secuencia de protocolo) y versiones más recientes que incorporan PowerShellRunner para ejecutar scripts directamente sin usar powershell.exe».

También está disponible para su descarga un backdoor PowerShell. Conocida como PowerStallion, esta utiliza el almacenamiento en la nube, como Microsoft OneDrive, como una forma de servidor de comando y control (C2). Los investigadores creen que la puerta trasera se incluye como una herramienta de acceso de recuperación para la puerta trasera principal de Turla.

A principios de este mes, la compañía descubrió la existencia de otro importante backdoor utilizado por Turla. Apodado LightNeuron, el malware ha sido diseñado específicamente para servidores de correo electrónico de Microsoft Exchange y funciona como un agente de transferencia de correo (MTA).

ESET dice que, si bien los scripts de PowerShell se han usado contra objetivos políticos en Europa del Este, «los mismos scripts se usan más globalmente contra muchos objetivos Turla tradicionales en Europa Occidental y Medio Oriente».