El notorio grupo de actores de amenaza APT-C-24, comúnmente conocido como Sidewinder o Rattlesnake, ha evolucionado su metodología de ataque al desplegar sofisticadas campañas de phishing basadas en archivos LNK dirigidas a sectores gubernamental, energético, militares y mineros en todo el sur de Asia.
Activo desde 2012, esta organización avanzada de amenaza persistente se ha alejado de su explotación tradicional de las vulnerabilidades de Microsoft Office, en lugar de adoptar un enfoque más sigiloso utilizando archivos de acceso directo armado para ejecutar scripts maliciosos remotos.
Las muestras de ataque recientes descubiertas por los investigadores de seguridad revelan una campaña cuidadosamente orquestada donde las víctimas reciben archivos comprimidos que contienen tres archivos LNK maliciosos, cada uno diseñado con extensiones duales como “archivo 1.docx.lnk”, “archivo 2.docx.lnk” y “archivo 3.docx.lnk”.
Estos nombres de archivo engañosos están diseñados estratégicamente para aparecer como archivos de documentos legítimos, explotando la confianza del usuario y aumentando la probabilidad de ejecución.
Los atacantes han refinado su mecanismo de entrega para maximizar la probabilidad de infección al proporcionar múltiples puntos de entrada dentro de un solo paquete.
Analistas de CTFIOT identificado que estos archivos LNK aprovechan el programa de la aplicación HTML de Microsoft HTML (MSHTA) para ejecutar scripts maliciosos alojados en servidores remotos de comando y control.
Las URL remotas exhiben un patrón distintivo, que termina con los parámetros “yui = 0”, “yui = 1” y “yui = 2”, que sirve como identificadores únicos para cada variante mientras mantienen la similitud funcional en los tres archivos.
Proceso de ataque (Fuente – CTFIOT)
La metodología de ataque demuestra capacidades sofisticadas de conciencia ambiental, con los scripts maliciosos que realizan un reconocimiento integral del sistema antes de continuar con el despliegue de carga útil.
Tras la ejecución, el componente inicial de JavaScript lleva a cabo las verificaciones anti-análisis al consultar las especificaciones del sistema a través de Windows Management Instrumentation (WMI), examinando específicamente los recuentos básicos del procesador y la asignación de memoria física para distinguir entre entornos objetivo genuinos y sandboxes de investigación de seguridad.
Mecanismos avanzados de evasión y despliegue de carga útil
La sofisticación técnica del grupo se hace evidente en sus técnicas de ofuscación de varias capas y su sistema de entrega de carga útil condicional.
La aplicación HTML inicial realiza una funcionalidad dual al implementar simultáneamente el contenido de señuelo para mantener el engaño de las víctimas mientras establece la persistencia a través de los componentes de ataque residentes en la memoria.
El script malicioso consulta los núcleos del procesador que usan “Seleccionar número de CCOLE de win32_processor” y requiere un mínimo de dos núcleos junto con 810 MB de memoria física antes de continuar con el descifrado de carga útil.
Una vez que las verificaciones ambientales pasan la validación, el script emplea la decodificación de Base64 combinada con el cifrado XOR para descifrar y cargar reflexivamente un componente de descargador de C# fuertemente ofuscado.
Esta sofisticada carga útil realiza la detección de software de seguridad, escaneando los procesos asociados con Kaspersky, ESET y otras soluciones de protección de punto final antes de establecer la comunicación con la infraestructura de comando y control.
Los atacantes demuestran la conciencia de seguridad operativa mediante la rotación rápidamente de dominios comprometidos y entregando selectivamente las cargas útiles avanzadas solo a las víctimas que cumplen con los criterios de orientación específicos, lo que complica significativamente los esfuerzos de investigación de seguridad y las actividades de caza de amenazas.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
