CYCLDEK, UN NUEVO GRUPO DE HACKERS QUE RECOPILA INFORMACION Y LA GUARDA EN UN RAR QUE. ENVIA A UN EXTRAIBLE CONECTADO

Según un último informe de Kaspersky, un actor de amenazas de habla china ha creado un nuevo malware destinado a robar información de redes con espacios de aire .

El grupo de hackers en cuestión es Cycldek APT (también conocido como Goblin Panda, APT 27 y Conimes) que se ha dirigido a los gobiernos del sudeste asiático desde 2013 utilizando un amplio conjunto de herramientas para el movimiento lateral y el robo de información.

“Una de las herramientas recientemente reveladas es el USBCulprit y se ha encontrado que depende de los medios USB para filtrar los datos de las víctimas. Esto puede sugerir que Cycldek está tratando de llegar a redes con espacios de aire en entornos de víctimas o depende de la presencia física para el mismo propósito ”, escribieron los investigadores.

En los últimos dos años, Cycldek ha estado atacando a entidades gubernamentales en varios países del sudeste asiático, como Vietnam, Tailandia y Laos, utilizando una variedad de herramientas, como Royal Road Builder, el malware NewCore RAT y otros implantes previamente desconocidos.

Durante el análisis del malware NewCore, los investigadores descubrieron dos variantes diferentes (llamadas BlueCore y RedCore) centradas en dos grupos de actividad. Ambas variantes se implementaron como archivos DLL de carga lateral y compartieron múltiples similitudes en el código y el comportamiento. Sin embargo, la variante RedCore contenía algunas características exclusivas, a saber, un keylogger, un enumerador de dispositivos, un servidor proxy y un registrador RDP que captura detalles sobre los usuarios conectados a un sistema a través de RDP.

“Al comparar el código en ambos implantes, podemos encontrar múltiples funciones que se originan en la PCShare RAT; sin embargo, varios otros son propietarios y demuestran un código idéntico que puede haber sido escrito por un desarrollador compartido “, dijeron los investigadores.

“Cada grupo de actividad tenía un enfoque geográfico diferente. Los operadores detrás del clúster BlueCore invirtieron la mayor parte de sus esfuerzos en objetivos vietnamitas con varios valores atípicos en Laos y Tailandia, mientras que los operadores del clúster RedCore comenzaron con un enfoque en Vietnam y se desviaron a Laos a fines de 2018 ”, dijo el informe .

En cuanto a USBCulrpit, esta herramienta es descargada por los implantes RedCore y es capaz de escanear varias rutas en las máquinas víctimas, recopilar documentos con extensiones particulares y pasarlos a unidades USB cuando están conectados al sistema. También puede copiarse selectivamente en una unidad extraíble en presencia de un archivo en particular, lo que sugiere que se puede propagar lateralmente al infectar las unidades designadas y abrir el archivo ejecutable en ellas manualmente.

El malware USBCulrpit ha estado circulando en la naturaleza desde 2014, con las últimas muestras detectadas a fines del año pasado.

El mecanismo de infección inicial involucra binarios maliciosos disfrazados de componentes antivirus legítimos que cargan USBCulprit usando una técnica llamada secuestro de órdenes de búsqueda de DLL. El malware luego recopila la información relevante, la guarda en forma de archivo RAR cifrado y extrae los datos a un dispositivo extraíble conectado.

“Cycldek es un ejemplo de un actor que tiene una capacidad más amplia de lo que se percibe públicamente. Si bien las descripciones más conocidas de su actividad dan la impresión de un grupo marginal con capacidades inferiores, la gama de herramientas y el intervalo de tiempo de las operaciones muestran que el grupo tiene un amplio punto de apoyo dentro de las redes de objetivos de alto perfil en el sudeste asiático “, concluyó Kaspersky.

Ver información original al respecto en Fuente>