Operación RestyLink: Detectando Campaña APT Dirigida a Japón

Desde abril de 2022, los investigadores han estado observando una serie de ciberataques dirigidos específicamente a organizaciones japonesas. Se cree que la campaña, denominada Operación RestyLink, ha estado activa desde al menos marzo de 2022, con actividad maliciosa relacionada remonta a octubre de 2021. La atribución exacta actualmente no está clara, pero la cadena de ataque y su naturaleza altamente dirigida sugieren que una ATP sofisticada es responsable de la operación nefasta.

Detectar la Operación RestyLink

Para identificar la actividad maliciosa asociada con los métodos de persistencia de la Operación RestyLink, descargue una regla Sigma proporcionada por nuestro experto desarrollador de Threat Bounty Osman Demir.

Persistencia sospechosa de Operación RestyLink escribiendo un archivo Dot en el inicio de aplicaciones de Office [Apuntando a Japón] (a través de cmdline)

La regla Sigma mencionada anteriormente se puede utilizar en 23 entornos SIEM, EDR y XDR y está mapeada al marco MITRE ATT&CK, abordando las tácticas de Persistencia con la técnica correspondiente de Inicio de Aplicaciones de Office (T1137).

Presione elExplorar Detecciones botón para acceder a la lista completa de contenido de detección para ataques APT actuales y emergentes.

Explorar Detecciones

Cadena de Ataque y Atribución

Según la investigación realizada por el analista SOC Rintaro Koike, el último ataque RestyLink comienza con un correo electrónico de phishing. Los correos electrónicos tienen URL maliciosas insertadas en su cuerpo. En caso de que la víctima sea engañada para hacer clic en el enlace, se descarga un archivo ZIP que contiene un archivo LNK desde el servidor del adversario. En caso de ejecutarse, el archivo LNK deja caer un archivo DOT en la carpeta de Inicio de Microsoft aprovechando el comando de Windows. Simultáneamente, se muestra un PDF señuelo en la pantalla, distrayendo a la víctima de los procesos sospechosos en segundo plano.

El análisis de las intrusiones similares observadas en abril de 2022 y antes revela que los adversarios siguen la misma rutina pero usan diferentes tipos de archivos y métodos. Por ejemplo, los actores de amenazas enviaron archivos ISO maliciosos a través de phishing para dejar caer un archivo EXE con un DLL malicioso oculto en él. El DLL resultó ser un descargador de Go empaquetado con UPX que dejó caer CobaltStrike Stranger en la máquina infectada.

La misma infraestructura fue utilizada durante los ataques contra Japón en enero-marzo de 2022 y también en octubre-noviembre de 2021. Los expertos en seguridad señalan la naturaleza dirigida de los ataques y su sofisticación, lo que permite concluir que actores APT podrían estar detrás de la operación. La atribución exacta es actualmente desconocida, pero con un bajo nivel de confianza, los investigadores señalan a DarkHotel, Kimsuky, APT29, o TA416 como posibles operadores de ataque.

Aproveche el poder de la colaboración en defensa cibernética y aumente su velocidad de búsqueda de amenazas uniéndose a la plataforma Detection as Code de SOC Prime. Descubra instantáneamente información útil y relevante sobre amenazas cibernéticas, acceda a reglas Sigma dedicadas y traducciones instantáneas para soluciones SIEM, EDR y XDR en más de 25 entornos, y automatice sus operaciones de búsqueda y detección de amenazas para mejorar sus capacidades de defensa cibernética.