Cibercriminales financiados por el gobierno de China están empleando una nueva variante de backdoor con el fin de desplegar una ambiciosa campaña de espionaje cibernético. Acorde a los expertos de Check Point Research, este backdoor fue diseñado, desarrollado y operado para el compromiso de los sistemas de un gobierno al sur de Asia que no fue nombrado de forma explícita.
Este es un malware basado en Windows y su cadena de infección comienza con el despliegue de una campaña de spear phishing en la que los actores de amenazas se hacen pasar por otras agencias gubernamentales, enviando a los usuarios afectaos documentos cargados de malware con apariencia legítima.
Si las víctimas interactúan con estos archivos, se activa la extracción de una plantilla .RTF remota y se implementa una versión de Royal Road, que funciona explotando fallas conocidas en el editor de ecuaciones de Microsoft Word, incluyendo CVE-2017-11882 y CVE-2018-0798.
Los investigadores mencionan que Royal Road es una herramienta muy popular entre los grupos de hacking chinos: “Estos documentos RTF suelen contener shellcode y una carga útil cifrada empleada para crear una tarea programada y lanzar técnicas de evasión de sandbox, además de descargar el backdoor.”
El backdoor, identificado “VictoryDll_86.dll”, fue desarrollado para el despliegue de tareas de espionaje y robo de datos a través de un servidor C&C. Empleando esta herramienta maliciosa los hackers pueden acceder y eliminar archivos de forma arbitraria, recopilar credenciales de inicio de sesión, ejecutar comandos a través de cmd.exe y crear o terminar procesos en ejecución.
Una vez cumplido este paso se inicia una conexión con un servidor C&C que a su vez es capaz de ejecutar ataques adicionales. Los servidores de primera etapa parecen estar alojados en Hong Kong, mientras que el servidor del backdoor está alojado en los sistemas de una firma con sede en E.U.
Los investigadores concluyeron que este backdoor es de autoría china debido a su particular horario operativo, el uso de Royal Road y a que algunas muestras previas de este backdoor, alojadas en VirusTotal, contenían comprobaciones de conectividad con el sitio web de Baidu: “Durante el análisis logramos bloquear la operación de vigilancia contra el gobierno objetivo, aunque es posible que otras operaciones similares permanezcan activas en estos momentos”, concluyen los expertos.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
