Malware WinTapix.sys involucrado en un ataque de varias etapas en Oriente Medio

Se ha observado que un actor de amenazas desconocido aprovecha un controlador malicioso del kernel de Windows en ataques que probablemente se dirijan a Oriente Medio desde al menos mayo de 2020.

Fortinet Fortiguard Labs, que apodó al artefacto WINTAPIX (WinTapix.sys), atribuyó el malware con poca confianza a un actor de amenazas iraní.

"WinTapix.sys es esencialmente un cargador", dijeron los investigadores de seguridad Geri Revay y Hossein Jazi en un informe publicado el lunes. "Por lo tanto, su propósito principal es producir y ejecutar la siguiente etapa del ataque. Esto se hace usando un shellcode".

Las muestras y los datos de telemetría analizados por Fortinet muestran que el enfoque principal de la campaña está en Arabia Saudita, Jordania, Qatar y los Emiratos Árabes Unidos. La actividad no se ha vinculado a un actor o grupo de amenazas conocido.

Mediante el uso de un controlador de modo kernel malicioso, la idea es subvertir o deshabilitar los mecanismos de seguridad y obtener acceso arraigado al host objetivo.

Dichos controladores se ejecutan dentro de la memoria del kernel y, por lo tanto, pueden realizar cualquier operación, incluida la alteración de mecanismos de seguridad críticos y la ejecución de código arbitrario con los privilegios más altos.

En otras palabras, ofrece una forma sigilosa de infiltrarse más profundamente en el sistema objetivo, mantener la persistencia y ejecutar cargas útiles o comandos adicionales como parte del ataque de múltiples etapas del actor de amenazas.


Una medida de seguridad clave para mitigar los controladores malintencionados es la aplicación de firmas de controladores, que garantiza que solo los controladores firmados por Microsoft se puedan cargar en el sistema. El gigante tecnológico también mantiene reglas de bloqueo de conductores para protegerse contra conductores vulnerables conocidos.

WinTapix.sys, por otro lado, viene con una firma no válida, lo que indica que el actor de amenazas tendrá que cargar primero un controlador legítimo pero vulnerable para iniciar WINTAPIX.

Pero una vez que se carga en el kernel, WinTapix.sys está configurado para inyectar un shellcode incrustado en un proceso de modo de usuario apropiado que, a su vez, ejecuta una carga útil .NET cifrada.

WINTAPIX, además de incrustar el shellcode creado utilizando el proyecto de código abierto Donut, establece la persistencia mediante modificaciones del Registro de Windows que permite cargarlo incluso cuando la máquina se inicia en Modo Seguro.

Por su parte, el malware .NET está equipado con funciones de puerta trasera y proxy para ejecutar comandos, llevar a cabo la descarga y carga de archivos, y funcionar como un proxy para pasar datos entre dos puntos finales de comunicación.

"Dado que se sabe que los actores de amenazas iraníes explotan los servidores de Exchange para implementar malware adicional, también es posible que este controlador se haya empleado junto con los ataques de Exchange", dijeron los investigadores.

"Hasta ese punto, el tiempo de compilación de los controladores también está alineado con los tiempos en que los actores de amenazas iraníes explotaban las vulnerabilidades del servidor Exchange".

El desarrollo se produce cuando se ha observado que el grupo de ransomware ALPHV (también conocido como BlackCat o Noberus) aprovecha un controlador firmado malicioso para perjudicar las defensas de seguridad y escapar de la detección durante largos períodos de tiempo.

El controlador en cuestión, ktgn.sys, es una versión actualizada de POORTRY que está firmada con un certificado de firma cruzada robado o filtrado, dijo la firma de ciberseguridad Trend Micro en un informe.

POORTRY es el nombre asignado a un controlador de kernel de Windows que viene con capacidades para terminar el software de seguridad. A fines del año pasado, se reveló que era utilizado por bandas de ransomware y un actor de amenazas conocido como UNC3944 (también conocido como Roasted 0ktapus y Scattered Spider).

"Los actores maliciosos que buscan activamente un acceso de alto privilegio al sistema operativo Windows utilizan técnicas que intentan combatir el aumento de la protección de los usuarios y los procesos a través de la plataforma de protección de puntos finales (EPP) y las tecnologías de detección y respuesta de puntos finales (EDR)", dijo Trend Micro.

"Estos actores maliciosos también tienden a poseer suficientes recursos financieros para comprar rootkits de fuentes subterráneas o comprar certificados de firma de código para construir un rootkit".

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta