El actor de amenazas de espionaje cibernético rastreado como Kitsune de tierra se ha observado el despliegue de una nueva puerta trasera llamada BigoteEspía como parte de una campaña de ingeniería social.
Se sabe que Earth Kitsune, activo desde al menos 2019, se dirige principalmente a personas interesadas en Corea del Norte con malware de desarrollo propio, como dneSpy y agfSpy. Las intrusiones previamente documentadas implicaron el uso de pozos de agua que aprovechan las vulnerabilidades del navegador en Google Chrome e Internet Explorer para activar la cadena de infección.
El factor diferenciador en los últimos ataques es un cambio a la ingeniería social para engañar a los usuarios para que visiten sitios web comprometidos relacionados con Corea del Norte, según un nuevo informe de Trend Micro publicado la semana pasada.
La compañía de seguridad cibernética dijo que el sitio web de una organización pro-norcoreana anónima fue pirateado y modificado para distribuir el implante WhiskerSpy. El compromiso fue descubierto a finales del año pasado.
«Cuando un visitante objetivo intenta ver videos en el sitio web, un script malicioso inyectado por el atacante muestra un mensaje que notifica a las víctimas con un error de códec de video para tentarlos a descargar e instalar un instalador de códec troyano», los investigadores Joseph C Chen y Jaromir Horejsi dicho.
Se dice que el script con trampa explosiva se inyectó en las páginas de video del sitio web, con el instalador («Codec-AVC1.msi») posteriormente empleado para cargar WhiskerSpy.
Pero el ataque también exhibe algunos trucos inteligentes en un intento de eludir la detección. Esto implica entregar el script malicioso solo a aquellos visitantes cuyas direcciones IP coincidan con criterios específicos:
- Una subred de dirección IP ubicada en Shenyang, China
- Una dirección IP específica ubicada en Nagoya, Japón, y
- Una subred de dirección IP ubicada en Brasil
Trend Micro señaló que las direcciones IP objetivo en Brasil pertenecen a un servicio VPN comercial y que el actor de amenazas puede haber «usado este servicio VPN para probar el despliegue de sus ataques de abrevadero».
La persistencia se logra mediante abusando una vulnerabilidad de secuestro de Dynamic Library Link (DLL) en OneDrive o a través de una extensión maliciosa de Google Chrome que emplea API de mensajería nativa para ejecutar la carga útil cada vez que se inicia el navegador web.
La puerta trasera WhiskerSpy, al igual que otros programas maliciosos de este tipo, viene con capacidades para eliminar, enumerar, descargar y cargar archivos, tomar capturas de pantalla, inyectar shellcode, cargar ejecutables arbitrarios.
«Earth Kitsune domina sus habilidades técnicas y está continuamente desarrollando sus herramientas, tácticas y procedimientos», dijeron los investigadores.
Earth Yako ataca sectores académicos y de investigación en Japón
Earth Kitsune no es el único actor de amenazas que persigue objetivos japoneses, ya que la compañía de ciberseguridad también detalló otro conjunto de intrusiones con nombre en código Tierra Yako llamativas organizaciones de investigación y think tanks del país.
La actividad, observada recientemente en enero de 2023, es una continuación de una campaña conocida anteriormente denominada Operación RestyLink. Un subconjunto de los ataques también se dirigió a entidades ubicadas en Taiwán.
«El conjunto de intrusos introdujo nuevas herramientas y malware en un corto período de tiempo, cambiando y ampliando con frecuencia sus objetivos de ataque», Trend Micro dichoseñalando el modus operandi de Earth Yako de «cambiar activamente sus objetivos y métodos».
El punto de partida es un correo electrónico de spear-phishing que se hace pasar por invitaciones a eventos públicos. Los mensajes contienen una URL maliciosa que apunta a una carga útil que, a su vez, es responsable de descargar el malware en el sistema.
Los ataques también se caracterizan por un tesoro de herramientas personalizadas que incluyen droppers (PULink), loaders (Dulload, MirrorKey), stagers (ShellBox) y puertas traseras (PlugBox, TransBox).
PlugBox, ShellBox y TransBox, como su nombre lo indica, aprovechan las API de Dropbox para recuperar malware de próxima etapa desde un servidor remoto codificado en un repositorio de GitHub, recibir comandos y recopilar y filtrar datos.
Los orígenes exactos de Earth Yako siguen siendo desconocidos, pero Trend Micro dijo que identificó superposiciones técnicas parciales entre el grupo y otros actores de amenazas como Darkhotel, APT10 (también conocido como Stone Panda) y APT29 (también conocido como Cozy Bear o Nobelium).
«Una de las características de los ataques dirigidos recientes es que se dirigieron a personas que se consideraba que tenían medidas de seguridad relativamente débiles en comparación con las empresas y otras organizaciones», dijo la compañía.
«Este cambio para enfocarse en personas en lugar de empresas se destaca por la orientación y el abuso de Dropbox, ya que se considera un servicio popular en la región entre los usuarios para uso personal, pero no para las organizaciones».