Investigadores han encontrado una campaña de ciberataques que utiliza una variante modificada del malware PlugX para atacar los sectores de telecomunicaciones y fabricación en Asia Central y del Sur. La campaña es notable porque esta nueva variante de PlugX comparte técnicas y código con otros dos malwares, RainyDay y Turian , lo que sugiere que podría haber un vínculo entre sus autores.
La técnica principal: Secuestro de orden de búsqueda de DLL
Estos malwares explotan una técnica llamada ” secuestro del orden de búsqueda de DLL ” (DLL Search Order Hijacking). Este método aprovecha la forma en que los sistemas operativos Windows buscan y cargan las bibliotecas dinámicas (DLL). Los atacantes colocando una DLL maliciosa con el mismo nombre que una legítima en un directorio que Windows buscará primero, engañando al sistema para que cargue el código malicioso en lugar del archivo original.
Similitudes técnicas entre los malwares
Cisco Talos ha encontrado una serie de coincidencias técnicas que apuntan a una posible conexión entre PlugX, RainyDay y Turian:
- Claves de cifrado compartidas: Los tres malwares utilizan la misma clave RC4 para descifrar sus cargas útiles.
- Algoritmos de cifrado: Todos usan una combinación de XOR y RC4, seguida de descompresión RtlDecompressBuffer.
- Formato de configuración: La nueva variante de PlugX ha adoptado el mismo formato de configuración que RainyDay, en lugar de su formato tradicional.
- Reutilización de código: Los cargadores de las tres familias de malware comparten funciones para leer y descifrar archivos en el mismo directorio que el ejecutable legítimo.
Estas similitudes sugieren que, a pesar de que se atribuyen a grupos diferentes (Naikon y BackdoorDiplomacy), es posible que los autores compartan código de una misma fuente.
¿Cómo funciona la infección?
El proceso de infección es el siguiente:
- Una aplicación legítima carga una DLL maliciosa por medio del “secuestro de DLL “.
- El cargador lee un archivo cifrado que se encuentra en el mismo directorio.
- Se descifra el contenido para obtener el shellcode .
- El shellcode se inyecta en un proceso legítimo, como explorer.exeo wabmig.exe.
- El malware se conecta a su servidor de mando y control (C2) y ejecuta funciones maliciosas.
Esta técnica de camuflaje, que abusa de aplicaciones legítimas, permite que el malware pase desapercibido por las defensas tradicionales.
Implicaciones de los ataques
- Convergencia de malware: La adaptación de PlugX a la estructura de RainyDay sugiere que los atacantes están mezclando herramientas y evolucionando sus arsenales.
- Dificultad de detección: El cifrado, la compresión, la inyección de código y el uso de técnicas de evasión complican el análisis forense y la detección.
- Motivaciones de espionaje: El enfoque en los sectores de telecomunicaciones y manufactura en Asia podría indicar motivaciones de espionaje.
Recomendaciones
- Identificar aplicaciones críticas (sobre todo de terceros) que se ejecutan con privilegios altos y que podrían cargar DLLs desde su propio directorio.
- Muchas campañas aprovechan binarios legítimos antiguos o vulnerables; actualizar reduce la superficie para “DLL hijacking”.
- Si una máquina queda comprometida, limitar que el atacante pueda desplazarse lateralmente hacia servidores críticos.
- Incorporar hashes, nombres de DLL, direcciones C2 y patrones descritos por Talos para detectar RainyDay, Turian y PlugX.
