Una investigación reciente realizada por la Unidad de Investigación de Amenazas (TRU) de Acronis reveló un ataque sofisticado que utilizaba una versión obsoleta de microsoft Word sirve como conducto para instalar una puerta trasera persistente en sistemas infectados.
WordDrone se centra en empresas de Taiwán, especialmente aquellas de la industria de fabricación de drones. La investigación reveló que el malware se instaló en sistemas de empresas que operan en la creciente industria de drones de Taiwán, que ha experimentado una importante inversión gubernamental desde 2022.
La ubicación estratégica de Taiwán tanto en el sector tecnológico como en el militar probablemente convirtió a estas organizaciones en objetivos atractivos para el espionaje o los ataques a la cadena de suministro.
Debilidades en Microsoft Word
Los atacantes utilizan una técnica conocida como carga lateral de DLL para la instalación. malware A través de una versión pirateada de Microsoft Word 2010. Instala tres archivos principales en el sistema de destino que son una copia legítima de Winword (Microsoft Word), un archivo wwlib.dll creado con fines malintencionados, un archivo con un nombre aleatorio y una extensión.
La aplicación Winword legítima se utiliza para descargar el archivo DLL malicioso, que actúa como un cargador para la carga útil real oculta dentro del archivo cifrado con el nombre aleatorio.
La descarga de DLL es una técnica que explota cómo las aplicaciones de Windows cargan bibliotecas. En este caso, los atacantes se aprovechan de una versión anterior de Microsoft Word, que contiene una vulnerabilidad que le permite cargar un archivo DLL malicioso disfrazado de parte legítima de una instalación de Microsoft Office. El archivo malicioso wwlib.dll actúa como un cargador, descifrando y ejecutando la carga útil de malware real oculta en otro archivo cifrado. Este uso de carga lateral de DLL dificulta las cosas a los tradicionalistas. Herramientas de seguridad Para detectar el ataque.
Los atacantes llegan incluso a firmar digitalmente algunos archivos DLL maliciosos con certificados caducados recientemente. Esta táctica permite que el malware evite la detección por parte de sistemas de seguridad que confían plenamente en archivos binarios firmados.
Una vez que comienza el ataque, se desarrollan una serie de acciones maliciosas. El ataque comienza ejecutando un código auxiliar, que descomprime y autoinserta un componente conocido como install.dll. Este componente establece persistencia en el sistema de destino e inicia la siguiente fase ejecutando ClientEndPoint.dll, que sirve como núcleo de la funcionalidad de la puerta trasera.
Después de la instalación, el malware prioriza mantener la persistencia en el sistema infectado, utilizando el componente install.dll para lograrlo. Este componente admite tres métodos operativos: instalar el proceso host como un servicio, configurarlo como una tarea programada o ingresar a la siguiente fase sin demostrar persistencia. Estas opciones permiten que el malware permanezca activo y evada la detección, lo que garantiza que pueda continuar con sus actividades maliciosas incluso después de reiniciar el sistema.
La fase final del ataque comienza con dos tareas importantes. Primero, el malware desvincula el NTDLL, una técnica utilizada para eliminar posibles ganchos colocados por el software de seguridad. El malware garantiza que ningún gancho interfiera con sus operaciones maliciosas al cargar una nueva copia de la biblioteca NTDLL. En segundo lugar, el malware utiliza una técnica conocida como silenciamiento EDR para neutralizar ataques comunes. Detección y respuesta de endpoints Herramientas EDR. Escanea la lista de procesos en busca de herramientas de seguridad conocidas y agrega reglas de bloqueo al Firewall de Windows en busca de coincidencias. Esto desactiva la capacidad del software de seguridad para detectar o prevenir más actividades maliciosas.
Uno de los aspectos más complejos del malware es su capacidad para comunicarse con un servidor de comando y control (C2). La formación de la conexión C2 está integrada en el malware y depende de un cronograma. El conjunto de bits en la configuración representa cada hora de la semana, y si una hora en particular está marcada como activa, el malware intentará establecer una conexión con el servidor C2.
El malware también admite múltiples protocolos de comunicación, incluidos TCP, TLS, HTTP, HTTPS y WebSocket. Una vez que se establece la conexión, el malware puede recibir comandos o cargas adicionales del servidor C2. El formato binario personalizado utilizado para la comunicación hizo que el tráfico fuera más difícil de detectar y analizar.
El vector de acceso inicial del ataque aún no está claro, pero los investigadores notaron que la primera aparición de los archivos maliciosos fue en una carpeta de software ERP popular de Taiwán. Esto planteó la posibilidad de un ataque a la cadena de suministro, donde los atacantes comprometieron el software de planificación de recursos empresariales (ERP) para distribuir malware.