El actor de amenazas conocido como Sharp Panda ha sido observado apuntando a entidades gubernamentales del sudeste asiático con un conjunto de herramientas descubierto por primera vez en 2021.
El equipo de Check Point Research (CPR) describió la nueva campaña en un aviso publicado hoy. Mientras que la campaña vista en 2021 utilizaba un backdoor personalizado llamado VictoryDll, la última observada por el equipo aprovecha una nueva versión del cargador SoulSearcher y el marco modular Soul.
Según el aviso, la muestra analizada evidenciaba similitudes con anteriores campañas de Sharp Panda, incluyendo el hecho de que los servidores de C&C de los atacantes están geofenced y devuelven cargas útiles sólo a las solicitudes de las direcciones IP de los países donde se encuentran los objetivos.
Además, el cargador utilizado para el acceso inicial cuenta con capacidades de recopilación de datos, capturando nombres de host, nombres y versiones de SO, tipos de sistema (32/64 bits), nombres de usuario, direcciones MAC de adaptadores de red e información sobre soluciones antivirus.
“Si los actores de la amenaza encuentran que la máquina de la víctima es un objetivo prometedor, la respuesta del servidor contiene el ejecutable de la siguiente etapa en forma cifrada y su suma de comprobación MD5. Tras verificar la integridad del mensaje recibido, el descargador carga la DLL descifrada en la memoria e inicia su ejecución”, reza el aviso.
Se instala el cargador SoulSearcher de segunda etapa, que posteriormente ejecuta el módulo principal del backdoor Soul y analiza su configuración.
“El módulo principal de Soul es responsable de la comunicación con el servidor de C&C, y su propósito principal es recibir y cargar en memoria módulos adicionales”, afirma CPR. “Curiosamente, la configuración de la puerta trasera contiene una función similar al ‘silencio de radio’, en la que los actores pueden especificar horas concretas de la semana en las que la puerta trasera no puede comunicarse con el servidor de C&C”.
Al hablar sobre el módulo, el equipo de CPR agregó que, si bien el marco Soul se ha utilizado desde al menos 2017, los actores de amenazas detrás de él lo han estado actualizando y refinando continuamente.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian