Los investigadores de ciberseguridad han descubierto una sofisticada campaña de malware donde los actores de amenaza están explotando documentos de procesador de textos Hangul (.HWP) para distribuir el notorio malware Rokrat.
Esto marca un cambio significativo del método de distribución tradicional del malware a través de archivos de acceso directo malicioso (LNK), lo que demuestra las tácticas en evolución de los grupos de amenazas persistentes avanzadas.
La campaña de ataque utiliza señuelos de ingeniería social cuidadosamente elaborada con nombres de documentos como “250615_Operation Status of Grain Store.hwp” y “(Aviso) Fecha límite de presentación de retorno del IVA (final)” para atraer a las víctimas a abrir archivos adjuntos maliciosos.
Contenido de documento (fuente – ASEC)
Estos documentos contienen contenido aparentemente legítimo sobre los puntos de distribución de granos de Corea del Norte, enmascarando efectivamente su intención maliciosa mientras crea credibilidad con usuarios específicos.
Analistas de ASEC identificado que el malware aprovecha una técnica sofisticada que involucra objetos OLE integrados (vinculación e incrustación de objeto) dentro de los documentos HWP.
Hyperlink para ejecutar sillrunas.exe (fuente – ASEC)
Cuando las víctimas acceden a la página del documento que contiene estos objetos, el proceso de Hangul crea automáticamente archivos maliciosos, incluidos shellrunas.exe y credui.dll en el directorio temporal del sistema (% TEMP% ruta).
La cadena de ataque concluye con las víctimas haciendo clic en un hipervínculo etiquetado como material de referencia “(Apéndice).
DLL Mecanismo de ataque de carga lateral
El malware emplea un sofisticado técnicas de carga lateral DLL para evitar los controles de seguridad.
Shellcode insertado en la imagen (fuente – ASEC)
El vector de ataque primario utiliza Shellrunas.exe, una utilidad legítima de Windows, que carga automáticamente el credui.dll malicioso desde la misma ruta del directorio.
Programa legítimo: Shellrunas.exe (Signed Microsoft) Maliciosa carga: Credui.dll (cargado a través de la carga lateral de DLL) Etapa final: Descarga Padre.jpg que contiene Rokrat ShellCode
Esta técnica permite a los actores de amenaza ejecutar código malicioso mientras parece utilizar componentes de sistema confiables, complicar significativamente los esfuerzos de detección y permitir la implementación de las capacidades integrales de recopilación de datos de Rokrat.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
