Al actor de amenazas vinculado a China conocido como MirrorFace se le ha atribuido una nueva campaña de phishing dirigida principalmente a personas y organizaciones en Japón desde junio de 2024.
El objetivo de la campaña es ofrecer puertas traseras conocidas como NOOPDOOR (también conocido como HiddenFace) y ANEL (también conocido como UPPERCUT), dijo Trend Micro en un análisis técnico.
“Un aspecto interesante de esta campaña es el regreso de una puerta trasera denominada ANEL, que fue utilizada en campañas dirigidas a Japón por APT10 hasta alrededor de 2018 y no había sido observado desde entonces”, dijo el investigador de seguridad Hara Hiroaki. dicho.
Vale la pena señalar que el uso de ANEL por parte de MirrorFace también fue documentado por ESET el mes pasado como parte de un ciberataque dirigido a una organización diplomática en la Unión Europea utilizando señuelos relacionados con la Exposición Universal.
MirrorFace, también conocido como Earth Kasha, es el nombre que se le da a un actor de amenazas chino conocido por atacar persistentemente entidades japonesas. Se considera un subgrupo dentro de APT10.
La última campaña se aleja de las intrusiones del grupo de hackers observadas durante 2023, que buscaban principalmente explotar fallas de seguridad en dispositivos de borde de Array Networks y Fortinet para el acceso inicial.
El cambio a mensajes de correo electrónico de phishing es intencional, según Trend Micro, y una decisión motivada por el hecho de que los ataques están diseñados para identificar a individuos en lugar de empresas.
“Además, un análisis de los perfiles de las víctimas y de los nombres de los archivos de señuelos distribuidos sugiere que los adversarios están particularmente interesados en temas relacionados con la seguridad nacional de Japón y las relaciones internacionales”, señaló Hiroaki.
Las misivas digitales, enviadas desde cuentas de correo electrónico gratuitas o cuentas comprometidas, contienen un enlace a Microsoft OneDrive. Su objetivo es atraer a los destinatarios para que descarguen un archivo ZIP con trampas explosivas utilizando temas relacionados con solicitudes de entrevistas y la seguridad económica de Japón desde la perspectiva de las relaciones actuales entre Estados Unidos y China.
Trend Micro dijo que el contenido del archivo ZIP varía según los objetivos y agregó que descubrió tres vectores de infección diferentes que se han utilizado para entregar un gotero malicioso denominado ROAMINGMOUSE:
- Un documento de Word habilitado para macros
- Un archivo de acceso directo de Windows que ejecuta un archivo autoextraíble (SFX), que luego carga un documento de plantilla habilitado para macros
- Un archivo de acceso directo de Windows que ejecuta PowerShell y es responsable de eliminar un archivo contenedor integrado, que luego carga un documento de plantilla habilitado para macros.
El documento habilitado para macros, ROAMINGMOUSE, actúa como un gotero para los componentes relacionados con ANEL y, en última instancia, abre la puerta trasera, al mismo tiempo que incorpora técnicas de evasión que la ocultan de los programas de seguridad y dificultan la detección.
Uno de los módulos implementados a través del cuentagotas es ANELLDR, un cargador diseñado para ejecutar ANEL en la memoria. Se inicia utilizando un método conocido llamado carga lateral de DLL, después de lo cual descifra y ejecuta la puerta trasera de la etapa final.
ANEL, un implante basado en HTTP de 32 bits, fue desarrollado activamente entre 2017 y 2018 como una forma de realizar capturas de pantalla, cargar/descargar archivos, cargar ejecutables y ejecutar comandos a través de cmd.exe. La campaña 2024 emplea una versión actualizada que introduce un nuevo comando para ejecutar un programa específico con privilegios elevados.
Además, las cadenas de ataque aprovechan la puerta trasera para recopilar información de los entornos infectados y desplegar NOOPDOOR de forma selectiva contra objetivos de especial interés.
“Muchos de los objetivos son individuos, como investigadores, que pueden tener diferentes niveles de medidas de seguridad en comparación con las organizaciones empresariales, lo que hace que estos ataques sean más difíciles de detectar”, dijo Hiroaki. “Es fundamental mantener contramedidas básicas, como evitar abrir archivos adjuntos a correos electrónicos sospechosos”.
About the Author
