FBI lucha contra el Spearphishing

Spearphishing 2021: sofisticada campaña acosa organizaciones

Cobalt Strike el favorito para el Spearphishing
Cobalt Strike el favorito para el Spearphishing

La CISA y el FBI están comprometidos en abordar una campaña de spearphishing dirigida contra organizaciones gubernamentales, organizaciones intergubernamentales (OIG) y organizaciones no gubernamentales (ONG).

Un sofisticado actor de ciberamenazas aprovechó una cuenta de usuario final comprometida de Constant Contact, una empresa legítima de software de marketing por correo electrónico, para falsificar una organización gubernamental con sede en EE. UU. Y distribuir enlaces a URL maliciosas. 1 ] El CISA y el FBI no han determinado que ningún individuo las cuentas han sido dirigidas específicamente a esta campaña.

Nota: CISA y FBI reconocen los informes de código abierto que atribuyen la actividad discutida en el informe a APT29 (también conocida como Nobelium, The Dukes y Cozy Bear). [ 2 , 3 ] Sin embargo, CISA y FBI están investigando esta actividad y no lo han hecho lo atribuyó a cualquier actor de amenazas en este momento. La CISA y el FBI actualizarán este Aviso conjunto de seguridad cibernética a medida que haya nueva información disponible.

Nota:

Este Aviso conjunto sobre ciberseguridad contiene información sobre tácticas, técnicas y procedimientos (TTP) y malware asociado con esta campaña. Para obtener más información sobre el malware, consulte el Informe de análisis de malware MAR-10339794-1.v1: Cobalt Strike Beacon .

El CISA y el FBI instan a las organizaciones de asuntos gubernamentales e internacionales y a las personas asociadas con dichas organizaciones a adoptar un mayor estado de conciencia e implementar las recomendaciones de la sección Mitigaciones de este aviso.

Para obtener una lista descargable de indicadores de compromiso (IOC), consulte AA21-148A.stix y MAR-10339794-1.v1.stix .

Haga clic aquí para obtener una versión en PDF de este informe.

Detalles técnicos

Con base en los informes de incidentes, la recopilación de malware y los informes de terceros confiables, CISA y el FBI se dedican a abordar una sofisticada campaña de spearphishing. Un actor de amenazas cibernéticas aprovechó una cuenta de usuario final comprometida de Constant Contact, una empresa legítima de software de marketing por correo electrónico, para enviar correos electrónicos de phishing a más de 7.000 cuentas en aproximadamente 350 organizaciones gubernamentales, OIG y ONG. El actor de la amenaza envió correos electrónicos falsos que parecían provenir de una organización del gobierno de los EE. UU. Los correos electrónicos contenían un vínculo de Constant Contact legítimo que redirigía a una URL maliciosa [ T1566.002 , T1204.001 ], desde la cual se soltó un archivo ISO malicioso en la máquina de la víctima.

El archivo ISO contenía (1) una biblioteca de vínculos dinámicos (DLL) maliciosa llamada Documents.dll [ T1055.001 ], que es un implante personalizado de Cobalt Strike Beacon versión 4, (2) un archivo de acceso directo malicioso que ejecuta el cargador de Cobalt Strike Beacon [ T1105 ], y (3) un PDF de señuelo benigno titulado “Amenazas extranjeras para las elecciones federales de EE. UU. 2020” con el nombre de archivo “ICA-declass.pdf” (ver figura 1). Nota: El archivo de señuelo parece ser una copia de la Evaluación de la Comunidad de Inteligencia desclasificada de conformidad con la Orden Ejecutiva 13848 Sección 1 (a), que está disponible en https://www.intelligence.gov/index.php/ic-on-the -registro-base de datos / resultados / 1046-amenazas-extranjeras-para-la-evaluación-de-la-comunidad-de-inteligencia-de-elecciones-federales-estadounidenses-2020 .

Spearphishing
Figura 1: PDF de señuelo: ICA-declass.pdf

Cobalt Strike es una herramienta de prueba de penetración comercial utilizada para realizar operaciones de equipo rojo. 4 ] Contiene una serie de herramientas que complementan los esfuerzos de explotación del actor de amenazas cibernéticas, como un registrador de pulsaciones de teclas, capacidad de inyección de archivos y escáneres de servicios de red. El Cobalt Strike Beacon es el implante malicioso que vuelve a llamar a la infraestructura controlada por el atacante y busca comandos adicionales para ejecutar en el sistema comprometido [ TA0011 ].

El archivo de configuración de este implante Cobalt Strike Beacon contenía protocolos de comunicación, una marca de agua del implante y los siguientes dominios de comando y control codificados (C2):

  • dataplane.theyardservice[.]com/jquery-3.3.1.min.woff2
  • cdn.theyardservice[.]com/jquery-3.3.1.min.woff2
  • static.theyardservice[.]com/jquery-3.3.1.min.woff2
  • worldhomeoutlet[.]com/jquery-3.3.1.min.woff2

El archivo de configuración se codificó mediante un XOR con la clave 0x2ey un intercambio de bytes de 16 bits.

Para obtener más información sobre el archivo ISO y el implante Cobalt Strike Beacon, incluidos los IOC, consulte el Informe de análisis de malware MAR-10339794-1.v1: Cobalt Strike Beacon .

Indicadores de compromiso

Los siguientes IOCS se obtuvieron de terceros confiables y de investigación de código abierto. Para obtener una lista descargable de IOC, consulte AA21-148A.stix y MAR-10339794-1.v1.stix .

IT CONNECT LATAM
IT CONNECT LATAM
Información de valor para ejecutivos que toman decisiones de negocios
  • URL: https[:]//r20.rs6.net/tn.jsp?f=
    IP del host: 208.75.122[.]11 (US)
    Propietario: Constant Contact, Inc.
    Actividad: vínculo legítimo de Constant Contact que se encuentra en el correo electrónico de phishing que redirige a las víctimas a la infraestructura controlada por el actor enhttps[:]//usaid.theyardservice.com/d/<target_email_address>
  • URL: https[:]//usaid.theyardservice.com/d/<target_email_address>
    IP de host: 83.171.237[.]173 (Alemania)
    Propietario: [redactado]
    Primera vista: 25 de mayo de 2021
    Actividad: URL controlada por el actor desde la que se redirigió https[:]//r20.rs6.net/tn.jsp?f=; el dominio usaid[.]theyardservice.comfue detectado como un sitio de malware; alojado un archivo ISO malicioso ” usaid[.]theyardservice.com
  • Archivo: ICA-declass.iso [MD5: cbc1dc536cd6f4fb9648e229e5d23361]
    Tipo de archivo: Macintosh Disk Image
    Detection:,Artemis!7EDF943ED251 Trojan: Win32/Cobaltstrike!MSRu otro malware
    Actividad: contenedor de archivos ISO; contiene un cargador Cobalt Strike Beacon personalizado; se comunica con varias URL, dominios y direcciones IP
  • Archivo:/d/ [ MD5: ebe2f8df39b4a94fb408580a728d351f]
    Tipo de archivo: Macintosh
    Detección de imagen de disco : Cobalt, Artemis! 7EDF943ED251 u otro malware
    Actividad: contenedor de archivos ISO; contiene un cargador Cobalt Strike Beacon personalizado; se comunica con varias URL, dominios y direcciones IP
  • Archivo: ICA-declass.iso [MD5: 29e2ef8ef5c6ff95e98bff095e63dc05]
    Tipo de archivo: Macintosh
    Detección de imagen de disco : Cobalt Strike, Rozena u otro malware
    Actividad: contenedor de archivos ISO; contiene un cargador Cobalt Strike Beacon personalizado; se comunica con varias URL, dominios y direcciones IP
  • Archivo: Reports.lnk [MD5: dcfd60883c73c3d92fceb6ac910d5b80]
    Tipo de archivo: LNK (acceso directo de Windows)
    Detección: Gusano : Win32-Script.Save.df8efe7a, IA estática: LNK sospechoso u otro malware
    Actividad: acceso directo contenido en archivos ISO maliciosos; ejecuta un cargador Cobalt Strike Beacon personalizado
  • Archivo: ICA-declass.pdf [MD5: b40b30329489d342b2aa5ef8309ad388]
    Tipo de archivo: PDF
    Detección: no detectado
    Actividad: PDF benigno y protegido con contraseña que se muestra a la víctima como un señuelo; actualmente no reconocido por el software antivirus
  • Archivo:DOCUMENT.DLL [MD5: 7edf943ed251fa480c5ca5abb2446c75]
    Tipo de archivo: Win32 DLL
    Detección: Trojan:, Win32/Cobaltstrike!MSRRozena u otro malware
    Actividad: cargador Cobalt Strike Beacon personalizado contenido en archivos ISO maliciosos; comunicarse con varias URL, dominios y direcciones IP mediante software antivirus
  • Archivo: DOCUMENT.DLL [MD5: 1c3b8ae594cb4ce24c2680b47cebf808]
    Tipo de archivo: Win32 DLL
    Detección: Cobalt Strike, Razy, Khalesi u otro malware
    Actividad: Cargador personalizado Cobalt Strike Beacon contenido en archivos ISO maliciosos; comunicarse con varias URL, dominios y direcciones IP mediante software antivirus
  • Dominio: usaid[.]theyardservice.com
    IP de host: 83.171.237[.]173 (Alemania)
    Primera vista: 25 de mayo de 2021
    Propietario: Retenido por motivos de privacidad
    Actividad: subdominio utilizado para distribuir el archivo ISO de acuerdo con el tercero de confianza; detectado como un sitio de malware por programas antivirus
  • Dominio: worldhomeoutlet.com
    IP de host:192.99.221[.]77 (Canadá)
    Fecha de creación: 11 de marzo de 2020
    Propietario: Retenido para fines de privacidad por
    Actividad del registrador : Subdominio Cobalt Strike C2 según el tercero de confianza; categorizado como sospechoso y observado comunicarse con múltiples archivos maliciosos de acuerdo con el software antivirus; asociado con el malware Cobalt Strike
  • Dominio: dataplane.theyardservice[.]com
    IP de host: 83.171.237[.]173 (Alemania)
    Primera vista: 25 de mayo de 2021
    Propietario: [redactado]
    Actividad: subdominio Cobalt Strike C2 según el tercero de confianza; categorizado como sospechoso y observado comunicarse con múltiples archivos maliciosos de acuerdo con el software antivirus; observado en la actividad de phishing, malware y spam
  • Dominio: cdn.theyardservice[.]com
    IP del host: 83.171.237[.]173 (Alemania)
    Primera vista: 25 de mayo de 2021
    Propietario: Retenido con fines de privacidad por parte del registrador
    Actividad: subdominio Cobalt Strike C2 según el tercero de confianza; categorizado como sospechoso y observado comunicarse con múltiples archivos maliciosos de acuerdo con el software antivirus
  • Dominio: static.theyardservice [.] Com
    IP de host: 83.171.237 [.] 173 (Alemania)
    Primera vista: 25 de mayo de 2021
    Propietario: Retenido para fines de privacidad
    Actividad: subdominio Cobalt Strike C2 según el tercero de confianza; categorizado como sospechoso y observado comunicarse con múltiples archivos maliciosos de acuerdo con el software antivirus
  • IP: 192.99.221[.]77
    Organización: OVH SAS
    Resoluciones: 7
    Geolocalización: Canadá
    Actividad: detectado como sitio de malware; aloja un dominio sospechoso worldhomeoutlet[.]com; observado en la actividad Cobalt Strike
  • IP: 83.171.237[.]173
    Organización: Droptop GmbH
    Resoluciones: 15
    Geolocalización: Alemania
    Actividad: Categorizado como malicioso por el software antivirus; alojó varios dominios sospechosos y se observaron varios archivos maliciosos descargados de esta dirección IP; observado en Cobalt Strike y actividad
  • Dominio: theyardservice[.]com
    IP del host: 83.171.237[.]173 (Alemania)
    Fecha de creación: 27 de enero de 2010
    Propietario: Retenido para fines de privacidad
    Actividad: Dominio controlado por el actor de amenazas según el tercero de confianza; categorizado como sospechoso por software antivirus; observado en la actividad Cobalt Strike

La Tabla 1 proporciona un resumen de las técnicas MITRE ATT & CK observadas.

Tabla 1: Técnicas MITRE ATT & CK observadas
Título de la técnica ID de técnica
Inyección de proceso: inyección de biblioteca de enlace dinámico T1055.001
Transferencia de herramientas de ingreso T1105
Ejecución del usuario: enlace malicioso T1204.001
Phishing: enlace de spearphishing T1566.002

Mitigaciones

CISA y FBI instan a los propietarios y operadores de CI a aplicar las siguientes mitigaciones.

  • Implemente la autenticación multifactor (MFA) para cada cuenta. Si bien las cuentas privilegiadas y los sistemas de acceso remoto son fundamentales, también es importante garantizar una cobertura total en todas las soluciones SaaS. La habilitación de MFA para plataformas de comunicaciones corporativas (como con todas las demás cuentas) proporciona una defensa vital contra este tipo de ataques y, en muchos casos, puede prevenirlos.
  • Mantenga todo el software actualizado. Los programas de ciberseguridad más eficaces actualizan rápidamente todo su software tan pronto como los parches están disponibles. Si su organización no puede actualizar todo el software poco después del lanzamiento de un parche, priorice la implementación de parches para CVE que ya se sabe que están siendo explotados.
  • Implementar herramientas de respuesta de detección y endpoint (EDR). EDR permite un alto grado de visibilidad del estado de seguridad de los puntos finales y puede ser una herramienta eficaz contra los actores de amenazas.
    Nota: Las organizaciones que usan Microsoft Defender para Endpoint o Microsoft 365 Defense deben consultar Microsoft: Use reglas de reducción de la superficie de ataque para prevenir la infección de malware para obtener más información sobre cómo fortalecer la superficie de ataque empresarial.
  • Implemente una gestión de registros centralizada para la supervisión del host. Una aplicación de registro centralizada permite a los técnicos buscar actividad anómala en el entorno de red, como nuevas aplicaciones que se ejecutan en hosts, comunicación fuera de lugar entre dispositivos o fallas de inicio de sesión inexplicables en las máquinas. También ayuda en la resolución de problemas de aplicaciones o equipos en caso de una falla. CISA y el FBI recomiendan que las organizaciones:
    • Reenvíe los registros de los hosts locales a un servidor de administración de registros centralizado, lo que a menudo se denomina herramienta de administración de eventos e información de seguridad (SIEM).
    • Asegúrese de que los registros se puedan buscar. La capacidad de buscar, analizar y visualizar comunicaciones ayudará a los analistas a diagnosticar problemas y puede conducir a la detección de actividad anómala.
    • Correlacione los registros de los dispositivos de seguridad de la red y del host. Al revisar los registros de varias fuentes, una organización puede clasificar mejor un evento individual y determinar su impacto en la organización en su conjunto.
    • Revise las políticas de administración de registros local y centralizada para maximizar la eficiencia y retener los datos históricos. Las organizaciones deben conservar los registros críticos durante un mínimo de 30 días.
  • Implemente firmas para detectar y / o bloquear la conexión entrante de los servidores Cobalt Strike y otras herramientas posteriores a la explotación.
  • Implemente la prevención de ejecución no autorizada desactivando los scripts de macros de los archivos de Microsoft Office transmitidos por correo electrónico.

Considere usar el software Office Viewer para abrir archivos de Microsoft Office transmitidos por correo electrónico en lugar de las aplicaciones completas de la suite de Microsoft Office.

  • Configure y mantenga cuentas de usuario y administrativas utilizando una política sólida de administración de cuentas.
    • Utilice cuentas administrativas en estaciones de trabajo de administración dedicadas.
    • Limite el acceso y el uso de cuentas administrativas.
    • Utilice contraseñas seguras. Para obtener más información sobre contraseñas seguras, consulte Consejo de CISA: elección y protección de contraseñas y National Institute of Standards (NIST) SP 800-63: Directrices de identidad digital: autenticación y gestión del ciclo de vida.
    • Elimine las cuentas predeterminadas si no las necesita. Cambie la contraseña de las cuentas predeterminadas que sean necesarias.
    • Deshabilite todas las cuentas no utilizadas.
  • Implemente un programa de capacitación de usuarios y ataques simulados de spearphishing para disuadir a los usuarios de visitar sitios web maliciosos o abrir archivos adjuntos maliciosos y reforzar las respuestas apropiadas de los usuarios a los correos electrónicos de spearphishing.

 

Por Marcelo Lozano – General Publisher IT Connect Latam

 

Lea más

TheHive Reloaded: 4.1.0 ya está disponible

Pablo Lopez Kazelian: los secretos hackers 2021 no revelados

DLP: No todos los sistemas son útiles en la nueva realidad 2021

Seguridad post pandemia: 8 claves para comercio

Estafas Globales 2021: el mundo atraviesa por una Scamdemia

spearphishing, spearphishing, spearphishing, spearphishing, spearphishing, spearphishing, spearphishing, spearphishing, spearphishing, spearphishing, spearphishing, spearphishing, spearphishing, spearphishing, 

94 / 100