Treo Blog

En este espacio puedes explorar las últimas tendencias y noticias en tecnología, seguridad informática e infraestructura TI.

  • Juanita Villegas

LodaRAT de Kasablanka Group mejora las capacidades de espionaje en Android y Windows

Escrito por: Warren Mercer , Chris Neal y Vitor Ventura


Los desarrolladores de LodaRAT han agregado Android como plataforma específica.

  • Se ha identificado una nueva versión de LodaRAT para Windows con capacidades mejoradas de grabación de sonido.

  • Los operadores detrás de LodaRAT se vincularon a una campaña específica dirigida a Bangladesh, aunque se han visto otros.

  • Kasablanca, el grupo detrás de LodaRAT, parece estar motivado por la recopilación de información y el espionaje más que por la ganancia financiera directa.

Los actores de amenazas intentan evolucionar con el tiempo y los que están detrás de Loda no son diferentes. Loda ahora tiene una versión de Android. Al igual que su versión de Windows, la versión de Android también es una herramienta de acceso remoto (RAT) con las características que uno esperaría de este tipo de malware. Este Android RAT se había denominado anteriormente "Gaza007". Sin embargo, Talos lo vinculó con los desarrolladores de Loda y descubrió una campaña completa dirigida a los usuarios de Bangladesh. Esto muestra a un adversario ingenioso que está desarrollando su kit de herramientas en otras plataformas. No está claro si los operadores de la campaña son los mismos que los desarrolladores, pero no hay duda de que deben trabajar en estrecha colaboración. Para protegerse contra este actor, cada individuo de una organización debe tener cuidado con los documentos adjuntos a los correos electrónicos y estar atento antes de hacer clic en los enlaces.


¿QUÉ HAY DE NUEVO?


Los operadores y / o desarrolladores de LodaRAT ahora tienen una nueva herramienta, Loda4Android. Este nuevo malware sigue los mismos principios de otros RAT basados ​​en Android que hemos visto en el panorama de amenazas. Junto a esta nueva variante de Android, se ha identificado una versión actualizada de Loda para Windows en la misma campaña. Estas nuevas versiones para Loda4Windows y Loda4Android demuestran que el esfuerzo de desarrollo lo lleva a cabo claramente el mismo grupo al que llamamos "Kasablanca".


¿CÓMO FUNCIONÓ?


Talos identificó campañas híbridas dirigidas a usuarios de Windows y Android. Los autores desarrollaron una RAT basada en Android siguiendo los mismos principios que otras RAT. Sin embargo, evitaron específicamente las técnicas que suelen utilizar los troyanos bancarios, como las API de accesibilidad. El protocolo de comando y control subyacente (C2) sigue el mismo patrón de diseño que la versión de Windows, lo que sugiere que el código C2 manejará ambas versiones. Los investigadores de Talos han encontrado que ambas reversiones informan al mismo nombre de host y puerto C2, lo que confirma aún más nuestras afirmaciones.


¿ASÍ QUE LO QUE?


El hecho de que el grupo de amenazas se haya trasladado a campañas híbridas dirigidas a Windows y Android muestra un grupo que está prosperando y evolucionando. Dado que hay indicios de que el grupo que usa LodaRAT busca una ganancia financiera directa (no hay ransomware o actividad bancaria relacionada), las organizaciones y las personas deben estar al tanto de este grupo de amenazas.


La campaña de Bangladesh


INFRAESTRUCTURA


Talos ha identificado una campaña a partir de octubre de 2020 y todavía estaba activa al momento de escribir este artículo, que ahora está dirigida a las plataformas Windows y Android. El nombre de host info.v-pn [.] Co se registró por primera vez con actividad maliciosa el 2 de julio de 2020 y se usó como C2 para Loda, este es exactamente el mismo día en que también se registró el dominio. Desde esta fecha, este host ha sido utilizado para actividades maliciosas relacionadas con Loda. Cambiar varias IP varias veces durante los últimos siete meses.


La versión de Windows (consulte los detalles a continuación) utiliza la IP 107.172.30 [.] 213 como sitio de cuentagotas, que aloja los scripts de descarga (primera etapa) y la carga útil principal.


Para esta campaña específica, los actores maliciosos utilizaron la dirección IP 160.178.220 [.] 194 como C2 y como sitio de alojamiento para la versión de Android en sus primeras etapas, las siguientes muestras también cambiaron su C2 a info.v-pn [. ]co.


Basándonos en la huella digital del certificado utilizada para firmar ambas muestras de Android, creemos que el C2 cambió recientemente a info.v-pn [.] Co y la distribución se está llevando a cabo actualmente desde un dominio portátil recientemente identificado [.] Xyz.


Una versión de desarrollo (con una dirección RFC1918 interna utilizada 192.168.1.169 como C2) firmada por el mismo certificado se envió de forma anónima a VirusTotal desde la misma región geográfica marroquí que la ubicación geográfica de la IP (160.178.220 [.] 194) utilizada en primeras etapas de la campaña, lo que sugiere que los desarrolladores de Loda4Android están potencialmente basados ​​en Marruecos.


VICTIMOLOGÍA


Los operadores de esta campaña de Loda parecen tener un interés específico en las organizaciones con sede en Bangladesh, a saber, los bancos y los proveedores de software de voz sobre IP de nivel de operador, que observamos en varios señuelos que intentan distribuir los lanzadores de malware. El ID de víctima predeterminado en la versión de Windows es "munafa", que es la palabra en urdu y bengalí para "beneficio".


Entre las muestras que encontramos reportando al mismo C2, Talos identificó los señuelos descritos en la tabla a continuación.



Hay señales claras de que cada muestra está siendo creada por un constructor común. Todas las muestras de Android que analizamos están firmadas por el mismo certificado y comparten el archivo de manifiesto exacto y la configuración predefinida. El paquete básico es el mismo para todos "AL-Furqan.Academy_v1.0", que es una aplicación legítima disponible en la tienda Google Play y que pertenece a una universidad islámica con sede en Egipto.

Toda la información se puede leer aquí

2 vistas0 comentarios