Plataforma de ataque del grupo Winnti basada en malware de hace 10 años que utiliza una copia de VMProtect

Publicado el 8 octubre 2015 ¬ 15:11 pmh.mscComentarios desactivados en Plataforma de ataque del grupo Winnti basada en malware de hace 10 años que utiliza una copia de VMProtect

Expertos de Kaspersky Lab han dado seguimiento a la actividad del grupo Winnti y han descubierto una amenaza activa basada en el instalador de un bootkit de 2006.

La amenaza es llamada HDRoot debido a HDD Rootkit, el nombre original de la herramienta, es una plataforma universal ideal para la presencia sostenible y persistente dentro de un sistema objetivo, que puede ser utilizado como un punto de apoyo para cualquier herramienta arbitraria.

La organización criminal Winnti es conocida por las campañas de ciberespionaje industrial dirigidas a empresas de software, especialmente a la industria del juego. Recientemente se han observado también objetivos en las empresas farmacéuticas.

HDRoot fue descubierto cuando una muestra de malware despertó el interés de los investigadores por las siguientes razones:

Se protege con una copia comercial ejecutable de VMProtect Win64 firmado con un certificado comprometido que pertenece a la entidad china Guangzhou YuanLuo Technology; un certificado que se sabía era utilizado por el grupo para firmar otras herramientas.

Las propiedades y el texto de salida del ejecutable fue modificado para simular un comando net.exe de un Microsoft Net con el fin de reducir el riesgo de exponer el programa ante los administradores de sistemas.

?En conjunto, estas características hicieron que la muestra se viera esencialmente sospechosa. Un análisis posterior mostró que el bootkit HDRoot es una plataforma universal para la permanencia sostenible y persistente en un sistema, y puede ser utilizado para iniciar cualquier otra herramienta.

Los investigadores fueron capaces de identificar dos tipos de puertas traseras abiertas con la ayuda de esta plataforma, aunque podría haber más. Una de estas puertas traseras fue capaz de pasar por alto productos antivirus bien establecidos en Corea del Sur: AhnLab’s V3 Lite, AhnLab’s V3 365 Clinic y ESTsoft’s ALYac. El grupo Winnti podría haber utilizado el programa para lanzar malware dirigido a equipos en Corea del Sur.

Según los datos de Kaspersky Security Network, Corea del Sur es la principal área de interés en el sudeste asiático para el grupo Winnti, aunque hay otros objetivos en esta región, entre ellos organizaciones en Japón, China, Bangladesh e Indonesia. Kaspersky Lab también ha detectado infecciones HDRoot en una empresa del Reino Unido y en una de Rusia, ambas habían sido blancos previos de Winnti.

Ver información original al respecto en Fuente:
http://www.seguridad.unam.mx/noticia/?noti=2534

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Noticias, ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies