En abril de 2017, un grupo de ciberdelincuentes conocidos como The ShadowBrokers lanzó un volcado de datos que contenía malware y herramientas de hacking robadas del arsenal del NSA-Linked Equation Group. Entre otras cosas, la filtración llamada 'lost in translation' contenía una secuencia de comandos interesante que buscaba rastros de otras APT en el sistema comprometido, reveló un nuevo informe de Kaspersky Lab.
Durante el análisis del script, los investigadores descubrieron la existencia de un grupo APT, al que denominaron 'DarkUniverse'. Este grupo estuvo activo durante al menos ocho años, de 2009 a 2017 y parece ser parte del conjunto de actividades de ItaDuke debido a solapamientos de código únicos. ItaDuke APT ha estado en acción desde al menos 2013 y se sabe que aprovecha las vulnerabilidades de día cero de PDF para colocar malware en los sistemas de destino y las cuentas de Twitter para pasar las URL C2.
El APT DarkUniverse distribuyó malware a través de ataques de phishing utilizando documentos armados de Microsoft Office, con cada correo electrónico preparado por separado para cada víctima. El actor de la amenaza compiló cada muestra inmediatamente antes de enviarla y utilizó la última versión disponible del ejecutable de malware. Los expertos también han señalado que con el tiempo el marco DarkUniverse evolucionó significativamente.
El archivo ejecutable incrustado en los documentos coloca dos bibliotecas de enlace dinámico en el sistema de destino, el Updater.mod y glue30.dll. El primero es responsable de proporcionar comunicación con el servidor C2, proporcionar la integridad del malware y el mecanismo de persistencia y administrar otros módulos de malware, mientras que el segundo actúa como un keylogger.
"El módulo de malware glue30.dll proporciona la funcionalidad de registro de teclas. El módulo Updater.mod usa la función Win API SetWindowsHookExW para instalar ganchos para el teclado e inyectar glue30.dll en los procesos que obtienen entrada de teclado. Después de eso, glue30.dll se carga y comienza a interceptar la entrada en el contexto de cada proceso enganchado ", según el informe.
Además de establecer un canal de comunicación con el servidor de comando y control de los atacantes, el Updater.mod también descarga módulos de malware adicionales, como dfrgntfs5.sqt (un módulo para ejecutar comandos desde el C2); msvcrt58.sqt (un módulo para robar credenciales de correo y correos electrónicos); zl4vq.sqt (biblioteca zlib legítima utilizada por dfrgntfs5); % victim_ID% .upe (complemento opcional para dfrgntfs5). Todos los módulos de malware están encriptados con un algoritmo personalizado.
El módulo msvcrt58.sqt intercepta el tráfico POP3 sin cifrar para recopilar conversaciones de correo electrónico y las credenciales de las víctimas. Este módulo busca tráfico de los siguientes procesos:
outlook.exe;
winmail.exe;
msimn.exe;
nlnotes.exe;
eudora.exe;
thunderbird.exe;
thunde ~ 1.exe;
msmsgs.exe;
msnmsgr.exe.
El marco DarkUniverse tiene un conjunto impresionante de capacidades, incluida la capacidad de recopilar y descifrar credenciales de Outlook Express, Outlook, Internet Explorer, Windows Mail y Windows Live Mail, Windows Live Messenger y también Internet Cache, rango de IP de fuerza bruta con especificación nombre de usuario y contraseña, recopilar información del sistema, desinstalarse y proporcionar la funcionalidad básica de MITM.
Kaspersky identificó alrededor de 20 víctimas en Siria, Irán, Afganistán, Tanzania, Etiopía, Sudán, Rusia, Bielorrusia y los Emiratos Árabes Unidos, pero los investigadores creen que el número de víctimas entre 2009 y 2017 fue mucho mayor. Las víctimas incluyeron organizaciones civiles y militares.
“DarkUniverse es un ejemplo interesante de un marco completo de ciberespionaje utilizado durante al menos ocho años. El malware contiene todos los módulos necesarios para recopilar todo tipo de información sobre el usuario y el sistema infectado y parece estar completamente desarrollado desde cero ".
“Los atacantes fueron ingeniosos y siguieron actualizando su malware durante el ciclo de vida completo de sus operaciones, por lo que las muestras observadas de 2017 son totalmente diferentes de las muestras iniciales de 2009. La suspensión de sus operaciones puede estar relacionada con la publicación de 'Lost in La traducción se filtró, o los atacantes pueden simplemente haber decidido cambiar a enfoques más modernos y comenzar a usar artefactos más ampliamente disponibles para sus operaciones ”, concluyó Kaspersky.
