Ke3chang dirigió sus a ataques a diplomáticos de Chile, Bélgica, Brasil, Guatemala y Eslovaquia, con Okrum



Se están utilizando versiones actualizadas de familias de malware y una nueva puerta trasera llamada Okrum vinculada al grupo Ke3chang APT para apuntar a figuras políticas en Europa del Este y en las Américas. El grupo Ke3chang, también conocido como Vixen Panda, Royal APT, Playful Dragon o APT15, ha estado presente desde al menos el 2010 realizando campañas de ciberespionaje contra entidades de la industria petrolera y del ejército, contratistas gubernamentales y europeos. Misiones diplomáticas y organizaciones.

Investigadores de ESET, que han estado siguiendo las actividades maliciosas relacionadas con Ke3chang durante varios años, han publicado un informe detallado que describe el malware utilizado por este actor en sus operaciones entre 2015 y 2019. En una de las campañas activas de 2012 a 2015, el grupo aprovechó un malware similar a RAT denominado TidePool que le permitió recopilar información sobre sus objetivos mediante la explotación de la vulnerabilidad de Microsoft Office CVE-2015-2545. Desde 2016 hasta 2017, Ke3chang empleó las puertas traseras de RoyalCLI y RoyalDNS como parte de campañas dirigidas al gobierno del Reino Unido, intentando robar tecnología militar e información gubernamental.

En 2016, los investigadores descubrieron una puerta trasera desconocida que llamaron Okrum y que se usó en ataques a objetivos en Eslovaquia. El malware se había visto en varias campañas de Ke3chang a lo largo de 2017-2018 y se había utilizado para entregar diferentes versiones de puertas traseras de Ketrican. Ahora hay nuevas pruebas de que el grupo actualizó sus tácticas ocupadas el 2017 en una serie de ataques contra diplomáticos en Bélgica, Brasil, Chile, Guatemala y Eslovaquia.

Además, los investigadores han encontrado versiones actualizadas de la puerta trasera Ketrican con algunas mejoras de código que se utilizaron durante 2018 y 2019, dirigidas al mismo tipo de organizaciones que en campañas anteriores. Las herramientas de piratería Okrum y Ketrican le permiten a Ke3chang interceptar información sobre las víctimas, incluido su nombre de usuario, dirección IP, sistema operativo y número de compilación, su idioma y nombre de país, y otras comunicaciones.

"Al igual que otros programas maliciosos conocidos de Ke3chang , Okrum no es técnicamente complejo, pero ciertamente podemos ver que los actores maliciosos detrás de él intentaban permanecer sin ser detectados mediante el uso de tácticas como incrustar la carga útil maliciosa en una imagen PNG legítima, empleando varios antiemulación. y trucos anti-sandbox, además de hacer cambios frecuentes en la implementación. "En cuanto a las muestras analizadas de Ketrican, éstas muestran una evolución visible y mejoras en el código de 2015 a 2019", concluyeron los investigadores y agregaron que en este momento no está claro cómo el grupo entrega el malware a sus objetivos.

Fuente: https://www.welivesecurity.com/la-es/2019/07/18/okrum-backdoor-grupo-ke3chang-utilizado-atacar-misiones-diplomaticas/