Consulta técnica sobre FortiEDR
Descripción
CrimsonRAT es un troyano de acceso remoto (RAT) que se dirige a puntos finales de Windows y ha sido empleado por actores de amenazas para acceder a puntos finales infectados para capturar capturas de pantalla, robar credenciales y recopilar información. CrimsonRAT también se conoce como SEEDOOR y Scarimson [1] . Las campañas de CrimsonRAT (junio de 2021) dirigidas a las redes del gobierno indio se han atribuido al grupo de actores de amenazas Transparent Tribe, un presunto actor afiliado a Pakistán [2] .
El grupo Transparent Tribe, también conocido como APT36/PROJECTM / MYTHIC LEOPARD/ COPPER FIELDSTONE, ha estado activo desde al menos 2013. Este grupo se dirige principalmente a organizaciones diplomáticas, de defensa y de investigación en la India. Se sospecha que este grupo tiene orígenes en Pakistán.
El archivo RingBell.exe es un malware .NET de 32 bits, que la inteligencia de amenazas de FortiGuard Labs detecta como AntiVirus: PossibleThreat.PALLASNET.H y lo etiqueta con Crimson/CrimsonRAT/TransparentTribe. Los eventos en la cadena de infección y ejecución se muestran en la Figura 1 a continuación.
Figura 1. Diagrama de flujo de ataque de la campaña de phishing CrimsonRAT.
Acceso inicial y ejecución
Los métodos de acceso inicial informados observados en las implementaciones salvajes de CrimsonRAT son predominantemente correos electrónicos de phishing con archivos adjuntos maliciosos de Microsoft Office [3] . La muestra analizada como parte de este artículo fue un documento de Microsoft Word que contenía macros maliciosas utilizadas para colocar y ejecutar el binario CrimsonRAT. Este binario se almacena inicialmente como varias cadenas ofuscadas dentro de la macro de VBA incrustada en el documento malicioso de Office. Estas cadenas se concatenan y el archivo ejecutable resultante se escribe en el disco en tiempo de ejecución. La Figura 2 a continuación muestra el documento de Microsoft Word utilizado como documento atractivo como parte de la campaña CrimsonRAT analizada.
Figura 2. Este es un ejemplo de un documento señuelo utilizado como parte de un documento de phishing de implementación de CrimsonRAT empleado por Transparent Tribe una vez que se han habilitado las macros. El documento muestra contenido diferente una vez que se han habilitado las macros.
El documento señuelo analizado contiene código VBA malicioso vinculado al evento ‘Document_Open’ que hace que el código se ejecute una vez que el usuario habilita las macros. Como se describe en la introducción, hay un archivo incrustado incluido en este código de macro. Este archivo se almacena en varias partes como cadenas que se concatenan mediante la función «GenerateStringW48» en una sola cadena.
Esta cadena es utilizada por otra función («ReadFileKlistankhantkmnbyfgasuyga») que escribe el archivo «RingBell.exe» en el directorio Environ$»ALLUSERSPROFILEC0E2″. En nuestro entorno de prueba
¡Déjanos cualquier duda sobre FortiEDR aquí abajo!
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!