KerrDown

KerrDown es una nueva familia de descargadores de malware creados y empleados por el grupo de hackers OceanLotus. Se han vinculado varias campañas de ataque a las actividades de OceanLotus. Sus objetivos han sido a menudo a escala global, pero la mayoría de las operaciones del grupo parecen estar concentradas en la región APAC. Las víctimas provienen de una amplia gama de industrias, gobiernos extranjeros, agencias diplomáticas y entidades relacionadas con Vietnam. De hecho, la última campaña que involucró al descargador de KerrDown se ha dirigido a entidades de Vietnam o de habla vietnamita.

Se han identificado dos vectores de ataque principales: a través de correos electrónicos de phishing que llevan documentos de Word armados o mediante la entrega de archivos RAR que contienen aplicaciones genuinas con carga lateral de DLL.

Cuando la víctima ejecuta el documento de Word, un mensaje en vietnamita le pide que habilite las macros. La macro comprueba el sistema comprometido y determina cuál de los dos archivos .dll implementar en él, dependiendo de si tiene una arquitectura de 32 bits o de 64 bits. La DLL elegida luego se coloca en una ubicación predeterminada en 'Users \ Administrator \ AppData \ Roaming \' como un archivo llamado 'main_background.png'.

El primer paso realizado por el implementado por KerrDown es recuperar la carga útil principal del malware, descifrarlo mediante el uso del algoritmo DES y luego ejecutarlo en la memoria inmediatamente. Esta técnica minimiza la huella de las amenazas de malware, ya que solo KerrDown se guarda en el sistema comprometido.

La carga útil proporcionada por KerrDown es una variante de una cepa popular de malware llamada Cobalt Strike Beacon. OceanLotus ha estado implementando Cobalt Strike en varias de sus campañas anteriores.

En cuanto a las variantes de KerrDown que se propagan a través de archivos RAR, el objetivo final es el mismo: la entrega de Cobalt Strike Beacon, pero los pasos para llegar allí difieren significativamente. Primero, los archivos RAR tienen nombres en vietnamita que significan "Carta de queja" y contienen un documento de Microsoft Word de una versión anterior de Word. El documento en sí también tiene un nombre vietnamita que, cuando se traduce, significa "Obtenga más información sobre cómo utilizar su empresa". Los archivos corruptos de KerrDown se eliminan mediante una técnica de carga lateral de DLL. Luego, la DLL procede a seguir una cadena de varios pasos de comandos de shellcode, y cada etapa utiliza varias técnicas para enmascarar el paso siguiente. La DLL de Cobalt Strike Beacon incrustada finalmente se carga en la memoria y se ejecuta mediante el cuarto código de shell de la secuencia.