Ciberseguridad 360 | Grupo de hackers ataca gobierno indio con malware DRAT V2

Se ha descubierto que un grupo de piratas inform�ticos no vinculado a Pakist�n ha atacado a organizaciones gubernamentales indias con una variante modificada de un troyano de acceso remoto (RAT) llamado DRAT.

La actividad ha sido atribuida por el Grupo Insikt de Recorded Future a un actor de amenazas rastreado como TAG-140, que se solapa con SideCopy, un colectivo adversario considerado un subgrupo operativo dentro de Transparent Tribe (tambi�n conocido como APT-C-56, APT36, Datebug, Earth Karkaddan, Mythic Leopard, Operation C-Major y ProjectM).

"TAG-140 ha demostrado sistem�ticamente un avance iterativo y variedad en su arsenal de malware y t�cnicas de distribuci�n", afirm� la empresa propiedad de Mastercard en un an�lisis publicado el mes pasado.

"Esta �ltima campa�a, que suplant� al Ministerio de Defensa indio a trav�s de un portal de comunicados de prensa clonado, marca un ligero pero notable cambio tanto en la arquitectura del malware como en la funcionalidad de mando y control (C2)".

La versi�n actualizada de DRAT, denominada DRAT V2, es la �ltima incorporaci�n al arsenal de RAT de SideCopy, que tambi�n incluye otras herramientas como Action RAT, AllaKore RAT, Ares RAT, CurlBack RAT, ReverseRAT, Spark RAT y Xeno RAT para infectar sistemas Windows y Linux.

La actividad de ataque demuestra la evoluci�n del libro de jugadas del adversario, destacando su capacidad para refinar y diversificar un "conjunto intercambiable" de malware RAT para recopilar datos confidenciales y complicar los esfuerzos de atribuci�n, detecci�n y vigilancia.

Los ataques orquestados por el actor de la amenaza han ampliado su objetivo m�s all� de los sectores gubernamental, de defensa, mar�timo y acad�mico para abarcar organizaciones afiliadas a los ministerios de ferrocarriles, petr�leo y gas y asuntos exteriores del pa�s. Se sabe que el grupo est� activo desde al menos 2019.

La secuencia de infecci�n documentada por Recorded Future aprovecha un enfoque de estilo ClickFix que falsifica el portal oficial de comunicados de prensa del Ministerio de Defensa de la India para dejar caer una versi�n de DRAT basada en .NET a una nueva variante compilada en Delphi.

El sitio web falsificado tiene un enlace activo que, al hacer clic, inicia una secuencia de infecci�n que copia subrepticiamente un comando malicioso en el portapapeles de la m�quina e insta a la v�ctima a pegarlo y ejecutarlo lanzando un int�rprete de comandos.

Esto provoca la recuperaci�n de un archivo de aplicaci�n HTML (HTA) de un servidor externo (�trade4wealth[.]in�), que se ejecuta mediante mshta.exe para lanzar un cargador llamado BroaderAspect. El cargador se encarga de descargar y lanzar un PDF se�uelo, configurar la persistencia mediante cambios en el Registro de Windows, y descargar y ejecutar DRAT V2 desde el mismo servidor.

DRAT V2 a�ade un nuevo comando para la ejecuci�n arbitraria de comandos shell, lo que mejora su flexibilidad tras la explotaci�n. Tambi�n ofusca sus direcciones IP C2 utilizando codificaci�n Base64 y actualiza su protocolo TCP personalizado iniciado por el servidor para admitir la entrada de comandos tanto en ASCII como en Unicode. Sin embargo, el servidor s�lo responde en ASCII. El DRAT original requiere Unicode tanto para la entrada como para la salida.

"En comparaci�n con su predecesor, DRAT V2 reduce la ofuscaci�n de cadenas manteniendo la mayor�a de las cabeceras de comandos en texto plano, lo que probablemente prioriza la fiabilidad del an�lisis sobre la ocultaci�n", afirma Recorded Future. "DRAT V2 carece de t�cnicas avanzadas de anti-an�lisis y se basa en m�todos b�sicos de infecci�n y persistencia, por lo que es detectable a trav�s de an�lisis est�ticos y de comportamiento."

Otras capacidades conocidas le permiten realizar una amplia gama de acciones en hosts comprometidos, incluyendo la realizaci�n de reconocimientos, la carga de cargas �tiles adicionales y la filtraci�n de datos.

"Estas funciones proporcionan a TAG-140 un control persistente y flexible sobre el sistema infectado y permiten una actividad de post-explotaci�n tanto automatizada como interactiva sin requerir el despliegue de herramientas auxiliares de malware", dijo la compa��a.

"DRAT V2 parece ser otra adici�n modular en lugar de una evoluci�n definitiva, lo que refuerza la probabilidad de que TAG-140 persista en la rotaci�n de RATs a trav�s de campa�as para oscurecer las firmas y mantener la flexibilidad operativa."

Fuente: thehackernews.com