ACTUALIZACIÓN BACKDOOR WINORDLL64

23/02/2023

BOLETÍN NRO 2023-122

Recientemente se detectó una puerta trasera llamada WinorDLL64 que forma parte del cargador Wslink, el cual se utiliza para cargar archivos binarios de Windows en la memoria del sistema ya comprometido.

Servicios Afectados

• Sistemas operativos Windows

Detalles Tecnicos

CVE: CVE-2021-21551                                    Severidad:   ALTA

El payload de WinorDLL64 permite adquirir una gran cantidad de información del sistema y manipular archivos, como la exfiltración, sobrescritura y eliminación de los mismos, además de ejecutar comandos adicionales. Curiosamente, esta puerta trasera se comunica a través de una conexión ya establecida por el cargador Wslink. Aunque no se ha identificado el vector de compromiso inicial de Wslink, los investigadores han atribuido WinorDLL64 al grupo de ciberdelincuentes APT de Lazarus con baja confianza, basándose en la región de destino y en la superposición tanto en el comportamiento como en el código con muestras conocidas de Lazarus.

El grupo APT de Lazarus, alineado con Corea del Norte y activo desde al menos 2009, es responsable de ataques de alto perfil, como el hackeo de Sony Pictures Entertainment y ciberataques que han afectado a decenas de millones de dólares, así como a la infraestructura pública y crítica de Corea del Sur. Lazarus consta de un equipo grande y sistemáticamente organizado, compuesto por varios subgrupos que utilizan un gran conjunto de herramientas. En 2021, se descubrió una herramienta de Lazarus que aprovechaba la vulnerabilidad CVE-2021-21551 para apuntar a un empleado de una empresa aeroespacial en los Países Bajos y a un periodista político en Bélgica. Fue el primer abuso registrado de esta vulnerabilidad, y la herramienta y la vulnerabilidad en combinación condujeron al cegamiento del monitoreo de todas las soluciones de seguridad en las máquinas comprometidas.

Los investigadores descubrieron la superposición tanto en el comportamiento como en el código de muestras de WinorDLL64 con muestras de Lazarus de Operation GhostSecret y el implante Bankshot. La descripción de los implantes en los artículos de GhostSecret y Bankshot contiene superposiciones en la funcionalidad con WinorDLL64, y se encontraron algunas superposiciones de código en las muestras.

En cuanto a la estructura técnica de WinorDLL64, esta es una DLL con una sola exportación sin nombre que acepta un parámetro: una estructura para la comunicación. La estructura contiene un contexto TLS (socket, clave, IV) y devoluciones de llamada para enviar y recibir mensajes cifrados con AES-CBC de 256 bits que permiten a WinorDLL64 intercambiar datos de forma segura con el operador a través de una conexión ya establecida. Además, WinorDLL64 utiliza algunas de las funciones del cargador Wslink para comunicarse con el operador.

Indicadores de Compromiso

Hash

MD5: 13a44e5599c225d88d20398b4bec842a

SHA-256: 3bc8bbf4a1b3596e54e20609c398eab877c581ea369f6e1ef0ab0f9afe330d12

MD5: 407c5d3cd146b17f64df18cea5be44da

SHA-256: 3ee598552c19aefda44524c4a992e01cb74aa20d1368c4e74fb0c06e7a92910c

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.
• Aplicar sementacion, pirncipios de privigelios minios, desactivar powershel, principio de minio privilegio.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: WinorDLL64: A backdoor from the vast Lazarus arsenal?
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​