Desde que el coronavirus se convirtió en un problema de salud en todo el mundo, el deseo de obtener más información y orientación del gobierno y las autoridades de salud ha alcanzado un punto álgido. Esta es una oportunidad de oro para que los actores de amenazas aprovechen el miedo, difundan información errónea y generen histeria masiva, todo mientras comprometen a las víctimas con estafas o campañas de malware.

Sacar provecho de las preocupaciones mundiales de salud, los desastres naturales y otros eventos climáticos extremos no es nada nuevo para los cibercriminales. Las estafas relacionadas con el SARS, la gripe H1N1 (gripe porcina) y la gripe aviar han circulado en línea durante más de una década. Según los informes de ZDnet , muchos actores de amenazas patrocinados por el estado ya han comenzado a distribuir señuelos de coronavirus, que incluyen:

  • APT chinos: Panda vicioso, Panda Mustang
  • APT de Corea del Norte: Kimsuky
  • APT rusos: grupo Hades (se cree que tiene vínculos con APT28), TA542 ( Emotet )
  • Otros APT: Sweed (Lokibot)

Recientemente, el equipo de Red Drip informó que APT36 estaba usando un documento de advertencia de salud señuelo para difundir una Herramienta de administración remota (RAT).

Se cree que APT36 es un actor de amenaza patrocinado por el estado paquistaní que apunta principalmente a la defensa, las embajadas y el gobierno de la India. APT36 realiza operaciones de ciberespionaje con la intención de recopilar información confidencial de la India que respalde los intereses militares y diplomáticos paquistaníes. Este grupo, activo desde 2016, también se conoce como Transparent Tribe , ProjectM, Mythic Leopard y TEMP.Lapis.

APT36 difunde aviso de salud falso sobre coronavirus

APT36 se basa principalmente en ataques de phishing y de pozos de agua para afianzarse en las víctimas. El correo electrónico de phishing es un documento macro malicioso o un archivo rtf que explota vulnerabilidades, como CVE-2017-0199.

En el ataque temático de coronavirus, APT36 usó un correo electrónico de phishing con enlace a un documento malicioso (Figura 1) disfrazado como el gobierno de la India ( email.gov.in.maildrive [.] Email /? Att = 1579160420 ).

Figura 1: documento de phishing que contiene código macro malicioso

Observamos las campañas de phishing anteriores relacionadas con este APT y podemos confirmar que este es un nuevo patrón de phishing de este grupo. Los nombres utilizados para directorios y funciones son probablemente nombres urdu.

El documento malicioso tiene dos macros ocultas que sueltan una variante RAT llamada Crimson RAT. La macro maliciosa (Figura 2) primero crea dos directorios con los nombres «Edlacar» y «Uahaiws» y luego verifica el tipo de sistema operativo.

Figura 2: macro maliciosa

Según el tipo de sistema operativo, la macro elige una versión de 32 bits o 64 bits de su carga útil RAT en formato zip que se almacena en uno de los dos cuadros de texto en UserForm1 (Figura 3).

Figura 3: cargas útiles integradas en formato ZIP

Luego, suelta la carga de zip en el directorio de Uahaiws y descomprime su contenido utilizando la función «UnAldizip», dejando caer la carga de RAT en el directorio de Edlacar. Finalmente, llama a la función Shell para ejecutar la carga útil.

RAT carmesí

Crimson RAT ha sido escrito en .Net (Figura 4) y sus capacidades incluyen:

  • Robar credenciales del navegador de la víctima
  • Listado de procesos, unidades y directorios en ejecución en la máquina de la víctima
  • Recuperando archivos de su servidor C&C
  • Usando el protocolo TCP personalizado para sus comunicaciones C&C
  • Recopilación de información sobre software antivirus
  • Capturando capturas de pantalla
Figura 4: RAT Carmesí

Al ejecutar la carga útil, Crimson RAT se conecta a sus direcciones IP de C&C codificadas y envía la información recopilada sobre la víctima al servidor, incluida una lista de procesos en ejecución y sus ID, el nombre de host de la máquina y su nombre de usuario (Figura 5).

Figura 5: comunicaciones TCP

Uso continuo de RAT

APT36 ha utilizado muchas familias diferentes de malware en el pasado, pero ha implementado principalmente RAT, como BreachRAT, DarkComet, Luminosity RAT y njRAT.

En campañas anteriores, pudieron comprometer las bases de datos militares y gubernamentales de la India para robar datos confidenciales, incluidos documentos de estrategia y entrenamiento del ejército, documentos tácticos y otras cartas oficiales. También pudieron robar datos personales, como escaneos de pasaportes y documentos de identificación personal, mensajes de texto y detalles de contacto.

Protección contra las ratas

Si bien la mayoría de los usuarios en general no deben preocuparse por los ataques de estado-nación, las organizaciones que desean protegerse contra esta amenaza deberían considerar usar un sistema de protección de punto final o detección y respuesta de punto final con bloqueo de exploits y detección de malware en tiempo real.

Acumulando vulnerabilidades manteniendo todo el software (incluyendo Microsoft Excel y Word) escudos actualizados contra ataques de exploits. Además, capacitar a los empleados y usuarios para evitar abrir recursos de coronavirus de fuentes no protegidas puede proteger contra este y otros ataques de ingeniería social de actores de amenazas.

Los usuarios de Malwarebytes están protegidos contra este ataque. Bloqueamos la ejecución maliciosa de macros, así como su carga útil con nuestra capa de protección de comportamiento de aplicaciones y detección de malware en tiempo real.

Indicadores de compromiso

URL de señuelo

email.gov.in.maildrive [.] email /? att = 1579160420 
email.gov.in.maildrive [.] email /? att = 1581914657

Documentos señuelo

876939aa0aa157aa2581b74ddfc4cf03893cede542ade22a2d9ac70e2fef1656 
20da161f0174d2867d2a296d4e2a8ebd2f0c513165de6f2a6f455abcecf78f2a

RAT carmesí

0ee399769a6e6e6d444a819ff0ca564ae584760baba93eff766926b1effe0010
b67d764c981a298fa2bb14ca7faffc68ec30ad34380ad8a92911b2350104e748

C2s

107.175.64 [.] 209
64.188.25 [.] 205

MITRE ATT Y CK

https://attack.mitre.org/software/S0115/