Técnicas de Ataque de SloppyLemming y Backdoor BurrowShell Explicado
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
SloppyLemming es un grupo de ciberespionaje que apunta a industrias críticas en el sur y este de Asia. El grupo se basa en spearphishing para entregar malware personalizado, incluyendo el backdoor BurrowShell y un keylogger basado en Rust. También hace un uso extensivo de Cloudflare Workers para apoyar la actividad de comando y control y operaciones de robo de credenciales.
Investigación
El informe describe una campaña de múltiples etapas que involucra macros maliciosas de Excel y portales de autenticación falsos. Los investigadores identificaron subdominios de Cloudflare creados para imitar entidades gubernamentales y analizaron el shellcode personalizado del grupo junto con sus capacidades de registro de teclas. La investigación también mostró cómo SloppyLemming evade el análisis estático mediante la resolución dinámica de API y cargas útiles cifradas con RC4.
Mitigación
Las organizaciones deben implementar un fuerte filtrado de correo electrónico para bloquear los archivos adjuntos maliciosos y los enlaces de phishing antes de su entrega. Los equipos de seguridad deben monitorear las modificaciones no autorizadas de Run keys y relaciones sospechosas de procesos padre-hijo, incluyendo NGenTask.exe cargando DLLs inesperados. La detección también debe cubrir tráfico inusual de Cloudflare Worker y cualquier signo de uso no autorizado de tokens OAuth.
Respuesta
Si se detecta esta actividad, aísle los sistemas afectados de inmediato para detener más exfiltración a través del canal de comando y control. Realice forense de memoria para recuperar el shellcode BurrowShell y determinar el alcance del compromiso. Restablezca las credenciales de cualquier cuenta que pueda haber sido expuesta a través del keylogger o la interceptación de OAuth, con atención especial a las cuentas de Google.
Flujo de Ataque
Detecciones
Posible Abuso del Dominio de Desarrollo de Cloudflare (via dns)
Ver
Posibles Puntos de Persistencia [ASEPs – Hive de Software/NTUSER] (via registro_event)
Ver
Posible Archivo Malicioso de Doble Extensión (via creación_de_proceso)
Ver
Monitoreo de Comunicación C2 de SloppyLemming a través de BurrowShell [Conexión de Red de Windows]
Ver
Detección de Actividad Maliciosa por el Grupo SloppyLemming [Creación de Proceso de Windows]
Ver
Ejecución de Simulación
Prerrequisito: La Verificación Previa de Telemetría y Línea de Base debe haber pasado.
Justificación: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTP identificados y pretenden generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados conducirán a un diagnóstico erróneo.
-
Narrativa y Comandos de Ataque: Un adversario busca mantener la persistencia y ejecutar código de manera encubierta. Intentan secuestrar el
audiodg.exeflujo de proceso pasandomscorsvc.dllcomo argumento, una técnica conocida de SloppyLemming. Para complicar aún más la detección, también pueden intentar enmascarar su presencia nombrando un proceso malicioso secundarioOneDrive.exeen la cadena de comandos. El objetivo es activar la regla de detección sincronizando la combinación específica deaudiodg.exey el DLL sospechoso o el nombre enmascarado. -
Script de Prueba de Regresión:
# Script de Simulación: Emulación del TTP de SloppyLemming # Escenario 1: Secuestro de audiodg.exe con mscorsvc.dll Write-Host "[+] Simulando secuestro de audiodg.exe con mscorsvc.dll..." Start-Process "cmd.exe" -ArgumentList "/c audiodg.exe mscorsvc.dll" -WindowStyle Hidden # Escenario 2: Mascaramiento a través de OneDrive.exe en la línea de comandos Write-Host "[+] Simulando la ejecución de audiodg.exe con OneDrive.exe enmascarado..." Start-Process "cmd.exe" -ArgumentList "/c audiodg.exe --path C:UsersPublicOneDrive.exe" -WindowStyle Hidden -
Comandos de Limpieza:
# Limpieza: No se crean artefactos permanentes con los comandos cmd /c, # pero aseguramos que no existan procesos sospechosos residuales. Stop-Process -Name "cmd" -ErrorAction SilentlyContinue