Redacción 14 agosto, 2019
Kaspersky analizó el mercado de las criptomonedas

Durante dos años, el Equipo Global de Investigación y Análisis (GReAT) en Kaspersky ha estado publicando resúmenes trimestrales de la actividad avanzada de amenazas persistentes (APT).

"<yoastmark

Los resúmenes se basan en nuestra investigación de inteligencia de amenazas y proporcionan una instantánea representativa de lo que hemos publicado y discutido con mayor detalle en nuestros informes privados de APT.

Su objetivo es resaltar los eventos y hallazgos importantes que creemos que las personas deben tener en cuenta.

Esta es nuestra última entrega, centrada en las actividades que observamos durante el segundo trimestre de 2019.

Se recomienda a los lectores que deseen obtener más información sobre nuestros informes de inteligencia o solicitar más información sobre un informe específico que se pongan en contacto con «intelreports@kaspersky.com».

Los hallazgos más notables

En abril, publicamos nuestro informe sobre TajMahal, un marco APT previamente desconocido que ha estado activo durante los últimos cinco años.

Este es un marco de software espía altamente sofisticado que incluye puertas traseras, cargadores, orquestadores, comunicadores C2, grabadoras de audio, keyloggers, capturadores de pantalla y cámara web, documentos y ladrones de claves de criptografía; e incluso su propio indexador de archivos para la computadora de la víctima.

Descubrimos hasta 80 módulos maliciosos almacenados en su sistema de archivos virtual encriptado, uno de los números más altos de complementos que hemos visto en un conjunto de herramientas APT.

El malware presenta su propio indexador, C2 de emergencia, la capacidad de robar archivos específicos de unidades externas cuando vuelven a estar disponibles, y mucho más. Hay dos paquetes diferentes, autodenominados «Tokio» y «Yokohama» y las computadoras específicas que encontramos incluyen ambos paquetes.

Creemos que los atacantes usaron Tokio como la infección de la primera etapa, desplegando el paquete Yokohama completamente funcional en víctimas interesantes y luego dejando Tokio en su lugar con fines de respaldo.

Hasta ahora, nuestra telemetría ha revelado una sola víctima, un organismo diplomático de un país de Asia Central.

Esto plantea la pregunta, ¿por qué meterse en tantos problemas por una sola víctima?

Creemos que puede haber otras víctimas que aún no hemos encontrado.

Esta teoría está respaldada por el hecho de que no pudimos ver cómo uno de los archivos en el VFS fue utilizado por el malware, abriendo la puerta a la posibilidad de versiones adicionales del malware que aún no se han detectado.

El 14 de mayo, FT informó que se había explotado una vulnerabilidad de día cero en WhatsApp, que permitía a los atacantes espiar a los usuarios, leer sus chats cifrados, encender el micrófono y la cámara e instalar spyware que permite una mayor vigilancia, como navegar a través de un fotos y videos de la víctima, accediendo a su lista de contactos y más.

Para explotar la vulnerabilidad, el atacante simplemente necesita llamar a la víctima a través de WhatsApp.

Esta llamada especialmente diseñada puede desencadenar un desbordamiento del búfer en WhatsApp, lo que permite que un atacante tome el control de la aplicación y ejecute código arbitrario en ella.

Aparentemente, los atacantes usaron este método no solo para espiar los chats y las llamadas de las personas, sino también para explotar vulnerabilidades previamente desconocidas en el sistema operativo, lo que les permitió instalar aplicaciones en el dispositivo.

La vulnerabilidad afecta a WhatsApp para Android anterior a 2.19.134, WhatsApp Business para Android anterior a 2.19.44, WhatsApp para iOS anterior a 2.19.51, WhatsApp Business para iOS anterior a 2.19.51, WhatsApp para Windows Phone anterior a 2.18.348 y WhatsApp para Tizen antes del 2.18.15.

WhatsApp lanzó parches para la vulnerabilidad el 13 de mayo. Algunos han sugerido que el spyware puede ser Pegasus, desarrollado por la compañía israelí NSO.

Actividad de habla rusa con APT

Continuamos rastreando las actividades de los grupos APT de habla rusa.

Estos grupos generalmente muestran un interés particular en las actividades políticas, pero aparte de un par de excepciones interesantes, no pudimos detectar ningún ejemplo notable durante el último trimestre.

Encontramos una conexión potencial entre Hades y una fuga en el instituto RANA. Hades posiblemente esté conectado con el actor de la amenaza Sofacy, más notable por estar detrás del Destructor Olímpico, así como por ExPetr y varias campañas de desinformación, como las filtraciones de Macron.

A principios de este año, un sitio web llamado Hidden Reality publicó filtraciones supuestamente relacionadas con una entidad iraní llamada el instituto RANA.

Esta fue la tercera filtración en dos meses que reveló detalles de presuntos actores y grupos de amenazas iraníes.

Un análisis minucioso de los materiales, la infraestructura y el sitio web dedicado utilizado por los responsables de la filtración nos llevó a creer que estas filtraciones podrían estar conectadas a Hades.

Esto podría ser parte de una campaña de desinformación en la que Hades ayuda a plantear dudas sobre la calidad de la información filtrada en otros casos de principios de este año.

Zebrocy continuó agregando nuevas herramientas a su arsenal utilizando varios tipos de lenguajes de programación. Descubrimos que Zebrocy implementaba un script compilado de Python, que llamamos PythocyDbg, dentro de una organización de asuntos exteriores del sudeste asiático: este módulo proporciona principalmente la colección sigilosa de proxy de red y comunicación capacidades de depuración de notificaciones.

A principios de 2019, Zebrocy cambió sus esfuerzos de desarrollo con el uso de Nimrod / Nim, un lenguaje de programación con una sintaxis similar a Pascal y Python que se puede compilar en JavaScript o C objetivos.

Zebrocy está produciendo actualmente los descargadores de Nim que el grupo utiliza principalmente para el spear phishing y otros códigos de puerta trasera de Nim, que se entregan junto con scripts de AutoIT compilados actualizados, módulos Go y Delphi.

Los objetivos de este nuevo descargador de Nimcy y conjunto de puerta trasera incluyen diplomáticos, funcionarios de defensa y personal del ministerio de asuntos exteriores, de quienes quieren robar credenciales de inicio de sesión, pulsaciones de teclas, comunicaciones y varios archivos.

El grupo parece haber dirigido su atención a los eventos de marzo que involucran a Pakistán e India, y a funcionarios diplomáticos y militares no relacionados, mientras mantiene el acceso continuo a redes locales y remotas pertenecientes a los gobiernos de Asia Central.

También observamos recientemente algunos artefactos nuevos e interesantes que relacionamos con Turla con diversos grados de confianza.

En abril de 2019, observamos una nueva campaña dirigida relacionada con COMpfun usando nuevo malware. Kaspersky Attribution Engine muestra fuertes similitudes de código entre la nueva familia y el antiguo COMpfun. Además, el COMpfun original se utiliza como un descargador en uno de los mecanismos de difusión.

Llamamos a los módulos recientemente identificados Reductor después de que quedara una ruta .pdb en algunas muestras.

Creemos que el malware fue desarrollado por los mismos autores de COMPfun que, internamente, asociamos tentativamente con el APT de Turla, según la victimología.

Además de las funciones típicas de RAT (cargar, descargar, ejecutar archivos), los autores de Reductor hacen un gran esfuerzo para manipular los certificados raíz digitales instalados y marcar el tráfico TLS saliente con identificadores únicos relacionados con el host.

El malware agrega certificados raíz incrustados al host de destino y permite a los operadores agregar otros de forma remota a través de una tubería con nombre.

La solución utilizada por los desarrolladores de Reductor para marcar el tráfico TLS es la parte más ingeniosa.

Los autores no tocan los paquetes de red en absoluto; en su lugar, analizan la fuente de Firefox y el código binario de Chrome para parchear las funciones de generación de números pseudoaleatorios (PRNG) correspondientes en la memoria del proceso.

Los navegadores usan PRNG para generar la secuencia «aleatoria del cliente» durante el comienzo del apretón de manos TLS.

Reductor agrega los identificadores encriptados únicos basados ​​en hardware y software de las víctimas a este campo «aleatorio del cliente».

Además, identificamos una nueva puerta trasera que atribuimos con mediana confianza a Turla.

La puerta trasera, llamada Tunnus, es un malware basado en .NET con la capacidad de ejecutar comandos o realizar acciones de archivo en un sistema infectado y enviar los resultados a su C2. Hasta ahora, la infraestructura C2 se ha construido utilizando sitios comprometidos con instalaciones vulnerables de WordPress. Según nuestra telemetría, la actividad de Tunnus comenzó en marzo pasado y todavía estaba activa en el momento de la escritura.

ESET también ha informado que Turla utiliza scripts de PowerShell para proporcionar la carga y ejecución directa de malware en memoria.

Esta no es la primera vez que este actor de amenazas ha utilizado PowerShell de esta manera, pero el grupo ha mejorado estos scripts y ahora los está utilizando para cargar una amplia gama de malware personalizado de su arsenal tradicional.

Las cargas útiles entregadas a través de los scripts de PowerShell, la puerta trasera RPC y PowerStallion, están altamente personalizadas.

Symantec también ha estado rastreando ataques dirigidos en una serie de campañas contra gobiernos y organizaciones internacionales en todo el mundo durante los últimos 18 meses.

Los ataques han presentado un conjunto de herramientas en rápida evolución y, en un caso notable, el aparente secuestro de infraestructura perteneciente a OilRig.

Han descubierto evidencia de que el grupo Waterbug de amenazas persistentes (también conocido como Turla, Snake, Uroburos, Venomous Bear y KRYPTON) ha llevado a cabo una adquisición hostil de una plataforma de ataque perteneciente a OilRig (también conocido como Crambus).

Los investigadores de Symantec sospechan que Turla usó la red secuestrada para atacar a un gobierno del Medio Oriente que OilRig ya había penetrado.

Esta no es la primera vez que vemos este tipo de actividad

Claramente, operaciones de este tipo hacen que el trabajo de atribución sea más difícil.

La comunidad internacional continúa centrándose en la actividad de los actores de amenazas de habla rusa.

Durante los últimos 18 meses, el Reino Unido ha compartido información sobre ataques atribuidos a piratas informáticos rusos con 16 aliados de la OTAN, incluidos ataques a infraestructura nacional crítica e intentos de comprometer las redes del gobierno central.

En su anterior cargo como secretario de Asuntos Exteriores del Reino Unido, Jeremy Hunt, recientemente instó a las naciones a unirse para crear un elemento disuasorio para los hackers patrocinados por el estado.

Como parte de este impulso, el Reino Unido y sus socios de inteligencia se han estado moviendo lentamente hacia un enfoque de «nombre y vergüenza» cuando se trata de ataques cibernéticos.

El uso del «tribunal de opinión pública» en respuesta a los ataques cibernéticos es una tendencia que destacamos en nuestras predicciones para 2019.

Para ayudar a esta nueva estrategia

La UE aprobó recientemente nuevas leyes que permitirán que los estados miembros de la UE impongan sanciones económicas contra los piratas informáticos extranjeros.

Investigadores del Microstep Intelligence Bureau han publicado un informe sobre ataques dirigidos contra el gobierno ucraniano que atribuyen al actor de la amenaza Gamaredon.

Recientemente, el grupo lanzó ataques contra varias organizaciones estatales en Ucrania utilizando Pterodo, malware utilizado exclusivamente por este grupo.

Desde febrero, los atacantes han desplegado una gran cantidad de nombres de dominio dinámicos y nombres de dominio recientemente registrados que se cree que se utilizan para lanzar ataques selectivos contra las elecciones en Ucrania.

Actividad de habla china

Encontramos una campaña activa de un grupo APT chino que llamamos SixLittleMonkeys que utiliza una nueva versión del troyano Microcin y una RAT que llamamos HawkEye como último escenario.

La campaña se dirige principalmente a organismos gubernamentales en Asia Central. Por persistencia, los operadores usan el secuestro de órdenes de búsqueda .DLL.

Esto consiste en usar un descifrador personalizado con un nombre de biblioteca del sistema (por ejemplo, version.dll o api-ms-win-core-fibres-l1-1-1.dll) en directorios, junto con las aplicaciones legítimas que cargan estas bibliotecas en memoria.

Entre otras aplicaciones legítimas, el actor de amenazas utiliza el actualizador de Google, GoogleCrashHandler.exe, para el secuestro de .DLL.

Los encriptadores personalizados protegen las próximas etapas de la detección en el disco y del análisis automatizado, utilizando las mismas claves de encriptación en diferentes muestras.

Para una comunicación TLS segura con su C2, el malware utiliza el paquete de seguridad de Windows Secure Channel (Schannel).

ESET descubrió que los atacantes detrás del malware Plead lo han estado distribuyendo utilizando enrutadores comprometidos y ataques de hombre en el medio (MITM) en abril.

Los investigadores han detectado esta actividad en Taiwán, donde el malware Plead se ha implementado más activamente.

Trend Micro ha informado anteriormente sobre el uso de este malware en ataques dirigidos por el grupo BlackTech, enfocado principalmente en el ciberespionaje en Asia. La telemetría de ESET ha revelado múltiples intentos de implementarla.

La actividad de LuckyMouse detectada por Palo Alto involucró a los atacantes que instalaron shells web en servidores de SharePoint para comprometer a las organizaciones gubernamentales en el Medio Oriente, probablemente explotando CVE-2019-0604, una vulnerabilidad de ejecución remota de código utilizada para comprometer el servidor y eventualmente instalar un shell web.

Los actores cargaron una variedad de herramientas que utilizaron para realizar actividades adicionales en la red comprometida, como el vertido de credenciales, así como la localización y el giro a sistemas adicionales en la red.

De particular interés es el uso del grupo de herramientas para identificar sistemas vulnerables a CVE-2017-0144, la vulnerabilidad explotada por EternalBlue y utilizada en los ataques WannaCry 2017.

Esta actividad parece estar relacionada con campañas que explotan CVE-2019-0604 mencionadas en alertas de seguridad recientes del Centro Nacional de Seguridad Cibernética de Arabia Saudita y el Centro Canadiense de Seguridad Cibernética.

El año pasado, varios hackers chinos presuntamente vinculados al gobierno chino fueron acusados ​​en los Estados Unidos.

En mayo, el Departamento de Justicia de EE. UU.

Acusó a un ciudadano chino de una serie de intrusiones informáticas, incluida la violación de datos de 2015 de la compañía de seguros de salud Anthem, que afectó a más de 78 millones de personas.

Medio Este

Los últimos tres meses han sido muy interesantes para esta región, especialmente teniendo en cuenta las múltiples filtraciones de supuestas actividades iraníes que se publicaron con solo unas pocas semanas de diferencia.

Aún más interesante es la posibilidad de que una de las filtraciones haya sido parte de una campaña de desinformación llevada a cabo con la ayuda del actor Sofacy / Hades.

En marzo, alguien que usaba Dookhtegan o Lab_dookhtegan comenzó a publicar mensajes en Twitter usando el hashtag # apt34.

Se compartieron varios archivos a través de Telegram que supuestamente pertenecían al actor de la amenaza OilRig.

Incluyeron inicios de sesión y contraseñas de varias presuntas víctimas de piratería, herramientas, detalles de infraestructura potencialmente relacionados con diferentes intrusiones, los currículums de los presuntos atacantes y una lista de shells web, aparentemente relacionados con el período 2014-18.

La focalización y los TTP son consistentes con este actor de amenaza, pero fue imposible confirmar los orígenes de las herramientas incluidas en el volcado.

Suponiendo que los datos en el vertedero son precisos, también muestra el alcance global del grupo OilRig, que generalmente se cree que opera principalmente en el Medio Oriente.

El 22 de abril, una entidad con el alias Bl4ck_B0X creó un canal de Telegram llamado GreenLeakers.

El propósito del canal, según lo declarado por su creador, era publicar información sobre los miembros del grupo MuddyWater de amenazas persistentes, «junto con información sobre su madre y su cónyuge, etc.», de forma gratuita.

Además de esta información gratuita, los actores de Bl4ck_B0X también insinuaron que la información «altamente confidencial» relacionada con MuddyWater se pondría a la venta.

El 27 de abril, se publicaron tres capturas de pantalla en el canal GreenLeakers Telegram, que contenían capturas de pantalla de un servidor MuddyWater C2.

El 1 de mayo, el canal se cerró al público y su estado cambió a privado. Esto fue antes de que Bl4ck_B0X tuviera la oportunidad de publicar la información prometida sobre el grupo MuddyWater.

La razón del cierre aún no está clara

Finalmente, un sitio web llamado Hidden Reality publicó filtraciones supuestamente relacionadas con una entidad llamada el instituto iraní RANA.

Fue la tercera filtración en dos meses que reveló detalles de presuntos actores y grupos de amenazas iraníes.

Curiosamente, esta filtración difería de las otras al emplear un sitio web que permite a cualquiera navegar por los documentos filtrados.

También se basa en los perfiles de Telegram y Twitter para publicar mensajes relacionados con las capacidades de CNO iraníes.

El sitio web de Hidden Reality contiene documentos internos, mensajes de chat y otros datos relacionados con las capacidades CNO (Computer Network Operations) del instituto RANA, así como información sobre las víctimas.

Las filtraciones anteriores se centraron más en herramientas, código fuente y perfiles de actores individuales.

Un análisis detallado de los materiales, la infraestructura y el sitio web dedicado utilizado por los filtradores, proporcionó pistas que nos llevaron a creer que Sofacy / Hades podría estar conectado a estas filtraciones.

También hubo otra actividad de Muddywater no relacionada con la fuga, así como descubrimientos vinculados a la actividad previa del grupo, como el descubrimiento de ClearSky de dos dominios pirateados por MuddyWater a fines de 2018 para alojar el código de su malware POWERSTATS.

En abril, Cisco Talos publicó su análisis de la campaña BlackWater, relacionada con la actividad de MuddyWater.

La campaña muestra cómo los atacantes agregaron tres pasos distintos a sus operaciones, permitiéndoles eludir ciertos controles de seguridad para evadir la detección: una secuencia de comandos VBA ofuscada para establecer la persistencia como clave de registro, una secuencia de PowerShell y un script de agente FruityC2, y un marco de código abierto en GitHub para enumerar aún más la máquina host.

Esto podría permitir a los atacantes monitorear los registros web y determinar si alguien fuera de la campaña ha realizado una solicitud a su servidor en un intento de investigar la actividad.

Una vez que se ejecutan los comandos de enumeración, el agente se comunica con un C2 diferente y envía datos en el campo URL.

Trend Micro también informó que MuddyWater usó una nueva puerta trasera basada en PowerShell de varias etapas llamada POWERSTATS v3.

Publicamos un informe privado sobre cuatro familias de malware de Android y su uso de técnicas de bandera falsa, entre otras cosas.

Una de las campañas envió correos electrónicos de phishing a una universidad en Jordania y al gobierno turco, utilizando cuentas legítimas comprometidas para engañar a las víctimas para que instalen malware.

Con respecto a otros grupos, descubrimos una nueva actividad relacionada con ZooPark, un actor de amenazas de ciberespionaje que se ha centrado principalmente en robar datos de dispositivos Android.

Nuestros nuevos hallazgos incluyen nuevas muestras maliciosas e infraestructura adicional que se ha implementado desde 2016.

Esto también nos llevó a descubrir implantes de malware de Windows implementados por el mismo actor de amenazas.

Los indicadores adicionales que encontramos arrojan algo de luz sobre los objetivos de campañas anteriores, incluidos los kurdos iraníes, principalmente disidentes políticos y activistas.

Recorded Future publicó un análisis de la infraestructura construida por APT33 (también conocido como Elfin) para apuntar a organizaciones sauditas.

Tras la exposición de Symantec a una amplia gama de su infraestructura y operaciones en marzo, los investigadores de Recorded Future descubrieron que APT33, o actores estrechamente alineados, reaccionaron aparcando o reasignando parte de su infraestructura de dominio.

El hecho de que esta actividad se ejecutó solo un día después de la publicación del informe sugiere que los actores de amenazas iraníes son muy conscientes de la cobertura mediática de sus actividades y son lo suficientemente ingeniosos como para poder reaccionar de manera rápida.

Desde entonces, los atacantes han seguido utilizando una gran franja de infraestructura operativa, muy por encima de los 1.200 dominios, y muchos observaron la comunicación con 19 implantes RAT de productos básicos diferentes.

Un desarrollo interesante parece ser su mayor preferencia por njRAT, con más de la mitad de la supuesta infraestructura APT33 observada vinculada a la implementación de njRAT.

En un nivel más político, hubo varias noticias que cubrían la actividad iraní

Se culpó a un grupo conectado con la Guardia Revolucionaria Iraní por una ola de ciberataques contra la infraestructura nacional del Reino Unido, incluida la Oficina de Correos, las redes de gobiernos locales, las empresas privadas y los bancos.

Se robaron datos personales de miles de empleados.

Se cree que el mismo grupo también fue responsable del ataque a la red parlamentaria del Reino Unido en 2017.

El NCSC (Centro Nacional de Seguridad Cibernética) del Reino Unido está brindando asistencia a las organizaciones afectadas.

Microsoft obtuvo recientemente una orden judicial en los EE. UU. Para tomar el control de 99 sitios web utilizados por el grupo de piratería iraní APT35 (también conocido como Phosphorus and Charming Kitten).

El actor de la amenaza utilizó sitios web falsos, incluidos los de Microsoft y Yahoo, para realizar ataques cibernéticos contra empresas es, agencias gubernamentales, periodistas y activistas que se centran en Irán.

El hundimiento de estos sitios obligará al grupo a recrear parte de su infraestructura.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) informó un aumento en los ataques cibernéticos por parte de actores o representantes iraníes, apuntando a las industrias y agencias gubernamentales de EE. UU.

Que utilizan herramientas de limpieza destructivas. La declaración fue publicada en Twitter por el director de CISA, Chris Krebs.

Sudeste Asiático y Península Coreana

Este trimestre detectamos mucha actividad relacionada con Corea. Sin embargo, para el resto de la región del sudeste asiático no ha habido tanta actividad, especialmente en comparación con períodos anteriores.

A principios del segundo trimestre, identificamos un interesante ataque de Lazarus dirigido a una compañía de juegos móviles en Corea del Sur que creemos que tenía como objetivo robar el código fuente de la aplicación.

Está claro que Lazarus sigue actualizando sus herramientas muy rápidamente. Mientras tanto, BlueNoroff, el subgrupo Lazarus que generalmente apunta a instituciones financieras, apunta a un banco en Asia Central y un negocio de criptomonedas en China.

En una campaña reciente, observamos a ScarCruft usando un binario de varias etapas para infectar a varias víctimas y finalmente instalar una carga útil final conocida como ROKRAT, una puerta trasera basada en servicios en la nube.

ScarCruft es un grupo APT altamente calificado, que históricamente utiliza problemas geopolíticos para atacar la península de Corea.

Encontramos varias víctimas en todo el mundo identificadas como empresas y personas vinculadas a Corea del Norte, así como una agencia diplomática.

Curiosamente, observamos que ScarCruft continúa adoptando código de explotación disponible públicamente en sus herramientas.

También encontramos una superposición interesante en una víctima con base en Rusia que fue blanco de ScarCruft y DarkHotel, no la primera vez que hemos visto una superposición de este tipo.

ESET analizó recientemente una nueva muestra de Mac OS del grupo OceanLotus que se había subido a VirusTotal.

Esta puerta trasera comparte sus características con una variante anterior de Mac OS, pero la estructura ha cambiado y la detección ahora es mucho más difícil.

Los investigadores no pudieron encontrar el cuentagotas asociado con esta muestra, por lo que no pudieron identificar el vector de compromiso inicial.

El Departamento de Seguridad Nacional de los Estados Unidos (DHS) ha informado que las variantes de troyanos, identificadas como HOPLIGHT, están siendo utilizadas por el gobierno de Corea del Norte.

El informe incluye un análisis de nueve archivos ejecutables maliciosos.

Siete de ellos son aplicaciones proxy que enmascaran el tráfico entre el malware y los operadores remotos.

Los proxies tienen la capacidad de generar falsas sesiones de protocolo de enlace TLS utilizando certificados SSL públicos válidos, ocultando las conexiones de red con actores maliciosos remotos.

Un archivo contiene un certificado SSL público y la carga útil del archivo parece estar codificada con una contraseña o clave.

El archivo restante no contiene ninguno de los certificados SSL públicos, pero intenta conexiones salientes y elimina cuatro archivos: los archivos eliminados contienen principalmente direcciones IP y certificados SSL.

En junio, encontramos un conjunto inusual de muestras utilizadas para apuntar a organizaciones diplomáticas, gubernamentales y militares en países del sur y sudeste de Asia.

El actor de la amenaza detrás de la campaña, que creemos que es el grupo PLATINUM APT, utiliza una técnica esteganográfica elaborada, nunca antes vista, para ocultar la comunicación.

Hace un par de años, predijimos que más y más desarrolladores de amenazas persistentes y malware usarían esteganografía, y esta campaña proporciona pruebas: los actores usaron dos técnicas de esteganografía interesantes en este APT.

También es interesante que los atacantes decidieron implementar las utilidades que necesitan como un conjunto enorme: un ejemplo de la arquitectura basada en el marco que se está volviendo cada vez más popular.

Otros descubrimientos interesantes

El 14 de mayo, Microsoft lanzó correcciones para una vulnerabilidad crítica de Ejecución remota de código (CVE-2019-0708) en Servicios de escritorio remoto (anteriormente conocido como Servicios de terminal) que afecta a algunas versiones anteriores de Windows: Windows 7, Windows Server 2008 R2, Windows Server 2008 y algunas versiones no compatibles de Windows, incluidos Windows 2003 y Windows XP.

Los detalles sobre cómo mitigar esta vulnerabilidad están disponibles en nuestro informe privado «Guía de análisis y detección para CVE-2019-0708».

El Protocolo de escritorio remoto (RDP) en sí mismo no es vulnerable.

Esta vulnerabilidad es la autenticación previa y no requiere la interacción del usuario.

En otras palabras, la vulnerabilidad es ‘wormable’, lo que significa que cualquier malware futuro que explote esta vulnerabilidad podría propagarse de una computadora vulnerable a otra de manera similar a como se propagó WannaCry.

Microsoft no ha observado la explotación de esta vulnerabilidad, pero cree que es muy probable que los actores maliciosos escriban un exploit para ella.

A principios de junio, los investigadores de Malwarebytes Labs observaron una serie de compromisos en Amazon CloudFront, una Content Delivery Network (CDN), donde las bibliotecas JavaScript alojadas fueron manipuladas e inyectadas con skimmers web.

Aunque los ataques que involucran CDN generalmente afectan una gran cantidad de propiedades web a la vez a través de su cadena de suministro, este no es siempre el caso.

Algunos sitios web utilizan la infraestructura en la nube de Amazon para alojar sus propias bibliotecas o enlazan a un código desarrollado específicamente para ellos y alojado en un bucket de AWS S3 personalizado.

Sin validar adecuadamente el contenido cargado externamente, estos sitios exponen a sus usuarios a diversas amenazas, incluidas algunas que roban datos de tarjetas de crédito.

Después de analizar estas infracciones, los investigadores descubrieron que son una continuación de una campaña de actores de amenazas de Magecart que intentan lanzar una red amplia alrededor de muchos CDN diferentes.

Las CDN se usan ampliamente porque brindan grandes beneficios a los propietarios de sitios web, incluida la optimización de los tiempos de carga y el costo, además de ayudar con todo tipo de análisis de datos.

Los sitios que identificaron no tenían nada en común más que el hecho de que todos estaban usando su propia CDN personalizada para cargar varias bibliotecas.

En efecto, las únicas víctimas resultantes de un compromiso en su repositorio CDN serían ellas mismas.

Dragos ha informado que XENOTIME, el grupo de amenazas persistentes detrás del ataque TRISIS (también conocido como TRITON y HatMan) contra una instalación petroquímica de Arabia Saudita en 2017, ha expandido su enfoque más allá de las industrias de petróleo y gas.

Los investigadores han visto recientemente al grupo sondear las redes de organizaciones de servicios eléctricos en los EE. UU.

Y en otros lugares, tal vez como un precursor de un ataque peligroso a una infraestructura crítica que podría causar daños físicos o la pérdida de vidas.

Dragos notó por primera vez el cambio en la focalización a fines de 2018; y los ataques continuaron hasta 2019.

Recientemente informamos sobre las últimas versiones de FinSpy para Android e iOS, desarrolladas a mediados de 2018.

Este software de vigilancia se vende a organizaciones gubernamentales y policiales de todo el mundo, que lo utilizan para recopilar una variedad de información de usuarios privados en varias plataformas.

WikiLeaks descubrió por primera vez los implantes para dispositivos de escritorio en 2011 y los implantes móviles en 2012.

Desde entonces, Kaspersky ha monitoreado continuamente el desarrollo de este malware y la aparición de nuevas versiones en la naturaleza.

Los implantes móviles para iOS y Android tienen casi la misma funcionalidad.

Son capaces de recopilar información personal como contactos, mensajes, correos electrónicos, calendarios, ubicación GPS, fotos, archivos en la memoria, grabaciones de llamadas telefónicas y datos de los mensajeros más populares.

El implante de Android incluye funcionalidades para obtener privilegios de root en un dispositivo no rooteado al abusar de vulnerabilidades conocidas.

Parece que la solución iOS no proporciona vulnerabilidades de infección para sus clientes: el producto parece estar ajustado para limpiar rastros de herramientas de jailbreak disponibles públicamente.

Esto podría implicar que se requiere acceso físico al dispositivo de la víctima en los casos en que los dispositivos aún no están liberados.

La última versión incluye múltiples funciones que no hemos observado antes.

Durante nuestra investigación reciente, detectamos versiones actualizadas de estos implantes en la naturaleza en casi 20 países, pero el tamaño de la base de clientes sugeriría que el número real de víctimas puede ser mucho mayor.

Pensamientos finales para el tema de APT

La actividad de amenazas persistentes en Medio Oriente ha sido particularmente interesante este trimestre, sobre todo debido a las filtraciones relacionadas con la supuesta actividad iraní.

Esto es especialmente interesante porque una de esas filtraciones podría haber sido parte de una campaña de desinformación llevada a cabo con la ayuda del actor de amenazas Sofacy / Hades.

A diferencia de períodos anteriores, cuando el sudeste asiático era la región más activa para APT, las actividades que detectamos este trimestre estaban principalmente relacionadas con Corea.

Para el resto de la región, fue un barrio mucho más tranquilo

En todas las regiones, la geopolítica sigue siendo el principal impulsor de la actividad de amenazas persistentes.

También queda claro en nuestra investigación de FinSpy que existe una gran demanda de malware «comercial» por parte de los gobiernos y las agencias de aplicación de la ley.

Uno de los aspectos más notables del panorama de amenazas persistentes que informamos este trimestre fue nuestro descubrimiento de TajMahal, un marco de amenazas persistentes previamente desconocido y técnicamente sofisticado que ha estado en desarrollo durante al menos cinco años.

Este marco de espionaje completo incluye hasta 80 módulos maliciosos almacenados en su Sistema de archivos virtuales encriptado, uno de los mayores números de complementos que hemos visto para un conjunto de herramientas APT.

Como siempre, notaríamos que nuestros informes son el producto de nuestra visibilidad en el panorama de amenazas.

Sin embargo, debe tenerse en cuenta que, si bien nos esforzamos por mejorar continuamente, siempre existe la posibilidad de que otros ataques sofisticados puedan pasar desapercibidos.

 

 

Por Marcelo Lozano – General Publisher IT Connect Latam

 

APT, APT, APT, APT, APT, APT, APT, APT, APT, APT, APT, APT, APT, APT, APT, APT, 

A %d blogueros les gusta esto: