Blackgear es una campaña de espionaje cibernético detectado previamente que data 2008. El malware se ha sabido para dirigir organizaciones en Japón, Corea del Sur y Taiwán, con los objetivos de ser principalmente organismos del sector público y las empresas de alta tecnología.
De acuerdo con Trend Micro informa desde 2016, las campañas de malware estaban dirigidas a las organizaciones japonesas, donde se desplegaron varias herramientas de malware, tales como el Elirks Backdoor. Los continuos ataques y la persistencia de campañas Blackgear señalan que los operadores de ciberdelincuentes están bien organizados han desarrollado sus propias herramientas que se actualizan periódicamente y “afinado” como se señala en un reciente ciberseguridad informe.
Características maliciosos Blackgear
“Una característica notable de Blackgear es el grado en que se toman sus ataques para evadir la detección, blogs abusar, microblogueo, y los servicios de medios sociales para ocultar su-mando y control (C&C) configuración“, Trend Micro dijo. Esta tecnica, que es diferente de la práctica habitual de la incorporación de los datos de mando y control dentro del software malicioso ayuda a los operadores maliciosos para cambiar rápidamente su C&servidores C siempre que sea necesario. Esta táctica inteligente permite a los criminales para ejecutar sus campañas durante el tiempo que lo deseen.
Al parecer,, Blackgear ha estado utilizando el programa de descarga Marade junto con una versión de Protux en sus últimas operaciones. Mientras que el análisis de estas muestras maliciosos, los investigadores encontraron que sus configuraciones cifrados en blog y mensajes de redes sociales que pueden ser una indicación de que las herramientas de malware fueron hechos a mano por la misma banda ciberdelincuencia.
Para entender mejor el funcionamiento de los ataques más recientes investigadores correlacionaron Blackgear las herramientas y prácticas de los criminales utilizados en contra de sus objetivos. Así es como la cadena de ataque Blackgear va alrededor:
- Los atacantes utilizan un documento o archivo de instalación señuelo falsa, que se propaga a través de correo electrónico de spam para engañar a una víctima potencial en la interacción con sus contenidos maliciosos.
- El documento señuelo se establece para extraer el programa de descarga Marade que cae en sí en la carpeta Temp del equipo, aumentando su tamaño de archivo a más de 50 MB y sin pasar por las soluciones tradicionales de caja de arena.
- Entonces Marade comprueba si el huésped infectado puede conectarse a Internet y si se instala con un programa anti-virus.
- En caso de que el huésped afectado puede conectarse a Internet y no tiene ningún tipo de protección AV, Marade procede mediante la conexión a un blog público controlado por Blackgear (o enviados de medios sociales) para volver sobre una configuración de mando y control cifrada. En caso de que no hay conexión a Internet, el malware utilizará el C&C detalles incrustados en su código.
- Las cadenas cifradas sirven como un enlace imán para mantener su tráfico malicioso sea detectado por los programas de AV. Entonces, Marade descifrará las cuerdas cifrados y recuperar la C&información del servidor C.
- El siguiente paso es el despliegue de la puerta trasera Protux. El C&C servidor enviará Protux a la máquina afectada y lo ejecutará. Protux se ejecuta mediante el abuso de la biblioteca de vínculos dinámicos rundll32 (DLL). Pone a prueba de red del host, recupera la C&servidor de C de otro blog, y utiliza el algoritmo RSA para generar la clave de sesión y enviar información a la C&Servidor C, los investigadores explicaron.
- Finalmente, herramientas de malware de Blackgear se entregan a los sistemas de destino a través de RAR de extracción automática (SFX) archivos o la oficina de Visual Basic Script (VBScript) para crear un documento de señuelo.
El alcance de las campañas Blackgear
Blackgear ha estado activo durante al menos una década, llegar a los diversos sectores en ataques encubiertos. El poder del malware parece surgir de la forma en que puede evadir el software de seguridad tradicional. Una de estas técnicas es el despliegue de dos etapas de la infección por cada ataque.
Debido a que la primera etapa implica sólo perfiles y reconocimiento, es muy posible que el objetivo puede no ser capaz de darse cuenta de las intrusiones. Puede que no haya señales de intrusión incluso después de que la puerta trasera se cae con éxito en el sistema de destino como los autores Blackgear utilizan servicios de microblogging y redes sociales para recuperar C&C información.
De acuerdo con los investigadores, Los ataques de Blackgear ejemplifican la necesidad de las organizaciones para desarrollar e implementar estrategias de seguridad que puedan responder de manera proactiva a las amenazas y los delitos informáticos. Una de estas estrategias incluye una estrategia de caza amenaza, donde los indicadores de ataque se pueden validar fácilmente para determinar si las intrusiones son de una sola vez los intentos o parte de una campaña más amplia.