Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós Programari maliciós de LoptikMod

Programari maliciós de LoptikMod

El Mezo el Programari maliciós, Amenaça persistent avançada (APT)
Traduir a:

Ha aparegut una nova campanya atribuïda al grup DoNot APT, que mostra l'ús d'una soca de programari maliciós furtiva i persistent anomenada LoptikMod. Aquesta eina s'ha aprofitat en un atac dirigit contra un ministeri d'afers exteriors europeu, cosa que indica encara més que el grup està canviant d'enfocament més enllà del sud d'Àsia.

Un actor d’amenaces conegut amb un abast en expansió

La campanya s'ha vinculat al DoNot Team, un sofisticat grup d'amenaces persistents avançades (APT) conegut per diversos àlies, com ara APT-C-35, Mint Tempest, Origami Elephant, SECTOR02 i Viceroy Tiger. Amb operacions que es remunten com a mínim al 2016, el grup té un historial documentat d'atacar agències governamentals, ministeris d'afers exteriors, entitats de defensa i ONG, especialment al sud d'Àsia i Europa.

Històricament, DoNot APT ha utilitzat programari maliciós personalitzat, en particular YTY i GEdit, sovint implementat a través de campanyes de spear-phishing i fitxers adjunts de documents maliciosos.

Atraure l’objectiu: el phishing com a punt d’entrada

L'atac comença amb un correu electrònic de suplantació d'identitat (phishing) enganyós, creat per semblar legítim i fiable. Aquests missatges, enviats des d'un compte de Gmail, suplanten la identitat d'oficials de defensa i inclouen línies d'assumpte que fan referència a una visita d'un agregat de defensa italià a Dhaka, Bangladesh. Cal destacar que els correus electrònics tenen un format HTML amb codificació UTF-8 per representar correctament caràcters especials com ara "é", cosa que els reforça l'autenticitat.

Un enllaç de Google Drive incrustat al correu electrònic condueix a la descàrrega d'un arxiu RAR. Aquest arxiu conté un executable maliciós dissenyat per imitar un fitxer PDF. Quan s'obre, l'executable inicia el desplegament de LoptikMod, un troià d'accés remot (RAT) que ha estat exclusiu de DoNot APT des d'almenys el 2018.

Dins del programari maliciós LoptikMod

Un cop executat, LoptikMod s'integra al sistema amfitrió mitjançant tasques programades per a la persistència. A continuació, es connecta a un servidor remot de comandament i control (C2) per dur a terme diverses activitats malicioses. Aquestes inclouen:

  • Enviant informació del sistema als atacants
  • Rebre i executar ordres addicionals
  • Descàrrega de mòduls maliciosos addicionals
  • Exfiltració de dades sensibles

Per evitar la detecció i dificultar l'anàlisi forense, LoptikMod utilitza tècniques anti-VM (màquina virtual) i ofuscació ASCII, cosa que dificulta que els investigadors de seguretat puguin analitzar tota la seva funcionalitat. A més, garanteix que només s'executi una instància en un dispositiu alhora, evitant conflictes interns i reduint la probabilitat de detecció.

Estat actual de la campanya i infraestructura

Tot i que LoptikMod en si mateix és capaç i persistent, el servidor C2 implicat en l'atac més recent està actualment inactiu. Aquesta inactivitat podria significar que la infraestructura s'ha desconnectat temporalment, s'ha apagat permanentment o s'ha substituït per un servidor nou i no descobert.

L'estat inactiu del servidor limita la capacitat dels investigadors per analitzar les ordres i les dades exactes intercanviades entre els punts finals infectats i els atacants.

Signes de canvi estratègic: objectius europeus en el punt de mira

L'última activitat de DoNot APT mostra signes d'evolució. Mentre que el grup tradicionalment s'ha concentrat en els interessos del sud d'Àsia, aquesta operació recent demostra un interès creixent per la intel·ligència diplomàtica europea, especialment relacionada amb el sud d'Àsia.

Aquest canvi probablement indica una millora de les capacitats operatives i uns objectius d'intel·ligència més ambiciosos. Els responsables del grup poden estar buscant informació sobre les estratègies diplomàtiques occidentals, les polítiques de defensa i els compromisos internacionals amb el sud d'Àsia.

Conclusions clau

Per mitigar eficaçment aquests atacs, les organitzacions haurien de començar per educar el seu personal perquè reconegui els intents de phishing, fins i tot quan els missatges semblen molt legítims. És igualment important supervisar contínuament els sistemes per detectar qualsevol comportament inusual, com ara tasques programades inesperades o connexions sortints a servidors desconeguts, que puguin indicar un compromís.

A més, la implementació d'eines de sandboxing i anàlisi del comportament pot ajudar a detectar i neutralitzar executables sospitosos abans que causin danys. Mantenir els sistemes completament actualitzats i incorporar els fluxos d'intel·ligència d'amenaces més recents garanteix que les vulnerabilitats conegudes s'abordin amb rapidesa. Finalment, la segmentació de la xarxa pot reduir significativament el risc de propagació lateral de programari maliciós, contenint així les possibles violacions de manera més eficaç.

Conclusió: la vigilància és essencial

El desplegament de LoptikMod per part del grup DoNot APT en una campanya de ciberespionatge europea és un clar recordatori de l'evolució del panorama d'amenaces. A mesura que els grups APT continuen millorant les seves eines i ampliant els seus objectius, especialment cap a actius diplomàtics d'alt valor, les organitzacions han de mantenir-se vigilants i proactives en les seves defenses de ciberseguretat.

Tendència

Més vist

Carregant...