Los investigadores de seguridad han observado una campaña sofisticada en las últimas semanas dirigidas a la infraestructura crítica y las entidades gubernamentales en todo el sur de Asia.
Apodado la operación de Sarksamural, esta cadena de ataque aprovecha los archivos LNK y PDF hechos engañosamente para infiltrarse en redes, establecer persistencia y exfiltrar información confidencial.
El reconocimiento inicial indica que los adversarios disfrazan los archivos de MSC (Console de administración de Microsoft) con iconos PDF familiares, lo que atrae a los destinatarios a iniciar scripts integrados inadvertidamente.
A medida que se desarrolla la campaña, las credenciales robadas y los metadatos del sistema fluyen hacia los servidores de comando y control de los atacantes, lo que permite un movimiento lateral adicional.
La infección comienza con un correo electrónico de phishing de lanza que contiene un archivo comprimido. Los destinatarios se presentan con un archivo llamado Drone_Information.pdf (.) MSC, que, a pesar de su apariencia similar a PDF, se ejecuta cuando se hace doble clic.
Analistas de CTFIOT anotado Que estos archivos MSC emplean tecnología Grimresource para desempacar y ejecutar JavaScript ofned, que a su vez descarga una carga útil de la segunda etapa.
Este enfoque de múltiples capas impide la detección basada en la firma, ya que cada etapa parece benigna hasta que ocurre la desobfuscación.
Los investigadores identificaron que el script malicioso contacta con una URL remota y recupera una DLL disfrazada, eventualmente almacenada bajo C: \ ProgramData \ dismCore (.) DLL para la ejecución posterior.
Para el tercer párrafo, se hace evidente que el impacto de Darksamural se extiende más allá del acceso inicial.
Las víctimas han reportado transferencias de archivos no autorizadas, robo de credenciales del navegador e incluso acceso remoto de shell.
La combinación de ratas de código abierto y propietarios, incluidos los míticos, cuasarrat y las novatas malas, confirma a los atacantes control versátil sobre máquinas comprometidas.
Unidad 942 Drone Info Mak3 (Fuente – CTFIOT)
Los archivos cosechados van desde documentos administrativos hasta investigaciones patentadas, lo que subraya el enfoque estratégico de la campaña en exfiltrar objetivos de alto valor.
Un análisis posterior revela que la DLL maliciosa incrusta una función de exportación, Diiregisterserver, que resuelve dinámicamente las API críticas de Windows.
Tras la ejecución, la muestra reúne los detalles del host, como el nombre de la máquina, la cuenta de usuario y la ID de proceso, empaquetándolos en un paquete de check-in JSON.
Este paquete está encriptado con AES-128-GCM y se transmite al punto final C2 a través de WinHTTP. Los artefactos de la red resultantes imitan el tráfico de actualización legítima, lo que complica la detección de anomalías.
Mecanismo de infección y ofuscación
Un examen más detallado de la estructura interna del archivo MSC descubre un esquema de ofuscación de múltiples capas diseñado para frustrar la ingeniería inversa.
El código inicial de JavaScript, incrustado en un XML StringTable, desencadena una transformación XSL que inicia MMC (.) EXE con una referencia de script remoto.
Archivo de phishing (fuente-ctfiot) {71e5b33e-1064-11d2-808f-0000f875a9ce} https (:) // caapakistaan (.) Com /…/ unit-942-drone-info-mak3 (.) Html
Después de obtener la segunda capa, el script invierte secuencias de caracteres, sustituye los tokens, se convierte en hexadecimal y realiza la decodificación de Base64 para producir la DLL final.
La rutina de decodificación ejemplifica esta transformación en Python:-
def decode (str): b = list (str) c = “” (.) Unirse (b (::-1)) (.) Reemplazar (“$”, “4”) (.) Reemplazar (“!”, “1”) d = ” (.) Join ((Chr (int (C (i: i: i+2), 16)) para i en el rango (0, Len (c), 2)))
Posteriormente, los bytes decodificados se escriben en el disco y se registran como un servidor COM, asegurando la ejecución del inicio del sistema.
Esta ofuscación en capas, combinada con la creación de tareas programada, ilustra el meticuloso enfoque de Darksamural para la infección y la evasión.
Los equipos de seguridad cibernética deben inspeccionar el comportamiento del archivo MSC, monitorear las invocaciones anómalas de MMC (.) EXE y validar las descargas basadas en script contra hashes conocidos de artefactos para detectar e interrumpir esta campaña.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
