Análisis de malware

Malware BlindingCan: qué es, cómo funciona y cómo prevenirlo | Destacado malware

16 de diciembre de por Pedro Tavares

Introducción

BlindingCan es un malware reciente que ha aparecido en los titulares en los últimos meses. Este malware es utilizado por piratas informáticos respaldados por el gobierno de Corea del Norte para realizar ataques en todo el mundo. En este artículo, revelaremos cómo se ha utilizado este malware, cómo opera en profundidad y algunas medidas preventivas para detener esta amenaza.

La Oficina Federal de Investigaciones (FBI) de EE. UU. y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) publicaron un informe titulado Informe de análisis de malware (AR32A) que describe una nueva pieza de malware llamada BlindingCan. Se trata de un troyano desarrollado por hackers norcoreanos del grupo Lazarus y con el objetivo de realizar ataques contra empresas de defensa militar y sectores aeroespaciales. La intención es robar inteligencia confidencial e información secreta.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

BlindingCan: Operación

Los delincuentes se hacen pasar por reclutadores de empresas legítimas para atraer a las víctimas a abrir un documento malicioso: un archivo de Office o PDF que infectará su sistema. Una vez que los delincuentes obtienen acceso al dispositivo de la víctima, realizan un reconocimiento para recopilar inteligencia sobre tecnologías militares y energéticas clave. El FBI cree que «los actores de amenazas están utilizando variantes de malware junto con servidores proxy para mantener una presencia en las redes de las víctimas y aumentar la explotación de la red». [HAGA CLIC EN LAS IMÁGENES PARA AMPLIAR]

1: Mensaje de phishing de delincuentes que atrae a la víctima a abrir un documento malicioso enviado por correo electrónico

Después de abrir el documento de Word, se utiliza un ataque de inyección de plantilla para instalar el malware en el sistema de destino. Esta técnica permite descargar una plantilla de Word externa armada que contiene macros y que puede ejecutarse para infectar el dispositivo de la víctima. Esta técnica de ataque evasivo no es nueva, pero sigue siendo muy eficaz para evitar la detección de AV.

Como se mencionó, los documentos maliciosos de Word contienen contenido relacionado con puestos de trabajo legítimos. La 2 presenta el flujo de trabajo operativo del malware BlindingCan.

2: Flujo de trabajo de operación de BlindingCan ( McAfee )

Los delincuentes descargan el archivo de plantilla desde un sitio web comprometido, como se presenta en la 3.

3: URL externa con la plantilla de Office armada (DOTM)

El archivo DOTM (tipo de archivo de plantilla de Office) se utiliza para cargar la siguiente etapa, una DLL legítima parcheada, en el sistema de la víctima para recopilar datos confidenciales y realizar movimientos laterales. El archivo DOTM (archivo de plantilla) contiene una macro de Visual Basic para cargar otras DLL maliciosas especialmente preparadas para este ataque.

4: Flujo de trabajo de BlindingCan: desde la descarga del archivo de Office hasta la implantación de la DLL en el sistema de la víctima

Además, estas DLL son versiones parcheadas de DLL legítimas, como la biblioteca SQLite.

5: Biblioteca legítima en el lado izquierdo y biblioteca maliciosa en el lado derecho

La DLL parcheada (la maliciosa) comparte mucho código con la DLL legítima, pero se agregaron algunas llamadas para obtener otra DLL de un servidor remoto que luego se inyecta directamente en la memoria. El punto de inyección se puede ver en la 6 a continuación, donde se utilizó la técnica de inyección de DLL a través de rundll32.exe .

6: Técnica de inyección de DLL utilizada por la DLL parcheada durante la cadena de infección BlindingCan

Durante su ejecución, se ejecuta un componente de monitoreo del portapapeles y registro de teclas y se extrae información adicional del sistema de destino. Para ello, los delincuentes utilizan comandos WMI. El siguiente comando, por ejemplo, se utiliza para instalar los productos AV en el sistema Windows comprometido:

inicie iwbemservices::execquery – seleccione * de win32_computersystemproduct

El malware también puede realizar varias tareas, como por ejemplo:

• Recopile información detallada sobre todos los discos instalados en el sistema.
• Recopile detalles de la dirección IP local
• Obtener información del procesador
• Eliminarse de los sistemas infectados y limpiar sus rastros
• Crear, iniciar y finalizar un nuevo proceso.
• Leer, escribir, ejecutar y mover archivos
• Cambiar el directorio actual de un archivo o proceso
• Modificar marcas de tiempo de archivos o directorios
• Operación en procesos (crear una lista, ejecutar, matar)
• Cargar/descargar archivos
• Obtener información del disco
• Obtener una lista de servicios
• Ejecutar comando de shell arbitrario

Durante la ejecución, la configuración del malware se almacena en una de las siguientes ubicaciones:

• Codificado en el propio malware
• Almacenado en una entrada del registro
• Guardado como un archivo

En caso de que se guarde como un archivo, se almacena en la misma carpeta donde se encuentra BlindingCan. El siguiente directorio se utiliza si la configuración se almacena en una entrada del registro:

Clave: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

Valor: «SM_Dev16[cadena numérica]»

En la se puede observar un archivo de configuración del malware BlindingCan. 7. Esta información también incluye detalles del proxy, así como información del servidor C2.

7: Configuración decodificada del malware BlindingCan

BlindingCan obtiene persistencia entregando un archivo LNK en la carpeta de inicio, como se presenta a continuación.

8: Se crea un archivo LNK en la carpeta de inicio como técnica de persistencia

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

Pensamientos finales

Los piratas informáticos del gobierno de Corea del Norte son grupos de amenazas activos que han atacado a Estados Unidos en los últimos años, junto con grupos chinos, iraníes y rusos. La prevención, como siempre, es la clave para prevenir este tipo de ataques.

De este modo, es importante entender y conocer la evolución de estos ataques a lo largo de los años para poder aplicar lo aprendido de incidentes pasados. Un proceso sólido de respuesta a las amenazas puede garantizar que los controles se adapten a los TTP y, en este caso, crear una mayor conciencia dentro de la organización.

Por último, una puerta de enlace web segura puede considerarse una parte obligatoria de la arquitectura de seguridad de la organización, ya que puede bloquear el acceso a sitios web maliciosos. Otras medidas, como mantener el software y el sistema operativo actualizados y tener un antivirus instalado y actualizado, son pasos cruciales que pueden ayudarnos a luchar contra el verdadero desafío llamado malware.

Fuentes

Informe de análisis de malware (AR32A) , Agencia de seguridad de infraestructura y ciberseguridad

Operación (노스 스타) Estrella del Norte ¿Una oferta de trabajo demasiado buena para ser verdad? , McAfee

BLINDINGCAN: una nueva cepa troyana que abusa de la plantilla de documento adjunto de Microsoft , OPSWAT

El grupo de hackers norcoreano está utilizando el malware BLINDINGCAN para atacar a empresas de defensa, advierte CISA , informática.co.uk

La RATA BLINDINGCAN y la actividad maliciosa de Corea del Norte , SentinelOne

BLINDINGCAN – Malware utilizado por Lazarus , JPCERT/CC Eyes