Mikroceen RAT está irrumpiendo en redes de alto perfil en Asia Central

Se ha encontrado un troyano de acceso remoto que ataca a gobiernos y empresas prominentes en Asia Central desde 2017. Esto fue detallado técnicamente por Investigadores de seguridad de ESET junto con Avast, después de muchos otros investigadores. La RAT, llamada como Mikroceen de ESET, puede plantar puertas traseras y afianzarse en las profundidades de la red, que luego se pueden utilizar para el robo de datos u otras vulnerabilidades.

Países de Asia Central como objetivo

Los objetivos de esta RAT son las industrias populares de telecomunicaciones y gas, tanto empresas públicas como privadas. Los investigadores dicen que incluso existe en redes de algunos gobiernos, como Rusia, Bielorrusia y Mongolia. Este troyano fue explicado por primera vez por Kaspersky como Microcin en 2017, seguido por Palo Alto Networks como BYEBY y por Checkpoint como Vicious Panda. Esto ahora ha sido estudiado en detalle por investigadores de Kaspersky y Avast.

Mikroceen RAT está irrumpiendo en redes de alto perfil en Asia Central

Admiten su incapacidad para saber si las herramientas de malware obtuvieron acceso a la red, pero explicaron cómo funcionó después de obtener acceso. Primero, el atacante con el siguiente código instalará un RAT en el sistema de destino e intentará escanear lateralmente a través de la red. Esto se hizo utilizando varias herramientas como;

Usando varias herramientas para difundir

Vía Mimikatz

Mimikatz es una herramienta de código abierto para eludir los esquemas de autenticación de Windows y volcar las credenciales de inicio de sesión de la memoria. Aunque fue desarrollado para equipos rojos como investigadores de ciberseguridad por una buena causa, los atacantes lo utilizan a menudo para exploits. Aquí, se usó para entregar un gotero como installer.exe o yokel64.exe, que también tiene la carga útil principal y una DLL indicativa externa como mktz64.dll.

A través de la herramienta de administración de Windows

Además, los atacantes utilizaron la herramienta legítima WMI de Windows para propagarse por la red de alojamiento. Inicialmente, prepara una consola remota para la máquina de destino, a través del , y

. Se obtendrán mediante WMI. La seguridad del proxy ahora está configurada para permitir que el C2 del atacante obtenga acceso profundo a los recursos del sistema de la víctima y eventualmente cree un proceso de acuerdo con los parámetros del atacante.

La rata Gh0st

Este troyano se utiliza para conectarse a un dominio de piratas informáticos, que reveló mucho sobre este truco. Esta RAT se encontrará como rastls.dll en la PC comprometida e intentará conectarse a la https: //yuemt.zzux[.]com: dominio 443. Su dirección IP ha resuelto ubicar el servidor en algún lugar de China, pero aún así, es una especie de proxy.

Panel del atacante C2
Panel del atacante C2

Los investigadores incluso encontraron el cliente del lado del servidor, donde la interfaz de usuario parecía muy antigua. Pero los piratas informáticos en este caso que utilizan conexiones SSL, que utilizan una variedad de herramientas, incluidas las legítimas como Windows y múltiples capas de ofuscación, son apreciadas por ocultarse mejor. Si bien están apuntando activamente a empresas y gobiernos en Asia Central, los investigadores no han descubierto exactamente cómo están ganando terreno en las máquinas específicas en primer lugar.