Una nueva campaña de malware, denominada “Sindoor Dropper”, está dirigida a sistemas Linux utilizando técnicas sofisticadas de phishing de lanza y una cadena de infección en varias etapas.
La campaña aprovecha los señuelos temáticos en torno al reciente conflicto de India-Pakistán, conocido como Operación Sindoor, para atraer a las víctimas a ejecutar archivos maliciosos.
La característica destacada de esta actividad es su dependencia de los archivos .desktop armados, un método previamente asociado con el grupo avanzado de amenaza persistente (APT) APT36, también conocido como tribu transparente o leopardo mítico.
El ataque comienza cuando un usuario abre un archivo .desktop malicioso, llamado “Note_warfare_ops_sindoor.pdf.desktop”, que se disfraza de un documento PDF estándar.
Según el análisis del sistema Nextron, tras la ejecución, abre un PDF de señuelo benigno para mantener la ilusión de legitimidad al tiempo que inicia silenciosamente un proceso de infección complejo y fuertemente ofuscado en el fondo.
El malware ‘Sindoor Dropper’ se dirige a los sistemas Linux
Este proceso está diseñado para evadir el análisis estático y dinámico, y la carga útil inicial tiene cero detecciones en Virustotal en el momento de su descubrimiento.
El malware ‘Sindoor Dropper’ se dirige a los sistemas Linux
El archivo .desktop descarga varios componentes, incluido un descriptor AES (MayuW) y un descargador cifrado (shjdfhd).
El Decryptor, un binario GO lleno de UPX, se corrompe intencionalmente despojando sus bytes mágicos Elf, es probable que evite los escaneos de seguridad en plataformas como Google Docs. El archivo .desktop restaura estos bytes en la máquina de la víctima para hacer el ejecutable binario nuevamente.
Esto inicia un proceso de varias etapas donde cada componente descifra y ejecuta el siguiente. La cadena incluye verificaciones básicas de máquina antivirtual, como la verificación de los nombres de la placa y los proveedores, los prefijos de dirección MAC específicas de la lista negra y el tiempo de actividad de la máquina de verificación.
Todas las cadenas dentro de los goteros se ofuscan utilizando una combinación de codificación Base64 y encriptación DES-CBC para obstaculizar aún más el análisis.
La carga útil final es una versión reutilizada de Meshagent, una herramienta legítima de administración remota de código abierto. Una vez implementado, Meshagent se conecta a un servidor de comando y control (C2) alojado en una instancia de Amazon Web Services (AWS) EC2 en WSS: //boss-servers.gov.in.indianbosssystems.ddns (.) Net: 443/agente.ashx.
Esto le da al atacante acceso remoto completo al sistema comprometido, lo que les permite monitorear la actividad del usuario, moverse lateralmente a través de la red y exfiltrado datos confidenciales, Nextron dicho.
La campaña de Sindoor Dropper destaca una evolución en la artes de amenazas de los actores, que demuestra un enfoque claro en los entornos de Linux, que las campañas de phishing tienen menos objetivo.
COI para Sindoor Drops
IOC typeIndicAtorDescriptionFile Hash9943bdf1b2a37434054b14a1a56a8e67aaa6a8b733ca785017d3ed8c1173aC59 Phishing de phishing (nota_warfare_ops_sindoor.pdf.desktop) archivo Hash9A1ADB50BB08F5A28160802C8F315749B15C9009F25AA6718C7752471DB3BBB4BDecrypted AES Decrytorcor (MayuW) Hash0f4ef1da435d5d64ccc21b4c2a6967b240c2928b297086878b3dcb3e9c87aaa23stage 2 descarga (shjdfhd) archivo Hash38B6B93A536CBAB5C289FE542656D8817D7C1217AD75C7F367B15C65D96A21D4STAGE 3 Descargar (Inter_DDNS) y el archivo de carga de malla descriptada (Server2) Archivo Hash05B468FC24C93885CAD40FF9ECB50594FAA6C2C590E75C88A5E5F54A8B696AC8MESHAGENT CARGA DE PARA PARA PARA PARED (servidor2) Hashba5B485552AB7775CE3116D9D5FA17F884452C1AE60118902E7F669FD6390EAE97DECOY PDF Document (/tmp/note_warfare.pdff) archivo .Desktop utilizado para phishingfileName/tmp/nota_warfare.pdf El documento de señuelo benigno que se muestra al victimfilenamemayuwaes Decryptor Decryptor Payload COLOWFILENAMESHJDFHDENCHECRYPTAD Meshagent Payload Networkws: //boss-servers.gov.in.indianbosssystems.ddns (.) Net: 443/agente.ashxcommand-and-confontrol (c2) URL del servidor para la carga de la carga útil de Meshagent () 42IP SERVER, NETMALIZY C2 Domain Network54.144.107 (.) 42IP Servidor, 42IP, el SERVER C2 de C2 de la red de NetMalicious C2. AWS
Al combinar la ingeniería social oportuna y específica de la región con técnicas de evasión avanzada, los atacantes aumentan su probabilidad de comprometer con éxito redes sensibles.
¡Encuentra esta historia interesante! Séguenos Google News, LinkedIny incógnita Para obtener más actualizaciones instantáneas.
