El grupo de amenazas APT37 de Corea del Norte está proporcionando nueva evidencia de cómo los adversarios han pasado a usar LNK, o archivos de acceso directo, para distribuir cargas maliciosas después de que Microsoft comenzara a bloquear macros de forma predeterminada el año pasado para evitar la entrega de malware a través de documentos de Office.
Check Point Research, que ha estado rastreando APT37 durante años, informó esta semana que vio al actor de amenazas usando archivos LNK para entregar un troyano de acceso remoto (RAT) denominado RokRAT en sistemas pertenecientes a entidades asociadas con los asuntos internos y externos de Corea del Sur.
Disfrazado como documentos legítimos
Los archivos LNK han estado aterrizando en los sistemas de destino disfrazados de documentos legítimos. En un ataque que analizó Check Point, el atacante disfrazó el archivo LNK malicioso como un PDF y lo incluyó en un archivo ZIP junto con tres documentos legítimos, pero robados, pertenecientes a la industria libia del petróleo y el gas. En un ataque de abril de 2023, el actor de amenazas usó un ISO para colocar dos LNK maliciosos que pretendían contener contenido relacionado con la diplomacia de Corea del Sur y las decisiones políticas asociadas con Corea del Norte.
Los investigadores de Check Point encontraron que en ambos casos, cuando un usuario hacía clic en el archivo LNK, activaba la ejecución de un script de PowerShell que extraía un documento del LNK, lo colocaba en el disco y lo abría. El documento era un señuelo que engañaba a las víctimas para que pensaran que habían abierto un PDF legítimo o un archivo del procesador de textos Hangul (HWP) de Corea del Sur.
Sin embargo, en segundo plano, los scripts de PowerShell también extrajeron un script de BAT del LNK que, a su vez, ejecuta otro script de PowerShell para descargar una carga útil de OneDrive que resultó en la instalación de RokRAT en el sistema.
Sergey Shykevich, gerente del grupo de inteligencia de amenazas en Check Point, dice que este tipo de proceso de entrega de malware de varias etapas puede dificultar el análisis para el defensor. Con el archivo LNK disfrazado de archivo PDF, por ejemplo, después de que la víctima hace clic en el archivo LNK, carga un PowerShell que carga dos archivos.
El primero es un PDF legítimo que engaña a la víctima haciéndole creer que todo está bien. El otro es un "script malicioso que ejecuta un nuevo PowerShell desde un OneDrive específico y que ejecuta una carga útil que carga RokRAT", dice. “La etapa múltiple hace que sea más difícil rastrear toda la cadena de infección y, si se detecta un malware en la red, comprender el vector de infección inicial.
Cambiando las tácticas iniciales de infección
APT37, también conocido como ScarCruft y Reaper, ha estado activo desde al menos 2012. El grupo se ha asociado con numerosas campañas a lo largo de los años, incluida una denominada Operación Daybreak dirigido a objetivos diplomáticos de Corea del Sur, que explotó un error de día cero, y otro que involucraba una puerta trasera llamada OroPuerta trasera que apuntó a los periodistas de Corea del Sur.
El cambio de APT37 al uso de archivos LNK para la entrega de malware es parte de una tendencia que, en cierto sentido, comenzó en serio cuando Microsoft decidió desactivar las macros por defecto en los archivos descargados de Internet el año pasado. Antes de que Microsoft anunciara por primera vez su decisión, en febrero de 2022, alrededor del 31% de todas las amenazas involucraba macros en documentos de Office, según un estudio. Ese número se redujo drásticamente después de que la decisión de Microsoft entró en vigencia en la segunda mitad de 2022, después de que pareció por un momento que la compañía no pasaría con el plano
enlace de concha, o LNK, son archivos de Windows que proporcionan un acceso directo a otros archivos, carpetas y controladores del sistema. Al hacer clic en un archivo LNK, un usuario puede abrir el archivo o la aplicación asociada sin tener que navegar hasta la aplicación manualmente. Los archivos LNK brindan una forma conveniente para que un usuario acceda a archivos y software de uso frecuente y, en general, se consideran seguros.
Archivo LNK, atractivo para los ciberatacantes
Pero hay características de los archivos LNK que los hacen ideales para los atacantes, dice Shykevich. “La efectividad de LNK se debe principalmente a que el atacante puede hacer que el archivo LNK parezca casi cualquier otro tipo de archivo”, dice. Como ejemplos, señala archivos PDF y Doc. “También permite que el atacante ejecute fácilmente diferentes tipos de secuencias de comandos [como] las secuencias de comandos BAT en el caso de APT37”, señala Shykevich. El mayor desafío para el usuario es prestar suficiente atención a dichos archivos y asegurarse de que realmente sean archivos LNK.
Durante el año pasado, los atacantes han utilizado archivos LNK para entregar malware como Emotet, IcedID y Quakbot, según han señalado McAfee y otros. Los ataques han involucrado a actores de amenazas que utilizan spam, correos electrónicos de phishing y URL maliciosas para entregar los LNK a los usuarios. La creciente adopción de la táctica por parte de los atacantes también ha generado una gran cantidad de herramientas comerciales de generación de enlaces para crear archivos LNK maliciosos. Algunos ejemplos de estas herramientas incluyen Constructor de enlaces cuánticos, que comenzó a enviarse el año pasado a tarifas que van desde alrededor de $ 200 por mes hasta alrededor de $ 1,600 por acceso de por vida, Constructor de MLNK disponible por $ 125 por compilación, y macropaquete.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoAiStream. Inteligencia de datos Web3. Conocimiento amplificado. Accede Aquí.
- Acuñando el futuro con Adryenn Ashley. Accede Aquí.
- Fuente: https://www.darkreading.com/attacks-breaches/north-korean-apt-gets-around-macro-blocking-with-lnk-switch-up
