Threat Database Malware MESSAGEMANIFOLD Malware

MESSAGEMANIFOLD Malware

El malware MESSAGEMANIFOLD es una cepa de malware recién descubierta que se observa como parte del arsenal de un grupo de piratas informáticos aún no identificado. La última campaña que implementó la amenaza de malware se aprovechó contra la comunidad tibetana, pero a principios de este año, en mayo de 2020, se observó que MESSAGEMANIFOLD tenía como objetivo a los legisladores taiwaneses.

La cadena de ataque de la amenaza comienza con la difusión de correos electrónicos de spear-phishing altamente dirigidos. Para obtener la máxima participación de los objetivos seleccionados, los correos electrónicos se diseñaron para que aparezcan como invitaciones a actividades importantes para la comunidad tibetana, como conferencias. El cuerpo de los correos electrónicos contenía uno o dos enlaces de Google Drive que iniciaron una descarga de archivos ejecutables corruptos con el nombre 'dalailama-Invitations.exe'. Los archivos actuaron como cuentagotas de primera etapa: al ejecutarse, se muestra un mensaje de error de Windows falso para desviar la atención del hecho de que se está colocando un segundo ejecutable en la carpeta 'C: \ usuarios | Público'. La conexión con la infraestructura de Command-and-Control (C2, C&C) se establece a través de solicitudes HTTP POST. Los investigadores de Infosec determinaron que puede ser necesaria una respuesta específica del servidor C2 antes de que el malware pueda pasar a la siguiente etapa de infección.

Las dos campañas observadas que involucran al Malware MESSAGEMANIFOLD muestran muchas superposiciones entre sí, lo que sugiere que el mismo grupo de piratas informáticos es responsable de ambas. Por ejemplo, todos los dominios involucrados en las campañas se alojaron en AS 42331 (PE Freehost) y AS 42159 (Zemlyaniy Dmitro Leonidovich), disponibles para su compra a través de Deltahost, un proveedor de alojamiento de Ucrania. Tomando la dirección de correo electrónico 'diir.tibet.net@mail.ru' que se utilizó para registrar los dos dominios C2, los investigadores de Insikt Group descubrieron tres dominios adicionales con temática del Tíbet: intibet.net, mail-tibet .net y dalailama.online. Todos los dominios descubiertos se registraron a través del mismo revendedor de dominios: Domenburg.

Los aspectos peculiares de las dos campañas de ataque apoyan la conjetura de que el grupo de piratas informáticos detrás de ellas podría estar patrocinado por el estado. De hecho, la naturaleza altamente focalizada de las víctimas, el bajo volumen de operaciones atribuidas al grupo y la aparente falta de motivación financiera respaldan esa teoría. Además, la importancia estratégica de los objetivos y el hecho de que tanto Taiwán como la región tibetana han sido durante mucho tiempo puntos de concentrados intereses chinos también podría ser una pista importante para determinar las lealtades de los piratas informáticos.

Tendencias

Mas Visto

Cargando...