Treo Blog

En este espacio puedes explorar las últimas tendencias y noticias en tecnología, seguridad informática e infraestructura TI.

  • Juanita Villegas

ObliqueRAT regresa con una nueva campaña utilizando sitios web secuestrados

Escrito por: Asheer Malhotra (Blog Cisco Talos)


  • Cisco Talos ha observado otra campaña de malware que utiliza documentos maliciosos de Microsoft Office (maldocs) para difundir el troyano de acceso remoto (RAT) ObliqueRAT.

  • Esta campaña está dirigida a organizaciones del sur de Asia.

  • ObliqueRAT se ha vinculado al grupo APT de Tribu Transparente en el pasado.

  • Esta campaña oculta la carga útil de ObliqueRAT en archivos de imagen aparentemente benignos alojados en sitios web comprometidos.

¿Qué hay de nuevo?

Cisco Talos descubrió recientemente otra nueva campaña que distribuye el troyano malicioso de acceso remoto (RAT) ObliqueRAT. En el pasado, Talos conectó ObliqueRAT y otra campaña de diciembre de 2019 distribuyendo CrimsonRAT . Estas dos familias de malware comparten macros y maldocs similares. Sin embargo, esta nueva campaña utiliza un código de macro completamente diferente para descargar e implementar la carga útil de ObliqueRAT. Los atacantes también han actualizado la cadena de infección para entregar ObliqueRAT a través de sitios web controlados por el adversario.


¿Cómo funcionó?

Históricamente, este RAT se coloca en el punto final de la víctima mediante documentos maliciosos de Microsoft Office (maldocs). Estos nuevos maldocs, sin embargo, no contienen la carga útil de ObliqueRAT directamente incrustada en el maldoc, como se observó en campañas anteriores. En su lugar, los atacantes utilizan una técnica novedosa en su cadena de infección para infectar los puntos finales específicos al dirigir a los usuarios a URL maliciosas. Las nuevas capacidades técnicas básicas de ObliqueRAT incluyen:


  • La cadena de infección basada en maldocs.

  • Cambios / actualizaciones a su carga útil.

  • Enlaces adicionales a ataques de malware previamente observados en la naturaleza.

¿Así que lo que?

Esta nueva campaña es un ejemplo típico de cómo los adversarios reaccionan a las divulgaciones de ataques y desarrollan sus cadenas de infección para evadir las detecciones. Las modificaciones en las cargas útiles de ObliqueRAT también destacan el uso de técnicas de ofuscación que se pueden utilizar para evadir los mecanismos de detección tradicionales basados ​​en firmas. Si bien la detección de firmas de archivos y basada en la red es importante, se puede complementar con análisis de comportamiento del sistema y protecciones de terminales para obtener capas adicionales de seguridad.


Análisis de maldocs

Los maldocs utilizados en anteriores ataques de ObliqueRAT utilizaron mecanismos idénticos a los maldocs de entrega CrimsonRAT. La última campaña que distribuye ObliqueRAT ahora utiliza un código macro completamente diferente en sus maldocs.


El ataque también ha evolucionado para incluir las siguientes funcionalidades:

  • Las cargas útiles ahora se alojan en sitios web comprometidos.

  • Las cargas útiles alojadas en estos sitios web consisten en archivos de imagen BMP aparentemente benignos.

  • Las macros maliciosas descargan las imágenes y la carga útil de ObliqueRAT se extrae al disco.

  • La carga útil de ObliqueRAT se renombra con la extensión de archivo .pif.

Campañas relacionadas

Nuestra publicación anterior en ObliqueRAT detalló sus conexiones con CrimsonRAT y, posteriormente, los vínculos con el grupo APT de la Tribu Transparente dirigido a organizaciones en el sur de Asia. También hemos observado superposiciones en la infraestructura C2 utilizada entre ObliqueRAT y una campaña de RevengeRAT . Talos evalúa con poca confianza que existe un posible vínculo entre ciertas campañas de RevengeRAT y ObliqueRAT y sus operadores.


RevengeRAT es una RAT basada en .NET cuyo código fuente se filtró públicamente hace unos años. Se ha convertido cada vez más en una práctica común para los grupos de software criminal y patrocinados por el estado utilizar malware filtrado. Esta práctica elimina la necesidad de desarrollar implantes y servidores C2 desde cero y aumenta las posibilidades de atribución errónea.



Conclusión

Esta campaña muestra a un actor de amenazas evolucionando sus técnicas de infección para que ya no se parezcan a las que se usaban anteriormente. Es muy probable que estos cambios sean en respuesta a divulgaciones anteriores para lograr la evasión de estas nuevas campañas. El uso de sitios web comprometidos es otro intento de evasión de detección. Los adversarios también han introducido la esteganografía como una forma de ocultar las cargas útiles de ObliqueRAT en archivos de imagen. Esta técnica es nueva para la cadena de distribución de ObliqueRAT (no se observó en el pasado). Esta nueva campaña de distribución de ObliqueRAT comenzó en abril de 2020 y aún está en curso. Esta campaña también destaca que, si bien la detección basada en la red es importante, debe complementarse con análisis de comportamiento del sistema y protecciones de terminales.


Cobertura

Las formas en que nuestros clientes pueden detectar y bloquear esta amenaza se enumeran a continuación.