En febrero de este año, SixLittleMonkeys, un actor de APT también conocido como Microcin que lleva a cabo campañas de ciberespionaje contra organismos gubernamentales y entidades diplomáticas, fue encontrado descargando un troyano en la memoria del sistema de un objetivo.

Los investigadores de Kaspersky descubrieron que en el malware usado en el último paso (la etapa final de un ataque, cuando la carga maliciosa se ha descargado y comienza a ejecutar comandos en el dispositivo de la víctima) usa una nueva arquitectura similar a la de las API (Interfaz de Programación de Aplicaciones) para simplificar las actualizaciones del malware.

Hace ya varios años que los investigadores de Kaspersky descubrieron SixLittleMonkeys (Microcin) que se dirigía a organismos gubernamentales utilizando una puerta trasera. Además, el grupo fue capaz de enmascarar su actividad maliciosa mediante el uso de la esteganografía: un proceso mediante el cual se envían datos ocultos dentro de una imagen. Esto dificulta que los productos antivirus detecten las cargas maliciosas.

En febrero de este año, se detectó una operación de SixLittleMonkeys contra una entidad diplomática, utilizando su conjunto de herramientas habitual, su estilo de esteganografía y usando DLL-hijacking para ejecutar su código. La diferencia era un gran paso adelante en la profesionalización del estilo de programación utilizado en la última etapa del ataque. 

Las API (Interfaz de Programación de Aplicaciones) permiten a los desarrolladores construir aplicaciones más rápida y fácilmente, creando bloques de construcción para futuros programas de manera que no sea necesario crear código desde cero cada vez. En el caso del malware, las API añaden una capa adicional de eficiencia, ya que permiten que las actualizaciones o cambios se puedan hacer mucho más rápido. 

La función de tipo API de SixLittleMonkeys utiliza dos parámetros de devolución de llamada (funciones que se activarán posteriormente): punteros a funciones de cifrado y registro. La primera se encarga del cifrado/descifrado de las comunicaciones C2 (servidor de control) y de los datos de configuración. El segundo guarda en el archivo el historial de operaciones del malware. Con este enfoque, es mucho más fácil para los autores cambiar el algoritmo de cifrado o redirigir el envío de mensajes a través de un canal de comunicación diferente. 

Otro nuevo aspecto de la actividad reciente de Microcin es el uso de trabajo asíncrono con sockets. Los sockets en este caso son las entidades para las comunicaciones de red con el servidor de control. Al ser asíncronos, una operación no bloquea la otra, lo que significa que se ejecutan todos los comandos. 

«El uso de un estilo de programación de tipo API empresarial es algo que raramente se encuentra en el malware, incluso para aquellos involucrados en campañas dirigidas. Demuestra una amplia experiencia en el desarrollo de software y una significativa sofisticación por parte del actor de amenazas. Con este tipo de llamadas en su nuevo módulo de red, la actualización y el soporte es mucho más fácil», comenta Denis Legezo, Investigador Senior de Seguridad de Kaspersky. 

Lea más sobre la actividad reciente de SixLittleMonkeys en Securelist. 

Para mantenerse a salvo de los ataques de los APT como SixLittleMonkeys, los expertos de Kaspersky recomiendan:  

• Proporcionar a su equipo del Centro de Operaciones de Seguridad (SOC) acceso a la última información sobre amenazas, y mantenerse al día sobre las nuevas y emergentes herramientas, técnicas y tácticas utilizadas por los actores de amenazas y los ciberdelincuentes.
• Para la detección en el endpoint, la investigación y la reparación oportuna de incidentes, implemente soluciones EDR, como Kaspersky Endpoint Detection and Response.
• Además de adoptar una protección esencial del endpoint, implemente una solución de seguridad de nivel corporativo que detecte amenazas avanzadas en la red en una etapa temprana, como Kaspersky Anti Targeted Attack Platform.
• Proporcione a su personal una formación básica en higiene de ciberseguridad, ya que muchos ataques dirigidos comienzan con phishing u otras técnicas de ingeniería social. Lleve a cabo una simulación de ataque de phishing para asegurarse de que su personal sabe cómo distinguir los correos electrónicos de phishing.