Una investigación reciente realizada por la Unidad de Investigación de Amenazas de Acronis (TRU) ha revelado un complejo ataque que utilizaba una versión antigua de microsoft Word como conducto para instalar una puerta trasera persistente en sistemas infectados.
WordDrone se centra en empresas de Taiwán, en particular aquellas involucradas en la industria de fabricación de drones. La investigación reveló que el malware se había instalado en sistemas de empresas que trabajan en la creciente industria de drones de Taiwán, que ha experimentado una importante inversión gubernamental desde 2022.
La posición estratégica de Taiwán tanto en el sector tecnológico como en el militar probablemente convirtió a estas organizaciones en objetivos atractivos para el espionaje o los ataques a la cadena de suministro.
Vulnerabilidades de Microsoft Word
Los atacantes utilizan una técnica conocida como carga lateral de DLL para instalar malware a través de una versión comprometida de Microsoft Word 2010. Instala tres archivos principales en el sistema de destino que son una copia legítima de Winword (Microsoft Word), un archivo wwlib.dll creado con fines malintencionados y un archivo con un nombre y extensión aleatorios.
La aplicación Winword legítima se utiliza para cargar la DLL maliciosa, que sirve como cargador para la carga útil real oculta dentro del archivo cifrado con nombre aleatorio.
La carga lateral de DLL es una técnica que explota cómo las aplicaciones de Windows cargan bibliotecas. En este caso, los atacantes se aprovechan de una versión anterior de Microsoft Word, que tenía una vulnerabilidad que le permitía cargar un archivo DLL malicioso disfrazado de parte legítima de la instalación de Microsoft Office. El archivo malicioso wwlib.dll actúa como un cargador, descifrando y ejecutando la carga útil de malware real oculta en otro archivo cifrado. Este uso de carga lateral de DLL dificulta las tareas tradicionales. herramientas de seguridad para detectar el ataque.
Los atacantes llegan incluso a firmar digitalmente algunas de las DLL maliciosas con certificados que habían caducado recientemente. Esta táctica permite que el malware eluda la detección de los sistemas de seguridad que confían plenamente en los archivos binarios firmados.
Una vez que se desencadena el ataque, se desarrollan una serie de acciones maliciosas. El ataque comienza con la ejecución de un código auxiliar, que descomprime y autoinyecta un componente conocido como install.dll. Este componente establece persistencia en el sistema de destino e inicia la siguiente fase ejecutando ClientEndPoint.dll, que sirve como núcleo de la funcionalidad de puerta trasera.
Después de la instalación, el malware prioriza mantener la persistencia en el sistema infectado y utiliza el componente install.dll para lograrlo. Este componente admite tres métodos operativos: instalar el proceso host como un servicio, configurarlo como una tarea programada o inyectar la siguiente etapa sin establecer persistencia. Estas opciones permiten que el malware permanezca activo y evada la detección, lo que garantiza que pueda continuar con sus actividades maliciosas incluso después de que se reinicie el sistema.
La etapa final del ataque comienza con dos tareas importantes. En primer lugar, el malware realiza el desenganche de NTDLL, una técnica utilizada para eliminar posibles ganchos colocados por el software de seguridad. El malware garantiza que ningún gancho pueda interferir con sus operaciones maliciosas al cargar una instancia nueva de la biblioteca NTDLL. En segundo lugar, el malware utiliza una técnica conocida como silenciamiento EDR para neutralizar Detección y respuesta de terminales (EDR) herramientas. Escanea la lista de procesos en busca de herramientas de seguridad conocidas y agrega reglas de bloqueo al Firewall de Windows en busca de coincidencias. Esto desactiva efectivamente la capacidad del software de seguridad para detectar o prevenir más actividades maliciosas.
Uno de los aspectos más sofisticados del malware es su capacidad para comunicarse con un servidor de comando y control (C2). La configuración para la comunicación C2 está integrada en el malware y se basa en un cronograma temporal. Una matriz de bits en la configuración representa cada hora de una semana y, si una hora específica se marca como activa, el malware intentará establecer una conexión con el servidor C2.
El malware también admite múltiples protocolos de comunicación, incluidos TCP, TLS, HTTP, HTTPS y WebSocket. Una vez que se establece la comunicación, el malware podría recibir comandos o cargas adicionales del servidor C2. El formato binario personalizado utilizado en la comunicación hizo que fuera más difícil detectar y analizar el tráfico.
El vector de acceso inicial para el ataque aún no está claro, pero los investigadores notaron que la primera aparición de archivos maliciosos fue en la carpeta de un popular software ERP taiwanés. Esto planteó la posibilidad de un ataque a la cadena de suministro, donde los atacantes comprometieron el software ERP para distribuir el malware.