El grupo de hackers de ciberespionaje Sharp Panda está apuntando a entidades gubernamentales de alto perfil en Vietnam, Tailandia e Indonesia con una nueva versión del marco de malware ‘Soul’.
El malware en specific se vio anteriormente en campañas de espionaje dirigidas a organizaciones críticas del sudeste asiático, atribuidas a varias APT chinas.
punto de management identificó una nueva campaña que usa el malware que comenzó a fines de 2022 y continúa hasta 2023, empleando ataques de phishing para el compromiso inicial.
El uso del package RoyalRoad RTF, las direcciones del servidor C2 y el horario de trabajo del pirata informático permitieron a Test Level atribuir la última operación de espionaje a piratas informáticos chinos respaldados por el estado. Los TTP y las herramientas son consistentes con las actividades vistas anteriormente por Sharp Panda.
Cadena de infección
La nueva campaña de Sharp Panda utiliza correos electrónicos de phishing con archivos adjuntos DOCX maliciosos que implementan el package RoyalRoad RTF para intentar explotar vulnerabilidades más antiguas para colocar malware en el host.
En este caso, el exploit crea una tarea programada y luego descarga y ejecuta un descargador de malware DLL, que a su vez obtiene y ejecuta un segundo DLL del servidor C2, el cargador SoulSearcher.
Esta segunda DLL crea una clave de registro con un valor que contiene la carga comprimida last y luego descifra y carga la puerta trasera modular de Soul en la memoria, lo que ayuda a evadir la detección de las herramientas antivirus que se ejecutan en el sistema violado.
detalles del alma
Tras la ejecución, el módulo principal del malware Soul establece una conexión con el C2 y espera módulos adicionales que amplíen su funcionalidad.
La nueva versión analizada por Test Level presenta un modo de “silencio de radio” que permite a los actores de amenazas especificar las horas específicas de la semana en que la puerta trasera no debe comunicarse con el servidor de comando y management, probablemente para evadir la detección durante las horas de trabajo de la víctima.
“Esta es una característica avanzada de OpSec que permite a los actores combinar su flujo de comunicación con el tráfico common y disminuir las posibilidades de que se detecte la comunicación de la pink”. explicó Test Level.
Además, la nueva variante implementa un protocolo de comunicación C2 personalizado que utiliza varios métodos de solicitud HTTP, incluidos GET, POST y DELETE.
El soporte para múltiples métodos HTTP le da flexibilidad al malware, ya que GET se usa para recuperar datos, POST para enviar datos.
La comunicación de Soul con el C2 comienza registrándose y enviando datos de huellas dactilares de la víctima (detalles del {hardware}, tipo de sistema operativo, zona horaria, dirección IP), después de lo cual ingresa en un ciclo de contacto infinito de C2.
Los comandos que puede recibir durante estas comunicaciones se refieren a la carga de módulos adicionales, la recopilación y el reenvío de datos de enumeración, el reinicio de la comunicación C2 o la salida de su proceso.
Test Level no probó módulos adicionales que podrían realizar funciones más especializadas, como acciones de archivos, exfiltración de datos, registro de teclas, captura de pantalla, and many others.
El marco Soul se vio por primera vez en la naturaleza en 2017 y posteriormente se rastreó a lo largo de 2019 en campañas de espionaje chinas realizadas por actores de amenazas sin vínculos obvios con Sharp Panda.
A pesar de las superposiciones en el uso de la herramienta, los hallazgos recientes de Test Level muestran que Soul aún se encuentra en desarrollo e implementación activos.
