Malware HIsoka

Hisoka Malware es una amenaza de puerta trasera desplegada en dos campañas de ataque independientes dirigidas a las empresas de transporte y envío de Kuwait. Los actores de la amenaza utilizaron Hisoka junto con varias otras amenazas de malware personalizadas. Los piratas informáticos nombraron sus herramientas en honor a los personajes de la popular serie de manga y anime 'Hunter x Hunter': Sakaboto, Hisoka, Gon, Killua y Netero.

La primera vez que se detectó Hisoka Malware fue cuando el malware se lanzó a una computadora perteneciente a una organización que trabaja en el sector de transporte y envío de Kuwait. El binario dañado se llamó 'inetinfo.sys' y tenía una variante de la versión 0.8 de Hisoka. A través de Hisoka, los actores de amenazas implementaron rápidamente dos herramientas de malware adicionales: Gon y EYE. Gon es una potente puerta trasera que permite a los piratas informáticos cargar y descargar datos, ejecutar comandos, abrir conexiones de Protocolo de escritorio remoto (RDP), tomar capturas de pantalla, buscar puertos abiertos, etc. Por otro lado, EYE es una herramienta de limpieza para cualquier conexión RDP realizada por los delincuentes, ya que puede eliminar los procesos asociados y eliminar cualquier artefacto de identificación adicional. La versión 0.8 de Hisoka Malware se comunicaba con su infraestructura de Comando y Control (C2, C&C) a través de túneles HTTP y DNS.

Hisoka asume un enfoque modular

En una campaña contra otra organización de Kuwait del mismo sector industrial, los investigadores de infosec detectaron que se estaba utilizando una nueva versión de Hisoka. La versión 0.9 se eliminó como un archivo llamado 'netiso.sys'. En comparación con las iteraciones anteriores del malware, esta nueva versión mostró un cambio en la mentalidad de los delincuentes. En lugar de agrupar todas las funciones dañinas en una sola amenaza, ahora estaban tratando de adoptar un enfoque más modular al eliminar ciertas funciones de Hisoka y empaquetarlas en una amenaza de malware independiente llamada Netero. La nueva herramienta está integrada en Hisoka como un recurso llamado 'msdtd' y se puede iniciar si surge la necesidad. Al delegar ciertos aspectos a diferentes herramientas, los piratas informáticos podrían intentar minimizar su huella en la máquina comprometida y dificultar la detección de su herramienta.

La versión 0.9 también presentó una gama ampliada de canales de comunicación con los servidores C2 con la inclusión de una capacidad basada en correo electrónico. Para que este método funcione, Hisoka aprovecha los servicios web de Exchange (EWS) y las credenciales malversadas para crear correos electrónicos guardados en la carpeta "Borradores". Para los comandos entrantes, la amenaza de malware busca correos electrónicos con el asunto 'Proyecto'. Al mismo tiempo, la comunicación saliente se realiza a través de correos electrónicos con el asunto 'Presente'. El cuerpo del correo electrónico saliente contiene un mensaje cifrado y se puede adjuntar un archivo si se ha recibido el comando 'upload_file' correspondiente.