Plaintee y DDKong malware usado para el ciberespionaje de entidades asiáticas

Se ha descubierto una campaña de ataques de espionaje dirigidos a entidades del sudeste asiático utilizando malware.

Recientemente se ha descubierto una campaña de ciberespionaje que está asociada al grupo detrás del troyano KHRAT y ha estado afectando a los países del sudeste asiático. 
El grupo denominado RANCOR usa dos familias de malware ‘PLAINTEE’ y ‘DDKONG’

Los investigadores habían monitorizado la infraestructura del ‘C&C’ del troyano ‘KHRAT’ donde identificaron múltiples variantes de este malware.


Despliegue
Para llegar a infectar el equipo primero se manda un correo con phishing dirigido que contiene distintos vectores de infección tales como: macros en ficheros Office, aplicaciones HTML (.hta)…etc.

La infección a través de las macros de un fichero Office se hace incorporando el código malicioso principal en los metadatos del documento donde reúne unas características idóneas para la evasión de los mecanismos de detección.

RANCOR_2
Contenido de la macro – Fuente

En la siguiente etapa de ejecución del malware se descarga y se ejecuta el siguiente código


Siguente etapa del malware – Fuente

En el caso de las aplicaciones HTML se envían como archivo adjunto en el correo, cuando se descarga y se ejecuta el archivo ‘.hta’ se descarga y ejecuta el malware desde un sitio web remoto y carga una imagen falsa como respuesta a la ejecución del fichero.

DDKong

Este malware contiene tres funciones: ‘ServiceMain’, ‘Rundll32Call’, ‘DllEntryPoint’. coque iphone xr La función ServiceMain se ejecuta y espera a que se cargue como servicio, si se carga con éxito genera una nueva instancia de sí mismo con la exportación de ‘Rundll32Call’ mediante una llamada a ‘rundll32.exe’

La función ‘Rundll32Call’ de este malware se asegura de que solo se ejecute una única instancia de ‘DDKong’. soldes coque iphone Este intenta decodificar la configuración utilizando una clave XOR. coque iphone 2019 Una vez decodificada obtenemos la configuración y procede a enviar una señal al C&C a través de TCP.


Plaintee

Plaintee usa un protocolo UDP personalizado para sus comunicaciones con el C&C. coque iphone 7 Este malware contiene tres funciones: ‘Add’, ‘Sub’, ‘DllEntryPoint’. coque iphone 7 Cuando se carga inicialmente se ejecuta la función ‘Add’ que ejecuta este código para conseguir la persistencia.


Persistencia – Fuente



Lo siguiente que hace es generar un ‘mutex’ llamado ‘microsoftfuckedupb’ y genera un ‘GUID’ único a través de una llamada a  ‘CoCreateGuid()’ para ser utilizado como identificador de la víctima. 

A continuación el malware recopila los datos del sistema de la máquina infectada e introduce un bucle en el que decodifica un ‘BLOB’ de configuración incrustado. La configuración está codificada usando XOR y el primer byte de la cadena se usa como la clave XOR para decodificar el resto de los datos.


Beacon de Plaintee – Fuente

Estructura del paquete de red de Plaintee – Fuente


Este paquete se envía hasta que el servidor C2 de una respuesta válida.