Los investigadores de amenazas advierten sobre las operaciones de espionaje gemelo chino-nexo: “Operation Chat” y “Operación Phantomprayers”, que estalló en las semanas anteriores al 90 cumpleaños del Dalai Lama, explotando el tráfico elevado a los sitios web de temática tibetana para sembrar a los anfitriones de Windows con sofisticados backdoors.
Al comprometer una página de saludo legítimo y intercambiar silenciosamente su hipervínculo, los atacantes canalizaron a los visitantes a dominios parecidos bajo Niccenter (.) Net, donde los instaladores manipulados enmascararon como herramientas de chat en idioma tibetano esperaban a los usuarios sin vigilar.
Una vez ejecutados, estos paquetes desataron Ghost Rat o el nuevo implante Phantomnet, lo que brinda a los operadores un amplio alcance de vigilancia entre archivos, cámaras web, micrófonos e incluso controles de apagado del sistema.
Los esquemas dependen de los cargadores de múltiples etapas que abusan de DLL Sidelading en binarios firmados (elemento.
A partir de ahí, ShellCode se desliza en el proceso Benign ImagingDevices.exe, asignando una nueva copia de ntdll.dll para sobrescribir los ganchos en modo de usuario antes de cargar reflexivamente el troyano central.
Analistas de ZSCaler anotado Que ambas campañas se basan en llamadas NT* y RTL* de bajo nivel en lugar de API Win32 más altas, una opción destinada a evitar muchos ganchos de visibilidad de puntos finales.
Ghost Rat Beacons a 104.234.15 (.) 90: 19999 sobre un protocolo TCP “Kugou” a medida, encriptando paquetes con un algoritmo RC4 modificado que también se utiliza para ocultar su configuración en disco.
Phantomnet, por el contrario, admite TCP o HTTPS en bruto a 45.154.12 (.) 93: 2233, envolviendo el tráfico en AES con una clave derivada dinámicamente.
Cada implante se extiende a través de DLLS de complementos a pedido (EXOR o AES, codificados hasta que se cargan, concesionando concesiones remotas, keylogging, robo de portapapeles y manipulación completa del registro.
Tomados en conjunto, las intrusiones ilustran cómo las API laterales de estilo de cadena de suministro y las API vivas del país siguen siendo herramientas potentes para los equipos de espionaje que buscan puntos de apoyo a largo plazo en las comunidades de la diáspora.
Mecanismo de infección: desde el señuelo web hasta el punto de apoyo persistente
El flujo de ataque comienza con un compromiso web estratégico. Las víctimas atrajeron a thedalailama90.niccenter (.) Net Press “Descargar” y recibir tbelement.zip, cuyo elemento legítimo.exe carga silenciosamente un ffmpeg.dll de Rogue (cargador de etapa 1).
Ese DLL descifra ShellCode integrado, lo inyecta en ImagingDevices.exe y escribe una entrada de tecla de ejecución: HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ Element), por lo que el cargador se reinicia en cada arranque.
Una coreografía similar potencia PhantomPrayers: dalailamacheckin.exe deja libvlc.dll más un archivo .tmp cifrado en %appData %\ birthday, luego planta un recordatorio de cumpleaños.
Cadena de ataque de varias etapas para la operación PhantomPrayers (Fuente-ZScaler)
El código de carcasa de la etapa 2 se comprime con NRV2D; Las cargas útiles de la Etapa 3 son ejecutables de PE completos cuyos encabezados se frotan (0x0d 0x0a) para frustrar escáneres estáticos.
El fragmento a continuación, recuperado de libvlc.dll, muestra el descifrado de doble capa que desbloquea el cargador reflectante de PhantomPrayers:–
Desde crypto.cipher importar arc4, aes shell = open (‘. tmp’, ‘rb’). read () rc4 = arc4.new (b ‘\ x0f \ x01 \ x02 \ x03 \ x04 \ x05 \ x06 \ x07 \ x08 \ x09 \ x0a \ x0b \ x0c \ x0d \ x0e \ x0e \ x0f’) rc4.decrypt (shell) aes = aes.new (b ‘\ x01 \ x02 \ x03 \ x09 \ x04 \ x05 \ x06 \ x07 \ x08 \ x09 \ x0a \ x0b \ x0c \ x0d \ x0e \ x0f’, aes.mode_cbc,,,,,,,, b ‘\ x01 \ x02 \ x03 \ x09 \ x04 \ x05 \ x06 \ x07 \ x08 \ x09 \ x0a \ x0b \ x0c \ x0d \ x0e \ x0f’) loader = aes.decrypt (etapa1 + b ‘\ x00’))
Una vez residente, el complemento Dllserst de Ghost Rat puede enumerar a los usuarios, mientras que Dllaudio registra Ambient Sound; Phantomnet refleja gran parte de este arsenal, pero también puede limitar la charla C2 a horas preestablecidas, reduciendo el ruido de la red.
Cadena de ataque de varias etapas para la Operación Ghostchat (Fuente-ZScaler)
La cadena de operaciones en el informe original de ZScaler resume gráficamente la cadena completa, subrayando cómo un solo clic fuera de lugar se traduce en vigilancia encubierta y persistente en los puntos finales de Windows.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
