Nueva investigación: Docless Vietnam APT. Un interesante malware contra el gobierno de Vietnam

ElevenPaths    16 abril, 2019
Nueva investigación: Docless Vietnam APT. Un interesante malware contra el gobierno de Vietnam

Hemos detectado un malware enviado a varias cuentas de correo electrónico pertenecientes al un dominio del gobierno de Vietnam. Este email ha sido escrito en Vietnamita con fecha del 13 de marzo de 2019. Este correo, parece proceder de una cuenta interna de la propia organización (gov.vn), quizás se trata de alguien enviándolo a un operador de seguridad, ya que resulta sumamente sospechoso. El fichero adjunto produjo una interesante infección del sistema. Utilizando para ello una serie de técnicas nunca vistas con anterioridad, haciéndonos pensar que se trata de una campaña muy precisa y dirigida, utilizando recursos sumamente interesantes para infectar específicamente al gobierno Vietnamita.

La vista global del esquema de amenaza es el siguiente: 

Aunque pareza típico, en realidad el esquema esconde algunas técnicas muy inteligentes para evitar la detección y engañar al sistema.

Docless DOC con tres etapas
Dentro del ZIP no hay ningún fichero. En vez de eso, encontramos un enlace con extensión .lnk que simula ser un icono de un documento. Esta técnica ha sido usada muchas veces por atacantes, pero no es un recurso muy popular. El payload reside en la propiedad Target del fichero enlazado donde apunta el LNK. Cuyo objetivo contiene código MS-DOS ofuscado para componerse a sí mismo.

El resultado (utilizando una técnica llamada “carving“) consiste en un fichero PS, codificado en base64, almacenado en la variable %TEMP% y renombrado a s.ps1. La ofuscación DOS alude a una técnica basada en comandos DOS (utilizada en la progamación BAT) que se ofusca a sí misma utilizando loops, variables de entorno y una composición de nombres que toma subcadenas de nombres de ficheros, directorios, etc. 

Este PowerShell, una vez ejecutado, creará y ejecutará otro fichero PowerShell, que residirá solamente en memoria y que, de nuevo, ejecutará una shell WScript. Este script creará a su vez tres nuevos ficheros:

1. Un fichero DOC de señuelo, haciendo creer a la víctima que un fichero doc realmente ha sido abierto. 

2. Una herramienta legítima para instalar ficheros .NET ensamblados. Esto será usado para evitar las protecciones de SmartScreen y AppLocker, ya que el payload será un parámetro de este fichero legítimo.

3. Un fichero DLL, creado en .NET para contener el verdadero payload malicioso.

Además, esconde más sorpresas para permanecer oculto. Todos los detalles técnicos se encuentran en este informe.

Este malware utiliza varias técnicas interesantes, que, aunque no son novedosas, tampoco son comunes, y menos aún utilizadas de forma combinada en un mismo ataque.

  • El ataque parece dirigirse a una parte muy específica del gobierno de Vietnam.
  • Utilizando un fichero .LNK mantiene el ataque fuera de los sandboxes.
  • Las técnicas de ofuscasión aplicadas se usan de forma muy astuta para mantener el malware por debajo del radar.
  • La técnica de ejecución aleja el malware del EDR, por ejemplo cargándolo a través de un binario legítimo, trabajando en memoria para la deofuscación y la inyección, etc.
  • Aunque ellos utilicen un conocido malware como comando, la forma en la que es inyectado y cargado en memoria demuestra ser una técnica muy interesante.
  • Este enfoque parece no ser utilizado por ningún otro ataque común o conocido.

Todavía estamos trabajando para localizar la atribución, si es que llega a ser posible.

CyberThreats lab en cooperación con el área de innovación y laboratorio
www.elevenpaths.com

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *