Los Estados de la Nación respaldaron adversarios bajo sus propias preferencias cuando se trató de herramientas de malware y de ataque. Detalles sobre la herramientas que utilizan estos actores se incluyen en el informe Intel 2014 CrowdStrike Global Threat que fue lanzado esta semana. Entre sus conclusiones: La herramienta de acceso remoto (RAT) PlugX es la variante de malware más observada y utilizado en este tipo de ataques.
"PlugX es bastante fácil de usar", dijo Dmitri Alperovitch, co-fundador y CTO de CrowdStrike. "Fue utilizado inicialmente por los adversarios chinos que llevaron al desarrollo de la herramienta." El uso de PlugX ha proliferado a través de múltiples grupos de adversarios que CrowdStrike sigue, Alperovitch señaló. Originalmente PlugX fue sólo utilizado por varios grupos en China. Alperovitch espera que su uso haya crecido al paso en que individuos se han trasladado a través de diferentes unidades militares en China y como resultado de compartir sus historias de éxito.
Como funciona PlugX
"PlugX ha existido de alguna forma desde el 2008 y ha evolucionado con el tiempo para ofrecer nuevas capacidades y mecanismos de control, con el apoyo de un programa de desarrollo activo", dice el informe de CrowdStrike. "Proporciona a un atacante con una gama de funcionalidad, incluyendo la capacidad de registrar las capturas de teclado, modificar y copiar archivos, capturar imágenes o video de la actividad del usuario y realizar tareas administrativas tales como finalizar procesos, cerrar la sesión en los usuarios y reiniciar equipos de las víctimas."
PlugX también incluye capacidades de comando-y-control (C2). El informe de CrowdStrike señala que las capacidades C2 de PlugX incluyen una serie de opciones que permiten a la RAT permanecer oculta y sin ser detectadas en las redes.
Desde la perspectiva de implementación, PlugX infecta a los usuarios por medio de un ataque de phishing dirigido que incluye un archivo adjunto a manera de documento malicioso. CrowdStrike encontró que en muchos casos, el documento infectado pretende explotar la vulnerabilidad CVE-2012-0158, que fue parchada en 2012.
El PlugX RAT no es un solo archivo, sino más bien es una explotación multi-etapa en el dispositivo de usuario, la cual cae bajo tres archivos diferentes. Según el análisis de CrowdStrike, la primera es un archivo de aplicación legítima firmada digitalmente, el segundo es un archivo encriptado que contiene el payload de PlugX, y el tercero es una librería maliciosa, enlazada dinámicamente (DLL) y que se utiliza para cargar el software malicioso cuando se ejecuta la aplicación legítima.
El enfoque multi-nivel utilizado por PlugX ayuda a la herramienta evitar diversas formas de detección de amenazas, incluyendo muchas de las tecnologías comunes de software anti-virus.
Actividad del kit de explotación
Fuera del contexto de los atacantes del Estado de la Nación, el Angler exploit kit ha ganado notoriedad en el transcurso del pasado año. Alperovitch explicó que mientras PlugX es utilizado por los adversarios en China, Angler es utilizado habitualmente por grupos criminales para crear botnets y robar información financiera.
Fuente: The Hacker Herald
