APT-K-47 gebruikt kunstaas met Hajj-thema om geavanceerde Asyncshell-malware te leveren

De bedreigingsacteur bekend als Mysterieuze olifant Er is waargenomen dat er gebruik werd gemaakt van een geavanceerde versie van malware genaamd Asynshell.

De aanvalscampagne zou gebruik hebben gemaakt van kunstaas met Hajj-thema om slachtoffers te misleiden tot het uitvoeren van een kwaadaardige lading onder het mom van een Microsoft Compiled HTML Help (CHM)-bestand, aldus het Knownsec 404-team in een analyse die vandaag is gepubliceerd.

Mysterious Elephant, ook bekend als APT-K-47, is een bedreigingsacteur van Zuid-Aziatische afkomst die minstens sinds 2022 actief is en zich voornamelijk richt op Pakistaanse entiteiten.

Er is vastgesteld dat de tactieken en instrumenten van de groep overeenkomsten vertonen met die van andere dreigingsactoren die in de regio’s actief zijn, zoals SideWinder, Confucius en Bitter.

In oktober 2023 werd de groep in verband gebracht met een spearphishing-campagne die een achterdeur opleverde genaamd ORPCBackdoor als onderdeel van aanvallen gericht tegen Pakistan en andere landen.

De exacte initiële toegangsvector die Mysterious Elephant in de laatste campagne gebruikte, is niet bekend, maar het gaat waarschijnlijk om het gebruik van phishing-e-mails. De methode leidt tot de levering van een ZIP-archiefbestand dat twee bestanden bevat: een CHM-bestand dat beweert over het hadjbeleid in 2024 te gaan en een verborgen uitvoerbaar bestand.

Wanneer de CHM wordt gelanceerd, wordt deze gebruikt om een ​​lokdocument weer te geven, een legitiem pdf-bestand dat wordt gehost op de website van het Pakistaanse ministerie van Religieuze Zaken en Interfaith Harmony, terwijl het binaire bestand heimelijk op de achtergrond wordt uitgevoerd.

Het is een relatief eenvoudige malware, ontworpen om een ​​cmd-shell met een externe server tot stand te brengen, waarbij Knownsec 404 functionele overlappingen met Asyncshell identificeert, een ander hulpmiddel dat de bedreigingsacteur sinds de tweede helft van 2023 herhaaldelijk heeft gebruikt.

Er zijn tot nu toe maar liefst vier verschillende versies van Asyncshell ontdekt, met mogelijkheden om cmd- en PowerShell-opdrachten uit te voeren. Het is gebleken dat de initiële aanvalsketens die de malware verspreiden, gebruikmaken van de WinRAR-beveiligingsfout (CVE-2023-38831, CVSS-score: 7,8) om de infectie te activeren.

Bovendien zijn daaropvolgende iteraties van de malware overgestapt van het gebruik van TCP naar HTTPS voor command-and-control (C2)-communicatie, om nog maar te zwijgen van het gebruik van een bijgewerkte aanvalsreeks die een Visual Basic-script gebruikt om het lokdocument te tonen en te lanceren door middel van een geplande taak.

“Het is duidelijk dat APT-K-47 sinds 2023 regelmatig Asyncshell heeft gebruikt om aanvalsactiviteiten te lanceren, en geleidelijk de aanvalsketen en de payload-code heeft geüpgraded”, aldus het Knownsec 404-team.

“Bij recente aanvalsactiviteiten heeft deze groep op slimme wijze gebruik gemaakt van vermomde serviceverzoeken om het uiteindelijke shell-serveradres te controleren, waarbij de vaste C2 van eerdere versies werd gewijzigd in de variabele C2, wat het belang aantoont van de interne plaatsen van de APT-k-47-organisatie op Asyncshell. “

Thijs Van der Does