El grupo de ciberespionaje APT10, también conocido como menuPass, Stone Panda, Potasio, Cicada o Red Apollo, ha sido identificado por emplear una nueva cadena de infección sigilosa en sus ataques dirigidos a entidades japonesas. Los objetivos incluyen medios de comunicación, organizaciones diplomáticas, gubernamentales y del sector público. APT10 ha estado mejorando constantemente su malware LODEINFO, optimizando y aumentando las tácticas de evasión para pasar desapercibido.

A partir de marzo de 2022, APT10 cambió su vector de infección que involucra el uso de un archivo falso de Microsoft Word y un archivo autoextraíble (SFX) en formato RAR que es liberado mediante campañas de phishing. El archivo Word contiene una macro, que una vez habilitada, descarga un archivo ZIP que contiene dos archivos, uno de los cuales (“NRTOLF.exe”) es un ejecutable legítimo del software K7Security Suite, que posteriormente se usa para cargar una DLL no autorizada (K7SysMn1.dll). K7SecuritySuite es un software antivirus que contiene una falla, la cual permite que un atacante emplee una técnica conocida como carga lateral de DLL “DLL side-loading” para cargar su propio archivo DLL malicioso que se ejecutará cuando se inicie el software antivirus.

Los TTP (Tácticas, Técnicas y Procedimientos) actualizados y las mejoras en LODEINFO indican que el atacante está particularmente enfocado en evadir los productos de seguridad y complicar el análisis manual por parte de los investigadores de seguridad. Se pueden tomar en cuenta las siguientes medidas de prevención para evitar ser afectados por este tipo de ataques:

• Actualizar activos críticos y herramientas de terceros.
• Realizar análisis de vulnerabilidades.
• Implementar un agente XDR para monitorear:
– Archivos recién creados (DLL/PE).
– Cambios realizados en archivos y sus atributos.
– Ejecución de procesos de forma inusual.
– Actividad de comunicación de red.

Referencias:
https://attack.mitre.org/techniques/T1574/002/
https://attack.mitre.org/techniques/T1195/002/
https://thehackernews.com/2022/11/chinese-hackers-using-new-stealthy.html
https://www.bleepingcomputer.com/news/security/hacking-group-abuses-antivirus-software-to-launch-lodeinfo-malware/
https://www.binarydefense.com/threat_watch/k7securitysuite-antivirus-software-exploited-to-deploy-lodeinfo-malware%EF%BF%BC/