FoundCore: Malware evasivo usado por hackers chinos para ciberespionaje
Tabla de contenidos:
Expertos en seguridad de Kaspersky Lab han descubierto una operación de ciberespionaje de larga duración lanzada por un actor respaldado por la nación china para atacar instituciones gubernamentales y militares en todo Vietnam. El grupo de hackers, conocido como Cycldek, APT27, GoblinPanda y LuckyMouse, utilizó un troyano de acceso remoto completamente nuevo y altamente evasivo para alcanzar su objetivo malicioso. El RAT, llamado FoundCore, representa la creciente sofisticación de los adversarios patrocinados por el estado chino debido a sus vastas capacidades maliciosas.
Cycldek ataca al gobierno y la marina de Vietnam
El análisis de Kaspersky muestra que la campaña Cycldek tuvo lugar entre junio de 2020 y enero de 2021. La mayoría de los dispositivos infectados se localizaron en Vietnam, sin embargo, se detectaron intrusiones de menor escala también en Tailandia y Asia Central. Los principales objetivos eran activos gubernamentales y militares, aunque los adversarios también atacaron a organizaciones en los sectores de diplomacia, educación y salud.
Durante las intrusiones, Cycldek aprovechó una técnica conocida de carga lateral de DLL para enmascarar operaciones maliciosas. En particular, los adversarios utilizaron archivos firmados legítimamente para cargar y descifrar la carga final de FoundCore. Los hackers también aplicaron una capa adicional de protección contra la detección y el análisis de malware. Según los investigadores, limpiaron completamente la mayoría de los encabezados de FoundCore, quedando un par de ellos con valores incoherentes. Este método es exclusivo para actores afiliados en China, indicando el avance de sus técnicas maliciosas.
¿Qué es el RAT FoundCore?
La carga final en la cadena de ataque es el troyano de acceso remoto FoundCore, que permite a los hackers de Cycldek obtener control total sobre la instancia objetivo. Para lograr esto, el malware está equipado con una amplia gama de funciones notoriamente dañinas, como la manipulación del sistema de archivos y procesos, la captura de capturas de pantalla y la ejecución de código arbitrario. Además, el RAT puede actuar como un descargador, dejando caer dos cepas adicionales en las PC objetivo. La primera se identificó como una amenaza de robo de datos llamada DropPhone, mientras que la segunda se identificó como un malware CoreLoader capaz de asegurar la evasión.
Los expertos creen con un alto nivel de confianza que el vector de intrusión inicial de FoundCore se basa en documentos RTF maliciosos. Específicamente, la investigación de Kaspersky detalla que en la mayoría de los casos las infecciones de FoundCore fueron precedidas por la apertura de documentos maliciosos generados con RoyalRoad y explotando CVE-2018-0802 vulnerabilidad.
Detección de RAT FoundCore
Para detectar los ataques de Cycldek que aprovechan el RAT FoundCore, puede descargar una regla Sigma comunitaria producida por nuestro desarrollador activo de Threat Bounty, Sittikorn Sangrattanapitak:
https://tdm.socprime.com/tdm/info/l08pKvzQtWPp
La regla tiene traducciones para las siguientes plataformas:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, LogPoint, Humio, RSA NetWitness, FireEye Helix
EDR: Sentinel One, Microsoft Defender ATP
NTA: Corelight
MITRE ATT&CK:
Actor: APT27
¿Busca el mejor contenido de SOC compatible con la solución de seguridad que usa? Suscríbase al Mercado de Detección de Amenazas y alcance más de 100K reglas de Detección y Respuesta para más de 23 herramientas líderes en el mercado de SIEM, EDR y NTDR. ¿Inspirado para crear sus propias reglas Sigma? ¡Únase a nuestro programa Threat Bounty y obtenga recompensas por su valiosa contribución!
