Redacción 25 junio, 2019
APT10 años robando a empresas de telecomunicaciones

En 2018, el equipo de Cybereason, Nocturnus identificó un ataque avanzado y persistente dirigido a proveedores de telecomunicaciones globales realizado por un actor de amenazas utilizando herramientas y técnicas comúnmente asociadas con el actor de amenazas APT10, afiliado a China.

APT10
                                                 APT10

Estos ataques de ondas múltiples se enfocaron en obtener datos de objetivos específicos de alto valor y dieron como resultado una toma de control completa de la red.

PUNTOS CLAVE

  • A principios de este año, Cybereason identificó un ataque avanzado y persistente dirigido a los proveedores de telecomunicaciones que ha estado en marcha durante años, poco después de implementarse en el medio ambiente.
  • Cybereason detectó el ataque y luego apoyó al proveedor de telecomunicaciones a través de cuatro oleadas más del ataque persistente avanzado en el transcurso de 6 meses.
  • Según los datos de que disponemos, Operation Soft Cell ha estado activo desde al menos 2012, aunque algunas evidencias sugieren una actividad aún más temprana del actor de amenazas contra los proveedores de telecomunicaciones.
  • El ataque tenía como objetivo obtener registros CDR de un gran proveedor de telecomunicaciones.
  • El actor de amenazas intentaba robar todos los datos almacenados en el directorio activo, comprometiendo cada nombre de usuario y contraseña en la organización, junto con otra información personal identificable, datos de facturación, registros de detalles de llamadas, credenciales, servidores de correo electrónico, ubicación geográfica de los usuarios, y más.
  • Las herramientas y los TTP utilizados se asocian comúnmente con el actor de amenazas chino APT10
  • Durante el ataque persistente, los atacantes trabajaron en oleadas, abandonando un hilo de ataque cuando fue detectado y detenido, solo para regresar meses después con nuevas herramientas y técnicas.

Al igual que los proveedores de telecomunicaciones, muchas otras organizaciones de infraestructura crítica proporcionan un objetivo valioso para los actores de las amenazas de los estados nacionales, debido a su alto impacto.

En los estudios, casi una cuarta parte de las organizaciones de infraestructura crítica informaron que habían sido golpeadas por ataques estatales y el 60% dijo que los ataques cibernéticos perturbadores se encuentran entre las amenazas que más les preocupan.

Los actores de amenazas, especialmente aquellos a nivel del estado nación, están buscando oportunidades para atacar a estas organizaciones, realizando operaciones avanzadas y elaboradas para obtener influencia, apoderarse de activos estratégicos y recopilar información. Cuando tienen éxito, estos ataques a menudo tienen enormes implicaciones.

El año pasado, identificamos a un actor de amenazas que ha estado operando en entornos de proveedores de telecomunicaciones durante al menos dos años.

Realizamos una revisión posterior a los incidentes de los ataques y pudimos identificar cambios en los patrones de ataque junto con nuevas actividades cada trimestre.

El actor de amenazas buscó principalmente obtener datos de CDR (registros de llamadas, ubicaciones de torres celulares, etc.) que pertenecen a individuos específicos de varios países. Este tipo de espionaje cibernético dirigido suele ser el trabajo de los actores de amenazas del estado nación.

Hemos concluido con un alto nivel de certeza que el actor de amenazas está afiliado a China y es probable que esté patrocinado por el estado.

APT10

Las herramientas y técnicas utilizadas a lo largo de estos ataques son consistentes con varios actores de amenazas chinos, específicamente con APT10 , un actor de amenazas que se cree opera en nombre del Ministerio de Seguridad del Estado (MSS) de China .

El ataque comenzó con un shell web que se ejecutaba en un servidor vulnerable y público, desde el cual los atacantes recopilaban información sobre la red y se propagaban a través de la red.

El actor de amenazas intentó comprometer activos críticos, como servidores de bases de datos, servidores de facturación y el directorio activo.

Como la actividad maliciosa se detectó y remedió, el actor de amenazas detuvo el ataque.

La segunda ola del ataque golpeó varios meses más tarde con intentos de infiltración similares, junto con una versión modificada del shell web y actividades de reconocimiento. Comenzó un juego de gato y ratón entre el actor de amenaza y los defensores, ya que cesaron y reanudaron su ataque 2 veces más en el lapso de un período de 4 meses.

COMPROMISO INICIAL: EL SHELL WEB CHOPPER DE CHINA MODIFICADO

El indicador inicial del ataque fue un shell web malicioso que se detectó en un servidor IIS y salió del proceso w3wp.exe .

Una investigación del shell web, que más tarde se clasificó como una versión modificada del shell web de China Chopper, descubrió varias fases de ataque y TTP.

El actor de amenazas pudo aprovechar el shell web para ejecutar comandos de reconocimiento, robar credenciales e implementar otras herramientas.

Actividad malintencionada del shell web como se observa en la solución Cybereason.

Comandos ejecutados a través de una versión modificada del shell web de

China Chopper.

China Chopper es un shell web que se descubrió por primera vez en 2012 y que es comúnmente utilizado por actores chinos maliciosos .

Se utiliza para controlar de forma remota los servidores web, y se ha utilizado en muchos ataques contra proveedores de alojamiento web australianos .

Los parámetros de shell web en este ataque coinciden con los parámetros de China Chopper, como se describe en el análisis de FireEye de China Chopper .

RECONOCIMIENTO Y ROBO DE CREDENCIALES

El actor de amenazas lanzó una serie de comandos de reconocimiento para tratar de obtener y enumerar información sobre la máquina comprometida, la arquitectura de red, los usuarios y la enumeración de directorio activo.

Ejemplo 1: Comandos de Reconocimiento

Ejemplo 2: Comandos de Reconocimiento

MODIFICADO «NBTSCAN»

Uno de los comandos de reconocimiento fue ejecutar una herramienta nbtscan modificada (» escáner del servidor de nombres NetBIOS «) para identificar los servidores de nombres NetBIOS disponibles localmente o en la red. APT10 ha utilizado Nbtscan en la Operación Cloud Hopper para buscar servicios de interés en el estado de TI y puntos finales de interés de huella. También es capaz de identificar información del sistema.

La ejecución del Escáner NetBIOS como se ve en la solución Cybereason.

El escáner NetBIOS está configurado para escanear un rango de IP interno.

MIMIKATZ MODIFICADO

Después de la fase de reconocimiento, el actor de amenazas intentó volcar las credenciales almacenadas en las máquinas comprometidas. La herramienta de robo de credenciales más común utilizada por el actor de amenazas fue un mimikatz modificado que vuelca los hashes NTLM.

Esta versión de mimikatz no requirió ningún argumento de línea de comando, muy probablemente en un intento de evitar la detección basada en la auditoría de línea de comando. Cambiamos el nombre de esta muestra a maybemimi.exe .

Mimikatz modificado que vuelca los hashes NTLM.

La ingeniería inversa muestra la similitud entre maybemimi.exe y mimikatz.

Código Mimikatz de GitHub .

cuerdas de maybemimi.

DUMPING THE SAM HIVE DEL REGISTRO

Para obtener las credenciales, el actor de amenazas utilizó otra técnica que se puede ver en las capturas de pantalla de abajo. Volcaron secciones específicas del Registro de Windows , como la sección SAM, que contiene hashes de contraseña.

Reg.exe se genera a partir de un proceso de shell.

Los argumentos de la línea de comando indican el salto de la colmena SAM.

MOVIMIENTO LATERAL

Una vez que el actor de amenazas mapeó la red y obtuvo credenciales, comenzaron a moverse lateralmente. Pudieron comprometer activos críticos, incluidos los servidores de producción y los servidores de bases de datos, e incluso lograron obtener el control total del controlador de dominio.

El actor de amenazas confió en WMI y PsExec para moverse lateralmente e instalar sus herramientas en múltiples activos.

El siguiente ejemplo demuestra cómo el actor de amenazas se movió lateralmente de la primera máquina, comprometida por la versión modificada del shell web de China Chopper , a otras máquinas dentro de la red.

/ c cd / d «C: \ Archivos de programa \ Microsoft \ Exchange Server \ V15 \ FrontEnd \ HttpProxy \ ecp \ auth \» & wmic / node: [REDACTED] / user: «[REDACTED]» / password: «[REDACTED] «proceso llamada crear a.bat & echo [S] & cd & echo [E]

Comando WMI usado por el actor de amenazas para moverse lateralmente.

MANTENER UN PUNTO DE APOYO A LARGO PLAZO Y ROBAR DATOS

El actor de amenazas abusó de las credenciales robadas para crear cuentas de usuarios de dominio fraudulentas y de alto privilegio que luego utilizaron para tomar medidas maliciosas. Al crear estas cuentas, se aseguraron de que mantendrían el acceso entre diferentes oleadas del ataque. Una vez que el actor de amenazas recupera su posición, ya tienen acceso a una cuenta de usuario de dominio de alto privilegio. Esto reduce significativamente el «ruido» de tener que usar los dumpers de credenciales repetidamente, lo que les ayudó a evadir la detección.

HIEDRA VENENOSA

Un segundo método que utilizó el actor de amenazas para mantener el acceso a través de los activos comprometidos fue a través del despliegue de PoisonIvy RAT (PIVY). Este infame RAT se ha asociado con muchos actores de amenazas chinos diferentes, incluidos APT10, APT1 y DragonOK . Es un RAT potente y multifuncional que le permite a un actor de amenazas tomar el control total de una máquina.Entre sus características más destacadas se encuentran:

  • Editor de registro
  • Captura de pantalla Grabber
  • Ladrón de credenciales
  • Shell interactivo
  • Administrador de archivos con soporte de carga y descarga
  • Monitor de proceso
  • Registro de teclas y varias otras funciones de vigilancia

El panel de control de PoisonIvy.

Cortesía de Sam Bowne – samsclass.info

La tensión de PIVY en este ataque usó una técnica de carga lateral de DLL para cargarse sigilosamente en la memoria. Para lograr esto, explotó una aplicación confiable y firmada. La carga útil PIVY se eliminó junto con la herramienta de confianza y firma de Samsung ( RunHelp.exe ) de la siguiente manera:

  1. Se creó un paquete de instalación nullsoft (NSIS) con una herramienta legítima de Samsung firmada en él.
  2. Una vez ejecutado, la secuencia de comandos del instalador dentro del paquete NSIS extrajo la herramienta Samsung y agregó una DLL falsa con el mismo nombre que una DLL legítima ( ssMUIDLL.dll) , que es requerida por la aplicación.
  3. La DLL contiene un stager PIVY, que luego se carga con la herramienta Samsung.
  4. Después de que la herramienta de Samsung cargó la DLL falsa, descifró una carga útil de blob en la misma carpeta, que contiene la carga útil PIVY real.
  5. Fue capaz de lograr la persistencia mediante la creación de una tarea programada rogue.

Ejecución posterior a la persistencia de PIVY, cargada lateralmente en una aplicación legítima de Samsung.

El uso de PIVY de la carga lateral de DLL para abusar de las herramientas de Samsung no es nuevo, y Palo Alto ha informado anteriormente.

En 2016 se usó para atacar a activistas pro democráticos en Hong Kong, muy probablemente por actores de amenaza chinos.

WEB SHELLS SECUNDARIOS

En etapas posteriores del ataque, el actor de amenazas desplegó otros dos shells web personalizados.Desde estos shells web, lanzaron comandos de reconocimiento, robaron datos y eliminaron herramientas adicionales, como portqry.exe , cmd.exe renombrado, winrar y el notorio hTran .

Comandos de reconocimiento y movimiento lateral

lanzados desde el shell web secundario.

EXFILTRACIÓN DE DATOS

El actor de amenazas exfiltró los datos robados utilizando múltiples canales diferentes, incluidos shells web, PIVY y hTran.

COMPRIMIENDO LOS DATOS ROBADOS

En un intento por ocultar el contenido de los datos robados, el actor de amenazas usó winrar para comprimirlos y protegerlos con contraseña.

Los archivos binarios de winrar y los datos comprimidos se encontraron principalmente en la carpeta Papelera de reciclaje , un TTP que se observó anteriormente en los ataques relacionados con APT10 .

Se sabe que este actor de amenazas organiza los datos en archivos de varias partes antes de la exfiltración.

El actor de amenazas utilizó los siguientes comandos para comprimir los datos.

  • rar.exe a -k -r -s -m1 – [password] [REDACTED] .rar [REDACTED] .temp
  • rar.exe a -k -r -s -m1 – [password] [REDACTED] .rar [REDACTED] .csv
  • rar a -r – [password] [REDACTED] .rar sam system ntds.dit

Los datos robados comprimidos se filtran a través de la web shell.

El contenido de los datos comprimidos fue crucial para comprender la motivación del actor de la amenaza para el ataque, así como el tipo de información que buscaban.

HTRAN

Para eliminar datos de un segmento de red que no está conectado a Internet, el actor de amenazas implementó una versión modificada de hTran . Esta herramienta de «enlace de la conexión» permite al actor de amenazas redirigir los puertos y las conexiones entre diferentes redes y ofuscar el tráfico del servidor C2.

Ha habido numerosos informes sobre el uso de hTran por diferentes actores de amenazas chinos, entre ellos: APT3 , APT27 y DragonOK.

El actor de amenazas hizo algunas modificaciones al código fuente original de hTran . Muchas cadenas, incluidos los mensajes de depuración, se cambiaron intencionalmente y se confundieron en un intento de evadir la detección y frustrar los esfuerzos para identificar el malware por parte de los antivirus y los investigadores.

Mensajes de depuración confusos.

Dado que el código fuente original para hTran está disponible públicamente, pudimos comparar la salida de depuración con el código fuente original para mostrar que efectivamente se ha modificado.

Identificación de modificaciones en un desmontaje del hTran modificado.

printf está siendo llamado (doblado por nosotros como «looks_like_printf») con la salida «C e.». Al observar el código fuente original, pudimos identificar que se supone que se trata de un «error de conexión».

Una sección del código fuente para hTran.

Cuando piensa en grandes brechas a grandes organizaciones, lo primero que viene a la mente son los datos de pago. Una organización que proporciona servicios a una gran base de clientes tiene una gran cantidad de datos de tarjetas de crédito, información de cuentas bancarias y más datos personales en sus sistemas. Estos ataques generalmente son conducidos por un grupo de delitos cibernéticos que buscan hacer dinero.

En contraste, cuando un actor de amenazas del estado nación está atacando a una gran organización, el objetivo final generalmente no es financiero, sino propiedad intelectual o información sensible sobre sus clientes.

Uno de los datos más valiosos que poseen los proveedores de telecomunicaciones es el Registro de detalles de llamadas (CDR). Los CDR son un gran subconjunto de metadatos que contiene todos los detalles sobre las llamadas, incluyendo:

  • Origen, destino y duración de una llamada
  • Detalles del dispositivo
  • Localizacion fisica
  • Proveedor de dispositivos y versión

Para un actor de amenazas del estado nación, obtener acceso a estos datos les brinda un conocimiento íntimo de las personas a las que desean apuntar en esa red. Les permite responder preguntas como:

  • ¿Con quién están hablando los individuos?
  • ¿Qué dispositivos están usando los individuos?
  • ¿A dónde viajan las personas?

Tener esta información se vuelve particularmente valioso cuando los actores de la amenaza del Estado-nación están apuntando a agentes de inteligencia extranjeros, políticos, candidatos de la oposición en una elección, o incluso a la policía.

Ejemplo 1: Datos CDR

Ejemplo 2: Datos CDR

Ejemplo 3: Datos CDR

Más allá de atacar a usuarios individuales, este ataque también es alarmante debido a la amenaza que representa el control de un proveedor de telecomunicaciones.

Las telecomunicaciones se han convertido en infraestructura crítica para la mayoría de las potencias mundiales.

Un actor de amenazas con acceso total a un proveedor de telecomunicaciones, como es el caso aquí, puede atacar como quiera que lo haga de forma pasiva y también trabajar activamente para sabotear la red.

Este ataque tiene implicaciones generalizadas, no solo para individuos, sino también para organizaciones y países por igual.

El uso de herramientas específicas y la opción de ocultar las operaciones en curso durante años apunta a un actor de amenaza del estado nación, muy probablemente China.

Esta es otra forma de uso de la guerra cibernética para establecer un punto de apoyo y recopilar información de manera encubierta hasta que estén listos para atacar.

Las siguientes secciones detallan la metodología y el proceso de trabajo utilizado para unir las distintas etapas y componentes del ataque. Este trabajo nos permitió no solo reconstruir estos ataques, sino también encontrar artefactos adicionales e información sobre el actor de amenazas y sus operaciones.

METODOLOGÍA

PASO 1: CREAR Y MANTENER UN INVENTARIO DE IOC

El primer paso en este proceso fue crear una lista completa de indicadores de compromiso (IOC) observados en las diferentes etapas del ataque. Esta lista incluye varios indicadores, como hashes de archivos, dominios, direcciones IP, nombres de archivos y nombres de registro / servicio. Además de esto, nuestros ingenieros de reversa pudieron extraer más IOC de las muestras recolectadas, que también se agregaron a la lista.

La lista de IOC se actualizó periódicamente y se devolvió a nuestro motor de inteligencia de amenazas a medida que se descubrían más.

PASO 2: LA CAZA DEL MAL CONOCIDO

Equipado con una lista cada vez mayor de IOC conocidos, nuestro equipo se dispuso a buscar «fruta de bajo rendimiento» en múltiples entornos. Este paso se realizó mediante el uso de fuentes internas, como la solución Cybereason, así como la búsqueda de indicadores en la naturaleza.

La búsqueda del «mal conocido» produjo resultados interesantes que ayudaron a descubrir activos comprometidos adicionales, así como a más partes de la infraestructura de ataque.

PASO 3: AMENAZA DEL ARSENAL DEL ACTOR

Quizás uno de los pasos más interesantes incluyó la identificación y el análisis de las herramientas que el actor de amenazas utilizó durante el ataque. La combinación de la preferencia de herramientas, la secuencia de uso y, específicamente, cómo se usan durante el ataque dice mucho sobre un actor de amenazas, especialmente cuando se trata de atribución.

Uno de los aspectos más notables fue cómo el actor de amenazas usó en su mayoría herramientas conocidas que fueron personalizadas para este ataque específico.

Cada herramienta se personalizó de forma diferente e incluyó la reescritura del código, la eliminación de los símbolos de depuración, la ofuscación de cadenas y la incorporación de la información específica de la víctima en la configuración de las herramientas.

Sin embargo, el actor de amenazas también usó herramientas que no pudimos atribuir a ninguna herramienta conocida. Estas herramientas se usaron en las últimas etapas del ataque, una vez que la operación ya fue descubierta. Esto era más probable que disminuyera el riesgo de exposición o atribución.

Finalmente, las cargas útiles casi nunca se repitieron. El actor de amenazas se aseguró de que cada carga útil tuviera un hash único, y algunas cargas se empaquetaron utilizando diferentes tipos de empacadores, tanto conocidos como personalizados.

Las principales herramientas que estos ataques tenían en común son:

  1. Web Shells
    • Se usó una versión modificada del shell web de China Chopper para el compromiso inicial.
    • Se utilizaron shells web personalizados para las fases posteriores del ataque.
  2. Herramientas de reconocimiento
    • Se usó una versión modificada de Nbtscan para identificar los servidores de nombres NetBIOS disponibles localmente o en la red.
    • Se usaron múltiples herramientas integradas de Windows para varias tareas, incluyendo whoami, net.exe , ipconfig , netstat , portqry y más.
    • Los comandos WMI y PowerShell se utilizaron para varias tareas.
  3. RATA
    • PoisonIvy se utilizó para mantener el acceso a través de los activos comprometidos.
  4. Dumpers de credenciales
    • Se utilizó una versión modificada de Mimikatz para volcar las credenciales almacenadas en las máquinas comprometidas.
    • También se utilizó un Mimikatz basado en PowerShell para volcar las credenciales almacenadas en las máquinas comprometidas.
  5. Movimiento lateral
    • WMI fue utilizado para el movimiento lateral.
    • PsExec también fue utilizado para el movimiento lateral.
  6. Proxy de conexión
    • Se usó una versión modificada de hTran para filtrar los datos robados.
  7. Herramienta de compresión
    • Winrar se utilizó para comprimir y proteger con contraseña los datos robados.

PASO 4: CREANDO UN PERFIL DE COMPORTAMIENTO BASADO EN TTP

Uno de los componentes clave de la búsqueda de amenazas es crear un perfil de comportamiento basado en TTP del actor de amenazas en cuestión. Las cargas útiles de malware y la infraestructura operativa pueden cambiarse o reemplazarse rápidamente con el tiempo, y como tal, la tarea de rastrear a un actor de amenazas puede ser bastante difícil.

Por esa razón, es crucial perfilar al actor de amenazas y estudiar su comportamiento, las herramientas que utiliza y sus técnicas. Estas TTP basadas en el comportamiento tienen menos probabilidades de cambiar drásticamente, y son los factores clave de cualquier búsqueda de amenazas o esfuerzos de atribución.

La solución Cybereason es compatible con el marco MITRE ATT & CK , lo que facilitó el seguimiento de las TTP observadas y la correlación de los datos con los actores de amenazas conocidos.

La siguiente tabla refleja el perfil de comportamiento del actor de amenazas basado en las técnicas observadas con más frecuencia utilizadas en estos ataques. 

DESGLOSE DE LAS TÉCNICAS MITRE ATT & CK

Acceso inicial Ejecución Persistencia Escalamiento de privilegios Evasión de defensa Credencial de acceso
Explotación de la aplicación de cara al público Interfaz de línea de comandos Web shell Cuentas válidas Carga del lado de DLL Dumping credencial
Instrumentación de Administración Windows Crear una cuenta Web shell Eliminación del indicador de herramientas
Potencia Shell Archivos o información ofuscados
Enmascaramiento
Descubrimiento Movimiento lateral Colección Comando y control Exfiltración Impacto
Descubrimiento de configuración de red del sistema Acciones de administrador de Windows Datos del sistema local Copia remota de archivos Datos comprimidos
Descubrimiento del sistema remoto Pasar el hash Datos en escena Proxy de conexión Exfiltración sobre el canal de comando y control
Descubrimiento de cuenta Copia remota de archivos Captura de entrada
Grupos de permisos de descubrimiento

PASO 5: MAPEO DE LA INFRAESTRUCTURA Y ACTIVIDAD OPERATIVA

RECONSTRUYENDO LA INFRAESTRUCTURA

Con el fin de dar sentido a todos los datos, los incorporamos a múltiples fuentes de inteligencia de amenazas, incluidas las nuestras y las de terceros.

⚠️ Nota: Ya que no podemos compartir ningún IOC, nos referiremos a hashes de archivos, nombres de host, direcciones IP y otros IOC como marcadores de posición genéricos.

Hostname1 es el nombre de host que se usó para el servidor C2 dirigido a los proveedores de telecomunicaciones.

Hostname1 conectado a múltiples herramientas.

Al analizar los archivos, está claro que todos se están comunicando con el mismo hostnamename1.hostname1 era el servidor C2 al que se conectaban el malware y las aplicaciones web.

Una vez que determinamos que los hash en el alcance del ataque solo se conectaban al nombre de host1 , que es un nombre de host de DNS dinámico, verificamos si podíamos encontrar más información sobre el servidor C2.

Una simple consulta de WHOIS reveló que la dirección IP estaba registrada en una empresa de alojamiento de colocación en Asia , aunque no había otra información disponible públicamente sobre esta dirección IP.

Al consultar todos nuestros recursos de inteligencia de amenazas sobre esta dirección IP, descubrimos que estaba asociada con múltiples nombres de host de DNS dinámicos.

Múltiples nombres de host dinámicos de DNS.

No pudimos encontrar indicaciones de conexiones a Dynamic.DNS2 y Dynamic.DNS3. Sin embargo, fueron registrados y asociados con IP.Address1 .

Para los otros hosts de DNS dinámicos, aprovechamos varios repositorios de inteligencia de amenazas y creamos consultas que buscaron ejecutables con estas direcciones IP y nombres de host en su tabla de cadenas.

Una de las consultas devolvió algunas DLL con nombres idénticos a la DLL que inicialmente investigamos .

Sin embargo, los hashes eran diferentes. Después de obtener los DLL encontrados, los parcheamos nuevamente en el instalador de NSIS y detonamos las muestras en nuestro entorno de prueba.

El análisis dinámico de las DLL recién obtenidas reveló un nuevo conjunto de dominios y direcciones IP que eran completamente diferentes. Estos dominios en realidad estaban relacionados con diferentes proveedores de telecomunicaciones.

Nota: Cybereason contactó de inmediato con esos proveedores de telecomunicaciones y les proporcionó toda la información necesaria para manejar el incidente internamente.

Cadenas de la sección de memoria de volcado del código de shell inyectado. Podemos ver muchos detalles sobre el ataque, incluidos los dominios y las direcciones IP del servidor C2.

Shellcode siendo desempaquetado e inyectado en un proceso remoto. Los segmentos redactados contienen el nombre del cliente, las direcciones IP C2 y los dominios.

SEGURIDAD OPERACIONAL DE INFRAESTRUCTURA

La infraestructura del actor amenaza.

El actor de amenazas tenía un patrón específico de comportamiento que nos permitió entender su modo de funcionamiento: utilizaron un servidor con la misma dirección IP para múltiples operaciones.Este servidor es un componente clave en su infraestructura ‘no atribuible’.

El actor de amenazas separó las operaciones utilizando diferentes nombres de host por operación, aunque están alojados en el mismo servidor y dirección IP. Los dominios y la información de registro del servidor apuntaban a tres países principales: China, Hong Kong y Taiwán.

Esto es barato y eficiente para el actor de amenazas, pero es casi transparente para un investigador experimentado con acceso a las herramientas correctas de inteligencia de amenazas. Hay informes anteriores de actores de amenazas, incluidos APT10 y APT1 que utilizan DNS dinámico.

El monitoreo de esta infraestructura nos dio información sobre cuándo y cuándo el actor de amenazas estaba iniciando nuevas oleadas del ataque o ataques adicionales a otros proveedores.

Al investigar los servidores C2, es importante estar atento a:

  • Asociación con dominios, especialmente si son dominios DNS dinámicos.
  • Los hashes de archivos asociados con la dirección IP o el dominio del servidor C2.
    • Información estática y metadatos de muestras asociadas que podrían utilizarse para ampliar la búsqueda después de que se recopile información adicional.

Esto demuestra la importancia de una seguridad operacional adecuada y una separación entre herramientas y operaciones para los actores de amenazas.

PASO 6: REDONDEANDO LOS SOSPECHOSOS INMEDIATOS / POTENCIALES

La atribución es un arte voluble y delicado. En la mayoría de los casos, es muy difícil lograr un 100% de certeza al atribuir un ataque a un actor de amenaza específico. Puede ser tentador atribuir un ataque a un determinado actor de amenazas siempre que se observen ciertas herramientas de intercambio, direcciones IP, cadenas o técnicas «indicativas».

Sin embargo, es importante tener en cuenta que los puntos de datos mencionados a menudo son propensos a la manipulación y la reutilización entre diferentes actores de amenazas. Además, no son impermeables a la guerra psicológica, como en, tratando de «fijar» una operación en un actor de amenaza diferente para evitar la atribución adecuada.

Con el fin de aumentar el nivel de certeza al atribuir a un actor de amenaza específico, tomamos en consideración los siguientes aspectos de los ataques:

  • Indicadores de compromiso
  • TTPs (Tácticas, Técnicas y Procedimientos)
  • Herramientas del actor amenaza
  • Motivo detrás de los ataques.
  • Consideraciones regionales y de la industria.

El examen cuidadoso de cada uno de los diferentes aspectos juega un papel importante para evitar la falta de atribución. Este modelo ofrece una interpretación más equilibrada de los datos que se basa en una gran variedad de componentes.

Al realizar una revisión contextualizada de los datos, puede obtener un resultado más completo con mayor certeza.

Cuando se trata de atribuir la Operación Soft Cell, no podemos lograr el 100% de certeza con respecto a la identidad del actor de amenaza. Sin embargo, según nuestra interpretación de los datos, concluimos con un alto nivel de certeza que:

  • El actor de amenazas detrás de la Operación Célula blanda es probablemente patrocinado por el estado.
  • El actor de la amenaza está afiliado a China.

Después de seguir el modelo de atribución anterior y revisar cuidadosamente los datos, podemos reducir la lista de sospechosos a tres grupos APT conocidos, todos los cuales están vinculados a China.

Tras encontrar múltiples similitudes con ataques anteriores, estimamos que el actor de amenaza detrás de estos ataques probablemente esté vinculado al APT10 , o al menos, a un actor de amenaza que comparte herramientas, técnicas, motivos y preferencias de infraestructura con los del APT10.

Si bien no podemos descartar completamente un escenario de «copia-cat», donde otro actor de amenaza podría enmascararse como APT10 para frustrar los esfuerzos de atribución, encontramos que esta opción es menos probable a la luz de nuestro análisis de los datos.

En esta nota, se describe un ataque global en curso contra proveedores de telecomunicaciones que ha estado activo desde al menos 2017.

El actor de amenazas logró infiltrarse en los segmentos más profundos de la red de proveedores, incluidos algunos aislados de Internet, así como un compromiso Activos críticos.

Nuestra investigación mostró que estos ataques fueron dirigidos, y que el actor de amenazas trató de robar datos de comunicaciones de individuos específicos en varios países.

A lo largo de esta investigación, hemos descubierto la infraestructura que facilitó las operaciones maliciosas tomadas por este actor de amenazas.

Los datos exfiltrados por este actor de amenazas, junto con las TTP y las herramientas utilizadas, nos permitieron determinar con una probabilidad muy alta que el actor de amenazas detrás de estas operaciones maliciosas está respaldado por un estado nación y está afiliado a China.

Nuestra interpretación contextualizada de los datos sugiere que el actor de amenaza es probablemente APT10, o al menos, un actor de amenaza que comparte o desea emular sus métodos utilizando las mismas herramientas, técnicas y motivos.

Es importante tener en cuenta que aunque los ataques se dirigieron a individuos específicos, cualquier entidad que posea el poder de tomar el control de las redes de los proveedores de telecomunicaciones puede aprovechar su acceso y control ilegales de la red para cerrar o interrumpir una red celular completa como parte de una operación de guerra cibernética más grande.

Debido a las múltiples y diversas limitaciones, no podemos divulgar toda la información que hemos recopilado sobre el ataque en este informe.

Nuestro equipo continuará monitoreando y rastreando la actividad del actor de amenazas para identificar más herramientas y organizaciones comprometidas.

 

 

 

 

Por Marcelo Lozano – General Publisher IT Connect Latam

 

 

 

 

 

 

Fuente: Cybereason Blog

A %d blogueros les gusta esto: