Nueva familia de malware utilizaría protocolo UDP para conectarse con el C&C



Investigadores de seguridad han descubierto una campaña de Ciber-espionaje, la cual se cree que esta relacionada al grupo de hackers que estuvieron detrás del Troyano KHRAT la cual a sido objetivo de varias organizaciones en el sudeste asiático.

De acuerdo a los investigadores de Palo Alto, el grupo de hacker llamado RANCOR, ha sido descubierto utilizando dos malwares llamados PLAINTEE y DDKONG, la cual tiene como objetivo atacar organizaciones policiales en Singapore y Cambodia.

Sin embargo, hace unos años atrás los actores que estaban detrás de KHRAT estaban relacionados al grupo de ciber espionaje conocido como DragonOK.

Reconstruyendo los ataques previos de KHRAT Troyan, Palo Alto monitoreo los dominios del centro de control y comando del troyano tomando la ip 89.46.222[.]97 como centro de la investigación

La siguiente tabla muestra dos ejemplos del malware relacionados a la IP anterior:

SHA256DescriptionConnection to IP

0bb20a9570a9b1e3a72203951268ffe83af6dcae7342a790fe195a2ef109d855LoaderC2 facebook-apps.com (resolves to 89.46.222.97)
c35609822e6239934606a99cb3dbc925f4768f0b0654d6a2adc35eca473c505dPLAINTEEHosted on 89.46.222.97


Mientras monitoreaban la infraestructura de C & C asociada con el troyano KHRAT, los investigadores identificaron múltiples variantes de estas dos familias de malware, donde PLAINTEE parece ser la última arma en el arsenal del grupo que usa un protocolo UDP personalizado para comunicarse con su servidor remoto de comando y control.

Para entregar tanto PLAINTEE como DDKONG, los atacantes usan mensajes spear phishing con diferentes vectores de infección, incluidas las macros maliciosas dentro de archivos de Microsoft Office Excel, HTA Loader y DLL Loader, que incluye archivos señuelo.

"Estos señuelos contienen detalles de artículos de noticias públicas enfocados principalmente en noticias y eventos políticos", explican los investigadores. "Además, estos documentos señuelo se alojan en sitios web legítimos, incluido un sitio web del gobierno perteneciente al Gobierno de Camboya y, al menos en un caso, Facebook".
Por otro lado, DDKONG ha estado en uso por el grupo de piratería desde febrero de 2017 y no tiene ningún protocolo de comunicación personalizado como PLAINTEE, aunque no está claro si un actor de amenaza o más solo utiliza este malware.

La campaña RANCOR representa una tendencia continua de ataques dirigidos contra entidades dentro de la región del sudeste asiático. En varias ocasiones, los señuelos motivados políticamente se utilizaron para atraer a las víctimas a la apertura y posterior carga de familias de malware previamente indocumentadas.

Estas familias hicieron uso de la comunicación de red personalizada para cargar y ejecutar varios complementos alojados por los atacantes. Notablemente, el uso de malwares PLAINTEE con un protocolo UDP personalizado es raro y vale la pena considerarlo cuando se construyen detecciones heurísticas para malware desconocido.