Se ha detectado Mistic, un nuevo backdoor autodestructible que permite el acceso sigiloso a redes corporativas ejecutándose solo en memoria. Investigadores vinculan este malware al grupo KongTuke, un corredor de acceso que vende estas intrusiones a bandas de ransomware. El software ha afectado a diversos sectores y es capaz de borrar sus propios rastros para evitar la detección.



Una nueva puerta trasera autodestructiva llamada Mistic, utilizada en intrusiones desde abril, parece estar vinculada a una banda criminal que compromete redes corporativas y luego vende ese acceso a grupos de ransomware, según investigadores de seguridad.

Esta puerta trasera, también rastreada como MLTBackdoor, fue documentada por primera vez por Zscaler a principios de este mes, y la firma de seguridad sugiere que el nuevo malware es “probablemente utilizado en ataques de ransomware para establecer un punto de apoyo para el movimiento lateral”.

En un informe de amenazas del miércoles, los cazadores de amenazas de Symantec y Carbon Black afirmaron que la puerta trasera se ha utilizado para acceder a las redes de múltiples organizaciones en los últimos meses, incluidas aquellas en los sectores de seguros, educación, TI y servicios profesionales.

Además, los investigadores de seguridad informaron que “Mistic puede estar vinculado al bróker de acceso inicial (IAB) con motivaciones financieras rastreado públicamente como KongTuke (que nosotros rastreamos como Woodgnat) y fue utilizado en una intrusión que también involucró el troyano de acceso remoto ModeloRAT del grupo”.

KongTuke y otros IAB no entregan la carga útil final –como el ransomware– a las empresas comprometidas. En su lugar, irrumpen en los sistemas de la empresa y luego venden ese acceso a otros criminales, como las bandas de ransomware.

Symantec y Carbon Black llegaron a esta atribución de baja confianza tras al menos un caso en el que Mistic se desplegó en estrecha proximidad a ModeloRAT, el troyano de acceso remoto basado en Python que también desarrolló KongTuke.

KongTuke ha sido vinculado previamente a ataques de varias bandas de ransomware, incluyendo Qilin, Interlock, Rhysida, Akira, 8Base y Black Basta.

“Nuestro equipo de cazadores de amenazas ha observado por separado el uso de ModeloRAT en ataques que desplegaron el ransomware Qilin, vinculando esta herramienta con el despliegue de ransomware”, señalaron Symantec y Carbon Black.

Además, Zscaler informó que Mistic se entregó en una cadena de infección ClickFix de varias etapas, lo que constituye otro indicio hacia KongTuke, ya que el grupo es conocido por utilizar esa técnica de acceso inicial.

En un caso al que respondieron Symantec y Carbon Black, Mistic se cargó lateralmente a través de un archivo legítimo, MpExtMs.exe, y luego se cargó desde una DLL llamada EndpointDlp.dll, lo que probablemente ayudó a que la puerta trasera se camuflara con software legítimo.

Mistic tiene todas las funcionalidades habituales de una puerta trasera: puede cargar, descargar, mover, renombrar y eliminar archivos. También puede crear carpetas nuevas y buscar comandos adicionales del servidor de comando y control (C2) controlado por el atacante.

Pero aquí está la parte furtiva: puede ejecutar cargas útiles remotas desde el C2 directamente en la memoria –por lo que no escribe archivos maliciosos en el disco duro–, lo que le ayuda a evadir la detección basada en archivos de los productos antivirus y de detección de endpoints.

Cuando la misión se cumple, se termina y se elimina a sí misma.

“El hecho de que Mistic se ejecute en memoria y también tenga un interruptor de apagado incorporado significa que es muy sigiloso, permitiendo potencialmente un acceso furtivo a largo plazo para los atacantes”, escribieron los cazadores de amenazas.

Fuente:
TheRegister