Un actor de amenazas persistentes avanzadas (APT) de habla china «extremadamente sofisticado» apodado luoyu se ha observado utilizando una herramienta maliciosa de Windows llamada WinDealer que se entrega mediante ataques de tipo man-on-the-side.
«Este innovador desarrollo permite al actor modificar el tráfico de la red en tránsito para insertar cargas útiles maliciosas», dijo la empresa rusa de ciberseguridad Kaspersky. dijo en un nuevo informe. «Tales ataques son especialmente peligrosos y devastadores porque no requieren ninguna interacción con el objetivo para llevar a una infección exitosa».
Conocidas por estar activas desde 2008, las organizaciones a las que apunta LuoYu son predominantemente organizaciones diplomáticas extranjeras establecidas en China y miembros de la comunidad académica, así como empresas financieras, de defensa, logística y telecomunicaciones.
El uso de LuoYu de WinDealer fue documentado por primera vez por la firma de ciberseguridad taiwanesa EquipoT5 en la Conferencia de Analistas de Seguridad de Japón (JSAC) en enero de 2021. campañas de ataque han utilizado el malware para apuntar a entidades japonesas, con infecciones aisladas reportadas en Austria, Alemania, India, Rusia y los EE. UU.
Otras herramientas que forman parte del arsenal de malware del adversario incluyen PlugX y su sucesor ShadowPad, los cuales han sido utilizados por una variedad de actores de amenazas chinos para permitir sus objetivos estratégicos. Además, se sabe que el actor apunta a dispositivos Linux, macOS y Android.
WinDealer, por su parte, se ha entregado en el pasado a través de sitios web que actúan como abrevaderos y en forma de aplicaciones troyanizadas que se hacen pasar por servicios de alojamiento de video y mensajería instantánea como Tencent QQ y Youku.
Pero desde entonces, el vector de infección se cambió por otro método de distribución que hace uso del mecanismo de actualización automática de aplicaciones legítimas seleccionadas para servir una versión comprometida del ejecutable en «pocas ocasiones».
WinDealer, una plataforma de malware modular en esencia, viene con todas las características habituales asociadas con una puerta trasera tradicional, lo que le permite aspirar información confidencial, capturar capturas de pantalla y ejecutar comandos arbitrarios.
Pero donde también se destaca es el uso de un complejo algoritmo de generación de IP para seleccionar un servidor de comando y control (C2) para conectarse al azar de un grupo de 48,000 direcciones IP.
«La única forma de explicar estos comportamientos de red aparentemente imposibles es asumir la existencia de un atacante que puede interceptar todo el tráfico de la red e incluso modificarlo si es necesario», dijo la compañía.
A hombre-en-el-lado El ataque, similar a un ataque man-in-the-middle, permite a un intruso deshonesto leer e inyectar mensajes arbitrarios en un canal de comunicaciones, pero no modificar ni eliminar mensajes enviados por otras partes.
Estas intrusiones suelen apostar por sincronizar estratégicamente sus mensajes de modo que la respuesta maliciosa que contiene los datos proporcionados por el atacante se envíe en respuesta a la solicitud de la víctima de un recurso web antes de la respuesta real del servidor.
El hecho de que el actor de amenazas pueda controlar un rango tan masivo de direcciones IP también podría explicar el secuestro del mecanismo de actualización asociado con aplicaciones genuinas para entregar la carga útil de WinDealer, señaló Kaspersky.
«Los ataques de hombre al costado son extremadamente destructivos, ya que la única condición necesaria para atacar un dispositivo es que esté conectado a Internet», dijo el investigador de seguridad Suguru Ishimaru.
«No importa cómo se haya llevado a cabo el ataque, la única manera de que las posibles víctimas se defiendan es mantenerse extremadamente alerta y contar con procedimientos de seguridad sólidos, como escaneos antivirus regulares, análisis del tráfico de red saliente y registro extenso para detectar anomalías. «