Home Tecnología Elephant Apt Group atacando a la industria de la defensa aprovechando el...

Elephant Apt Group atacando a la industria de la defensa aprovechando el jugador VLC y el código de shell encriptado

12
0

El grupo de amenaza persistente avanzada de elefantes lanzando ha lanzado una sofisticada campaña de afición cibernética dirigida a contratistas de defensa turca, particularmente compañías que fabrican sistemas de misiles guiados por precisión.

Esta operación maliciosa representa una evolución significativa en las capacidades del grupo, empleando una compleja cadena de ejecución de cinco etapas que disfraza hábilmente las cargas útiles maliciosas como invitaciones legítimas de la conferencia relacionadas con los sistemas de vehículos no tripulados.

El ataque comienza con un archivo LNK armado llamado “Unsergned_Vehicle_Systems_Conference_2025_in_istanbul.lnk” que se disfraza de una invitación a una conferencia de UAV programada para julio de 2025 en Estambul.


Tras la ejecución, el archivo inicia una secuencia de descarga basada en PowerShell que recupera múltiples componentes del dominio malicioso Expouav (.) Org, que se hace pasar por el sitio web de la conferencia legítimo Waset.org.

Sitio web legítimo de WASET.org con la misma información de la conferencia utilizada por la réplica falsa basada en PDF (fuente-Arctic Wolf)

Investigadores del lobo del Ártico identificado Esta campaña como parte del alcance de la orientación ampliada de Elephant, señalando el cambio estratégico del grupo de los objetivos tradicionales del sur de Asia a las industrias de defensa aliadas de la OTAN.

El tiempo coincide con la mayor cooperación de defensa de Turquía-Pakistán y las tensiones militares regionales, lo que sugiere objetivos de recolección de inteligencia geopolíticamente motivados.

El malware demuestra técnicas de evasión sofisticadas al abusar de componentes de software legítimos, específicamente VLC Media Player y Microsoft Task Scheduler, a través de mecanismos de carga lateral de DLL.

Este enfoque permite a los actores de amenaza combinar actividades maliciosas con procesos de confianza, reduciendo significativamente las probabilidades de detección por soluciones de seguridad.

Marco avanzado de persistencia y ejecución de comandos

La innovación más notable de la campaña se encuentra descarga cinco archivos distintos con extensiones deliberadamente ofuscadas.

La ejecución de PowerShell emplea parámetros de sigilo que incluyen -EP 1 para la política de ejecución y $ ProgressPreference = “SilentlyContinue” para suprimir los indicadores visuales durante el proceso de descarga.

La cadena de ataque comienza descargando un ejecutable legítimo de VLC Media Player (originalmente llamado “Lama”) junto con una biblioteca maliciosa de libvlc.dll (originalmente “lago”).

Esta DLL sirve como un cargador de shellcode responsable de descifrar y ejecutar la carga útil final almacenada en VLC.Log. El proceso de descifrado utiliza una clave codificada “76BHU93FGRJZX5HJ876BHU93FGRJX5” para transformar el código de sellado encriptado en un ejecutable funcional de PE X86.

La persistencia se establece a través de una tarea programada creada a través del comando:-

saps “c: \ windows \ tareas \ winver” -a “/create”, ‘/sc’, ‘minuto’, ‘/tn’, ‘newRorReport’, ‘/tr’, “c: \ windows \ tareas \ vlc”, ‘/f’;

Esta tarea ejecuta el reproductor VLC comprometido cada minuto, asegurando el acceso continuo del sistema mientras mantiene la aparición de la actividad legítima del reproductor multimedia.

La carga útil final se comunica con el servidor de comando y control Roseserve (.) Org, que se hace pasar por el sitio web de distribución de Pardus Linux de Turquía.

El malware crea un mutex llamado “GHJGHKJ” para evitar múltiples instancias e implementa siete manejadores de comandos distintos, incluidas capacidades de captura de pantalla de captura de pantalla (3SC3), carga de archivos (3NGJFNG5) y capacidades de ejecución de código remoto (3GJDFGHJ6), proporcionando control integral del sistema a los atacantes.

Experimenta una detección de phishing más rápida y precisa y una protección mejorada para su negocio con análisis de sandbox en tiempo real-> Prueba cualquiera.

Fuente de noticias