Detección de Malware Merdoor: Lancefly APT Usa una Puerta Trasera Sigilosa en Ataques Prolongados Contra Organizaciones en el Sur y Sudeste Asiático
Tabla de contenidos:
Un colectivo de hackers novedoso rastreado como Lacefly APT ha sido recientemente observado aplicando un backdoor personalizado llamado Merdoor para atacar organizaciones en los sectores gubernamental, de telecomunicaciones y aviación en el sur y sureste de Asia. Según los últimos informes, estas intrusiones apuntan a una campaña de adversarios de largo plazo que aprovechan una muestra de Merdoor, con los primeros indicios que se remontan a 2018.
Detección del Backdoor Merdoor por Lancefly
Lancefly APT es un nuevo jugador en el tablero que consiguió pasar desapercibido durante años, apuntando encubiertamente a organizaciones con un backdoor personalizado llamado Merdoor. Para ayudar a los defensores cibernéticos a resistir proactivamente los posibles ataques, la Plataforma de Detección como Código de SOC Prime ha agregado una regla Sigma relevante para identificar comportamientos sospechosos asociados con Merdoor:
Esta regla de nuestro agudo desarrollador de Threat Bounty Phyo Paing Htun es compatible con 21 plataformas SIEM, EDR, XDR, y BDP y está mapeada al marco MITRE ATT&CK v12 abordando tácticas de evasión de defensa con Modificar Registro (T1112) como técnica correspondiente.
Cazadores de amenazas e ingenieros de detección que buscan formas de monetizar sus habilidades profesionales mientras contribuyen a un mañana más seguro son más que bienvenidos para reforzar las filas de la defensa cibernética colectiva uniéndose al Programa Threat Bounty. Envíe sus propias reglas Sigma, haga que sean verificadas y publicadas en nuestro mercado de detección de amenazas, y reciba pagos recurrentes por su invaluable contribución.
Debido a la creciente amenaza que representan los colectivos APT, los profesionales de la seguridad están buscando una fuente confiable de contenido de detección para identificar ataques cibernéticos asociados a tiempo. Haga clic en el Explorar Detecciones botón a continuación y profundice inmediatamente en la colección completa de reglas Sigma para detectar herramientas y técnicas de ataque asociadas con grupos APT. Todos los algoritmos de detección están acompañados de las referencias ATT&CK correspondientes, enlaces de inteligencia de amenazas y otros metadatos relevantes.
Análisis del Backdoor Medoor
Según la investigación de Symantec Threat Labs, una campaña de adversarios que ha estado activa en la arena maliciosa durante medio decenio ha salido a la luz en mayo de 2023. En estas intrusiones de larga duración, un colectivo novedoso llamado Lacefly utiliza un backdoor recientemente descubierto llamado Merdoor, apuntando a organizaciones en múltiples sectores industriales en Asia. Los expertos descubrieron que los actores maliciosos también aplicaron Merdoor en su conjunto de herramientas adversarias anteriormente en 2020 y 2021, lo que indica algunas similitudes con los ataques cibernéticos más recientes.
Según el informe, los actores de amenaza de Lancefly se centran en gran medida en la actividad de ciberespionaje, esforzándose por recopilar inteligencia de usuarios comprometidos. El malware Merdoor aplicado en las campañas sofisticadas ha estado en el centro de atención desde al menos 2018. El malware es un archivo autoextraíble capaz de instalarse como un servicio, realizar registro de teclas y usar un amplio conjunto de métodos para la comunicación con el servidor de C2.
En operaciones maliciosas anteriores, los actores de Lancefly aprovecharon el vector de ataque de phishing, mientras que en la última campaña, los vectores de ataque iniciales podrían ser forzamiento bruto de SSH o un servidor público. Además, en los ataques más recientes, los actores de amenaza mostraron patrones de comportamiento similares a sus campañas anteriores, usando un conjunto de técnicas no maliciosas para volcar credenciales de usuario en los sistemas objetivo, como PowerShell y versiones disfrazadas de herramientas legítimas.
La infección común de Merdoor comienza con la inyección del backdoor en uno de los procesos legítimos (perfhost.exe or svchost.exe), seguido de su conexión al servidor C2. Además, los atacantes ejecutan comandos para realizar inyección de procesos o para volcar la memoria de LSASS, lo que les permite robar credenciales de usuario y obtener acceso extendido a las redes objetivo. Luego, los adversarios pueden usar un gestor de archivos WinRAR disfrazado antes de la exfiltración de datos. También se ha observado que los actores de Lancefly usan Blackloader y Prcloader, que están vinculados al notorio malware PlugX. En la última campaña, el colectivo de hackers también ha aprovechado una versión mejorada del rootkit ZXShell, que es más avanzado que sus iteraciones anteriores, siendo más pequeño en tamaño y aplicando técnicas de evasión de detección más sofisticadas.
Los actores de amenaza de Lancefly podrían estar vinculados al grupo APT41 debido al certificado común del rootkit ZXShell; sin embargo, este último, al igual que otros actores de amenaza respaldados por China, es conocido por compartir certificados con otros adversarios. Además, Lancefly podría estar afiliado a la actividad adversaria de los grupos APT chinos debido al uso de PlugX y ShadowPad en sus campañas, que son comúnmente utilizados en el conjunto de herramientas adversarias de los actores respaldados por el estado chino. Aún así, no hay suficientes pruebas para vincular la actividad maliciosa de Lancefly a ninguno de los colectivos de hackers notorios.
Con los crecientes volúmenes de ataques destructivos atribuidos a colectivos de hackers respaldados por naciones, incluidos los grupos APT chinos que causan estragos en el ámbito de la amenaza cibernética, los defensores cibernéticos están buscando formas de optimizar el riesgo de su postura de ciberseguridad. Con SOC Prime, más de 900 reglas Sigma para herramientas y ataques cibernéticos relacionados con APT están ¡a solo un clic de distancia! Obtenga 200+ reglas Sigma gratis u obtenga todo el conjunto de detección a demanda en my.socprime.com/pricing.
