Los hackers de ToddyCat utilizan malware "desechable" para atacar

Una campaña recientemente descubierta denominada "Stayin' Alive" se dirige a organizaciones gubernamentales y proveedores de servicios de telecomunicaciones de toda Asia desde 2021, utilizando una amplia variedad de malware "desechable" para evadir la detección.

La mayoría de los objetivos de la campaña vistos por la empresa de ciberseguridad Check Point se encuentran en Kazajistán, Uzbekistán, Pakistán y Vietnam, mientras que la campaña aún está en marcha.

Los ataques parecen originarse en el actor de espionaje chino conocido como 'ToddyCat', que se basa en mensajes de spear-phishing que llevan archivos adjuntos maliciosos para cargar una variedad de cargadores de malware y puertas traseras.


Los investigadores explican que los actores de amenazas utilizan muchos tipos diferentes de herramientas personalizadas, que creen que son desechables para ayudar a evadir la detección y evitar vincular los ataques entre sí.

"El amplio conjunto de herramientas descritas en este informe están hechas a medida y probablemente sean fácilmente desechables. Como resultado, no muestran solapamientos claros de código con ningún conjunto de herramientas conocido, ni siquiera entre sí", explica Check Point.

El ataque comienza con un correo electrónico

El ataque comienza con un correo electrónico de spear-phishing diseñado para dirigirse a personas específicas en organizaciones clave, instándolas a abrir el archivo ZIP adjunto.

El archivo contiene un ejecutable firmado digitalmente con el nombre que coincide con el contexto del correo electrónico y una DLL maliciosa que explota una vulnerabilidad (CVE-2022-23748) en el software Dante Discovery de Audinate para cargar lateralmente el malware "CurKeep" en el sistema.


CurKeep es una puerta trasera de 10 kb que establece la persistencia en el dispositivo violado, envía información del sistema al servidor de comando y control (C2) y luego espera los comandos.

La puerta trasera puede filtrar una lista de directorios para los archivos de programa de la víctima, indicando qué software está instalado en la computadora, ejecutar comandos y enviar la salida al servidor C2, y manejar las tareas basadas en archivos según las instrucciones de sus operadores.

Más allá de CurKeep, la campaña utiliza otras herramientas, principalmente cargadores, ejecutados principalmente a través de métodos similares de carga lateral de DLL.

Entre los más notables se encuentran el cargador CurLu, CurCore y CurLog, cada uno con funcionalidades y mecanismos de infección únicos.

CurCore es la más interesante de las cargas útiles secundarias, ya que puede crear archivos y rellenar su contenido con datos arbitrarios, ejecutar comandos remotos o leer un archivo y devolver sus datos en forma codificada en base64.

Otra puerta trasera notable que se destaca del resto es 'StylerServ', que actúa como un oyente pasivo que monitorea el tráfico en cinco puertos (60810 a 60814) para un archivo de configuración específico cifrado XOR ('stylers.bin').


El informe no especifica la funcionalidad exacta o el propósito de StylerServ o stylers.bin, pero es probable que sea parte de un mecanismo de servicio de configuración sigiloso para otros componentes de malware.

Check Point informa que "Stayin' Alive" utiliza varias muestras y variantes de estos cargadores y cargas útiles, a menudo adaptados a objetivos regionales específicos (idioma, nombres de archivo, temas).

La compañía de seguridad dice que el clúster recién identificado es probablemente un segmento de una campaña más amplia que involucra más herramientas y métodos de ataque no descubiertos.

A juzgar por la gran variedad de herramientas distintas que se ven en los ataques y su nivel de personalización, parecen ser desechables.

A pesar de las diferencias de código en esas herramientas, todas se conectan a la misma infraestructura, que Kaspersky vinculó previamente a ToddyCat, un grupo de espías cibernéticos chinos.

Actualización 10/12 - Poco después de la publicación de este informe, Kaspersky publicó una actualización sobre su seguimiento de la APT ToddyCat, destacando los nuevos métodos de ataque y cargas útiles que sus analistas descubrieron recientemente.

Durante el año pasado, Kaspersky observó un grupo paralelo de actividad del mismo actor de amenazas, diferente al visto por Check Point, con dos variantes de ataque que emplean ejecutables VLC legítimos para cargar malware utilizando la técnica de carga lateral de DLL.

Un malware notable implementado en estos ataques es 'Ninja Agent', que cuenta con administración de archivos, shell inverso, administración de procesos y más.

Otras herramientas que ToddyCat implementó en estos ataques incluyen LoFiSe (rastreador y ladrón de archivos), Cobalt Strike (suite de pruebas de penetración), DropBox Uploader y una puerta trasera UDP pasiva.

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta