Análisis en instalaciones de VPN coreanas y ataques Sparkrat desde MeshAgent

26/05/2023

BOLETÍN NRO 2023-356

Recientemente el aumento de casos de ciberataques comprueba el resurgimiento del malware SparkRAT a través de instaladores de VPN coreanos con incidentes anteriores y la inclusión de MeshAgent para funciones de escritorio remoto. Así como, variaciones en el método de entrega utilizando GoLang como Dropper en lugar de .NET y la inclusión de MeshAgent de MeshCentral para funciones adicionales.

Servicios Afectados

• Sistemas operativos Windows

• Sistemas operativos Linux

• Sistemas operativos macOS

Detalles Tecnicos

CVE: ---                                    Severidad:   ALTA Amenaza: SparkRat                                  Categoría: Malware El proceso de instalación del malware sigue un flujo en el que SparkRAT se descarga mediante un programa de descarga integrado en el instalador malicioso. Luego, el actor de amenazas envía comandos maliciosos a SparkRAT para instalar MeshAgent en el sistema infectado. Una vez instalado, MeshAgent se registra en un servidor público de MeshCentral, lo que permite al actor de amenazas controlar los dispositivos registrados. Una diferencia notable de los ciberataques recientes es el predominio del malware desarrollado en GoLang en lugar de .NET. El malware GoLang se utiliza tanto en los droppers como en los downloaders utilizados en el proceso de ataque. El instalador encubierto y el malware que instala MeshAgent son dos ejemplos de malware GoLang ofuscado utilizados en los ataques. SparkRAT, que se emplea en los ciberataques, es un malware RAT desarrollado en GoLang. Proporciona funcionalidades básicas como ejecución de comandos, robo de información y control de procesos y archivos. Además, se destaca por ser compatible con Windows, Linux y MacOS. MeshAgent, proporcionado por MeshCentral, es una herramienta de administración gratuita y de código abierto que ofrece capacidades de control remoto. Permite el control del sistema, ejecución de comandos, descarga de archivos y funciones de escritorio remoto como VNC y RDP. Los ciberdelincuentes instalan MeshAgent para superar la falta de funciones de escritorio remoto en SparkRAT. Indicadores de Compromiso URL hxxp[:]//54[.]180[.]27[[.]]29/cc/himart/api/kodbox-main/gr[.]png Hash MD5: 0574f906b97f2e74ae49b6e900b5c60d SHA-256: a1b0950c84cb0b42e10d429c8dda09c4fa525954e90dab4a8f34402af936568e MD5: 162e17324f63f2e1d2c32f7c842b3917 SHA-256: abf620257fea60766cb2ed18caf573c8ed5d78f3ba8ec59088fa2ba0a3bfdaec MD5: 8fce3a48d46b9c3d252806e7292647e6 SHA-256: aca08a333092161b37281ca86f5d6cb744671e436274da09570c8fe3e133e2f8 MD5: 4a9369fcff5e934ab644c9aca6e42532 SHA-256: 7df445244c625f4aa7cee9d5727860f3d727b3e8cdee07305343fa198279712a MD5: 15d24570f3844987acce866d6541ba21 SHA-256: 98cf8ddd43e445d10313f72ad6bffd3f25d02194aebb48ced2d35fc02d06dbbe

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: Analysis of Attack Cases: From Korean VPN Installations to MeshAgent Infections
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​