hacker__

Daxin el malware mas peligroso se adentra en las redes para robar datos y los investigadores dicen que es el malware más avanzado que se conoce y se sabe que proviene de actores vinculados a China.

El problema

Los investigadores de seguridad han descubierto una puerta trasera sigilosa de un grupo de piratería vinculado a China que se está utilizando para atacar infraestructura crítica en varios países.

El malware, apodado Daxin por los investigadores de Symantec, propiedad de Broadcom, es un ‘rootkit’ o malware de puerta trasera diseñado para dar a un atacante acceso de bajo nivel de privilegios de ‘root’ a un sistema comprometido. Se utilizó por última vez en noviembre de 2021, según Symantec.. 

Symantec declaró en una publicación de blog que el malware del controlador del kernel de Windows era la «pieza más avanzada de malware» que sus investigadores habían visto de actores vinculados a China.

El método

El malware está diseñado para penetrar en redes que se han endurecido contra los ciberataques.

La Agencia de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) marcó a Daxin como un incidente de seguridad de «alto impacto» basado en la información compartida a través de sus socios de ciberseguridad del sector privado de los Estados Unidos en la Colaboración Conjunta de Defensa Cibernética

CISA señala que Daxin se ha utilizado contra gobiernos seleccionados y otros objetivos de infraestructura crítica. CISA y Symantec se comprometieron con múltiples gobiernos atacados con malware Daxin y ayudaron en la detección y corrección, dice CISA.

Daxin es una «puerta trasera de rootkit altamente sofisticada con funcionalidad compleja y sigilosa de comando y control (C2)», según CISA.

spying__

«Daxin parece estar optimizado para su uso contra objetivos endurecidos.

Esto permite a los actores excavar profundamente en redes específicas y exfiltrar datos sin levantar sospechas», señala CISA.

Espía por excelencia

Los investigadores de Symantec creen que el malware se utiliza para espionaje en lugar de destruir datos como el malware WhisperGate y HermeticWiper que actualmente se dirige a organizaciones de Ucrania.

«La mayoría de los objetivos parecen ser organizaciones y gobiernos de interés estratégico para China», dijeron los investigadores de amenazas de Symantec.

«Daxin es sin duda la pieza más avanzada de malware que los investigadores de Symantec han visto utilizada por un actor vinculado a China».

El malware del controlador del kernel de Windows es raro hoy en día, según los investigadores de Symantec, que creen que es similar a Regin, una pieza de malware que impresionó a sus investigadores en 2014.

Modo escucha

La característica destacada de Daxin es que no inicia sus propios servicios de red, sino que se basa en servicios de red legítimos que se ejecutan en computadoras que ya están comprometidas.

Los métodos son similares a las técnicas de «vivir fuera de la tierra» sobre las que Microsoft ha advertido previamente en relación con el malware que utiliza servicios legítimos de Windows para evadir la detección. Pero en lugar de basarse en procesos legítimos del sistema operativo, Daxin explota el tráfico de red seguro legítimo entre servidores internos para infectar computadoras y evitar la detección.   

El malware permite a los atacantes comunicarse a través de una red de computadoras infectadas y elige la ruta óptima para las comunicaciones entre esas computadoras en un solo barrido.

Funciona secuestrando el proceso de intercambio de claves de cifrado entre computadoras en red en función de las señales de tráfico TCP entrantes que indican si vale la pena apuntar a una conexión determinada.

TCP es uno de los protocolos originales de Internet, diseñado para proteger las comunicaciones de extremo a extremo entre dispositivos conectados a la red.

«Si bien no es raro que las comunicaciones de los atacantes realicen múltiples saltos a través de las redes para evitar los firewalls y, en general, evitar levantar sospechas, esto generalmente se hace paso a paso, de modo que cada salto requiere una acción separada», señala Symantec.

«Sin embargo, en el caso de Daxin, este proceso es una sola operación, lo que sugiere que el malware está diseñado para ataques en redes bien protegidas, donde los atacantes pueden necesitar volver a conectarse periódicamente a computadoras comprometidas».

Symantec señala que los atacantes intentaron implementar Daxin en 2019 utilizando una sesión de PsExec. PSExec es una herramienta legítima de Windows que permite a los administradores reparar equipos de forma remota.

Sin embargo, agrega que las similitudes entre las bases de código de Daxin y el malware previamente conocido llamado Zala sugieren que el grupo ha estado activo desde 2009.

Daxin mejora las características de red preexistentes de Zala.

Por Frank G