En 2018, EFF junto con investigadores de Lookout Security publicaron un informe que describe la amenaza persistente avanzada (APT) que denominamos “Dark Caracal”.
Ahora han descubierto una nueva campaña Dark Caracal que opera desde marzo de 2022, con cientos de infecciones en más de una docena de países.
En este informe presentaron evidencias de que el grupo de mercenarios cibernéticos Dark Caracal sigue activo y sigue enfocado en América Latina, como se informó el año pasado .
Han descubierto que Dark Caracal, utilizando el spyware Bandook, actualmente está infectando más de 700 computadoras en América Central y del Sur, principalmente en la República Dominicana y Venezuela.
En el informe original de 2018, describieron una campaña dirigida a miles de ciudadanos libaneses con varias familias de malware diferentes.
Incluido un nuevo troyano de acceso remoto móvil que llamaron Pallas y un troyano de acceso remoto de Windows llamado Bandook.
A través de esta investigación, pudieron cerrar la campaña de malware y notificar a varias de las víctimas.
El informe Operation Manul estableció que los actores detrás de la campaña estaban trabajando con los gobiernos de Líbano y Kazajstán.
La variedad de objetivos y la aparente participación de múltiples gobiernos a lo largo de las campañas los llevó a creer que Dark Caracal es un grupo de mercenarios cibernéticos o hackers.
Desde el informe original de Dark Caracal, ha habido múltiples informes sobre sus actividades continuas.
Checkpoint Research escribió sobre una campaña en 2020 y continuamos siguiendo las actividades de Dark Caracal con su informe más reciente, también en 2020 . Más recientemente.
ESET escribió sobre las actividades de Dark Caracal en América Latina en su informe Bandidos at Large .
Dark Caracal está lejos de ser el único grupo de malware que actualmente apunta a América Latina.
El grupo de malware Quantum apuntó al Ministerio de Agricultura de la República Dominicana en 2022.
La República Dominicana también es un cliente informado del grupo NSO .
Dada la historia de Dark Caracal de trabajar con gobiernos nacionales, como Kazajstán y Líbano, en campañas con motivaciones políticas.
Es posible que la nueva campaña que se describe a continuación también sea a instancias de un actor del gobierno, pero sin más información sobre a quién pertenecen las computadoras infectadas.
Aun, no pudieron sacar ninguna conclusión en cuanto a la motivación de estos ataques.
Independientemente, hacemos un llamado a los legisladores y reguladores de América del Sur y Central para que estén atentos al spyware de Dark Caracal.
Ya que este y otros spyware similares se han utilizado para cometer graves violaciones de los derechos humanos.
Una y otra vez, los estados-nación y los cibermercenarios han utilizado spyware para atacar a activistas , defensores de los derechos humanos y periodistas cuyo trabajo real es descubrir las irregularidades de los gobiernos.
Dichos ataques han resultado en una lista cada vez mayor de ejecuciones extrajudiciales de periodistas y defensores de los derechos humanos.
Los gobiernos deberían considerar pedir una moratoria sobre el uso gubernamental de estas tecnologías de malware, apoyar la investigación de seguridad informática y los derechos humanos para todos.
Incluida la transparencia, la rendición de cuentas y la reparación de las víctimas.
Los gobiernos deben reconocer que la hostilidad del gobierno hacia la seguridad de los dispositivos es peligrosa para su gente.
Si un gobierno puede usar malware contra civiles bajo un gobierno rival, no hay nada que impida que el gobierno rival haga lo mismo.
Los gobiernos deberían centrarse en mejorar la seguridad informática y proteger los derechos de sus ciudadanos a la libertad de expresión.
Este informe se suma a un cuerpo de trabajo que expone a los mercenarios cibernéticos y tal vez convenza de una vez, a los legisladores.
Sobre que los mercenarios cibernéticos y la piratería informática del estado-nación son realmente una amenaza global para los derechos humanos y la sociedad civil.
Aparece una nueva campaña
Recientemente han descubierto una nueva versión del malware Bandook, que se ha actualizado para tener 148 comandos únicos que puede enviar a la computadora infectada, mucho más que los 120 disponibles en muestras anteriores.
Esta muestra y las muestras relacionadas parecen ser parte de una campaña que comenzó en marzo de 2022, utilizando un nuevo servidor de comando y control en el dominio deapproved[.]ru.
En el informe “Bandidos at Large”, los investigadores de ESET detallaron un mecanismo dentro de Bandook para descargar DLL de Windows desde un dominio secundario al servidor principal de comando y control.
Al analizar las muestras que obtuvieron, encontraron que en este caso el mecanismo de descarga de DLLs adicionales apuntaba al dominio unclesow[.]com.
Sin embargo, al investigar, se dieron cuenta de que el dominio unclesow.com aún no había sido registrado.
Pensaron que este dominio podría proporcionar información sobre las actividades de Dark Caracal, por lo que lo registraron y configuraron un sumidero.
Una suerte de servidor que aloja un dominio que anteriormente pertenecía a una campaña de malware para proteger las computadoras infectadas y recopilar información.
Unclesow[.]com está actualmente alojado por EFF.
Desde que registraron ese dominio, han recopilado información agregada sobre las víctimas de esta campaña de malware.
Según los registros de tráfico diarios, parece haber entre 600 y 800 máquinas infectadas en cualquier momento, principalmente en América Central y del Sur.
Dado que cada infección de Bandook se conecta al dominio secundario varias veces al día, los investigadores están seguros de que estan viendo todas las infecciones de esta campaña actual.
Debido a la preocupación por la privacidad de las víctimas de esta campaña de malware, han configurado el servidor para eliminar los registros después de cuatro semanas y recopilar la información mínima necesaria .
El mismo día que configuraron las entradas de DNS para unclesow[.]com, varios otros dominios que se habían registrado previamente tenían su DNS repentinamente apuntado al mismo servidor que alojaba a unclesow.
Había 6 dominios apuntados automáticamente a dicho servidor:
setsizee[.]com seconsave[.]com scanlostt[.]com cordura[.]biz Email-securlink[.]com goadaaddy[.]com
Según el momento y la aparente naturaleza relacionada con el phishing de estos dominios, sospechan que se trató de un proceso automático, posiblemente creado por las mismas personas que ejecutan la campaña Dark Caracal.
Unos días después, varios de los dominios apuntaron a una nueva dirección IP que no estaba bajo el control de los investigadores.
Sin embargo, tres de los dominios (seconsave[.]com, scanlostt[.]com y sensity[.]biz) siguen apuntando al servidor sumidero.
Pudieron identificar varios otros dominios relacionados que estaban alojados en otros servidores al mismo tiempo que estos dominios (cuando no apuntaban a nuestro sumidero).
La conexión de estos dominios con la campaña actual de Dark Caracal no está clara.
Pueden ser para una campaña diferente u otro propósito.
Las tácticas, las herramientas y los procedimientos utilizados no coinciden, ya que los dominios anteriores están alojados en DigitalOcean registrados con NameCheap.
Los cuales no se mencionan en las muestras de Bandook, mientras que los que sí están alojados con el proveedor de alojamiento a prueba de balas OvO [ovo.sc], y registrados con una empresa llamada 1984 [1984.is].
Además, no observaron ningún tráfico interesante o tráfico indicativo de una infección de Bandook en ninguno de los dominios apuntados al sumidero que no sea unclesow[.]com.
La única conexión con esta campaña para estos dominios es el hecho de que apuntaron al sumidero automáticamente cuando lo configuramos.
Por ahora sigue siendo un misterio.
Desde que registramos el dominio unclesow[.]com , los atacantes han cambiado el dominio de comando y control dos veces, primero a cudenpower.co y luego a bomes[.]ru .
Sin embargo, en ambos casos y hasta el día de hoy, no han cambiado el dominio de infección secundario de unclesow[.]com, por lo que el sumidero continúa funcionando incluso para nuevas muestras de malware.
No está claro si los operadores de malware se dan cuenta de que los investigadores controlan su dominio secundario en este momento.
Bandook sigue evolucionando
Las versiones de Bandook que utiliza esta campaña parecen ser más nuevas que las utilizadas en las últimas campañas informadas por ESET.
La primera etapa del malware ha pasado de usar GOST para el cifrado de la carga útil a usar DES para el cifrado de su carga útil de la segunda etapa.
La clave para el descifrado se deriva de una frase de contraseña al codificarla con el algoritmo RIPEMD-128.
Además, el malware contiene 148 comandos posibles que puede enviar a la computadora infectada desde el servidor de comando y control en lugar de los 132 anteriores en las muestras analizadas por ESET.
Los comandos incluyen capacidades tales como:
- encender la cámara web,
- agregar o eliminar archivos de la computadora,
- tomar el control del mouse,
- grabar la pantalla,
- iniciar una sesión de escritorio remoto,
- descargar otras bibliotecas para obtener funciones adicionales.
Estos cambios indican un nexo profundo con el grupo Dark Caracal, ya que el código fuente de Bandook no es público y, hasta donde se sabe, el malware no está a la venta.
En el momento de este informe, 41 de 70 productos antivirus en VirusTotal detectaron versiones desempaquetadas de malware.
Mientras que 35 de 71 productos antivirus detectaron una muestra representativa del malware empaquetado.
Los servidores de comando y control están más bloqueados de lo que hemos visto en el pasado, y los únicos servicios abiertos son SSH.
El servicio de comando y control escucha en el puerto 2222.
No hay una interfaz de administración web como se ha visto en el pasado.
Victimología
Desde las conexiones al sumidero hemos observado víctimas en varios países de Centro y Sudamérica.
Aproximadamente el 75% de las computadoras infectadas se encuentran en República Dominicana y el 20% en Venezuela.
Un mapa de infecciones de Bandook basado en Shodan Data.
Debido a que las computadoras infectadas se conectan al servidor sumidero y realizan una solicitud http GET para la ruta `/flras/get.php?huln=nevi`aproximadamente cada tres horas, podemos estimar de manera confiable la cantidad de máquinas infectadas.
En su apogeo, sospechamos que más de 800 computadoras fueron infectadas en esta campaña de malware.
Sin embargo, este número puede ser menor si algunas máquinas cambian sus direcciones IP a mitad del día debido a que se mudan a una nueva red o a un cambio de dirección IP dinámica.
Dado que todas las conexiones iniciadas por Bandook utilizan un agente de usuario estándar (consulte el Apéndice), no tenemos forma de realizar un seguimiento de las máquinas individuales cuando cambian de dirección IP.
Debido a que las muestras de malware de Bandook solo se han observado para Windows, asumimos que las máquinas infectadas son todas computadoras con Windows.
Según los datos de Shodan, muchas de las direcciones IP pertenecen a enrutadores básicos en redes ISP de consumidores.
Suponemos que esos enrutadores tienen direcciones IP dinámicas que cambian con frecuencia, lo que aumenta la cantidad de IP únicas que se conectan a nuestro sumidero.
Las infecciones caen los sábados y especialmente los domingos, lo que les lleva a creer a los investigadores, que la mayoría de las máquinas infectadas se encuentran en lugares de trabajo.
Esta hipótesis también está respaldada por la cantidad de conexiones de máquinas infectadas que caen en los principales días festivos, como Nochebuena, Navidad y Año Nuevo.
Aunque no han podido contactar a ninguna de las víctimas de esta campaña actual, su ubicación abre la posibilidad de que sea una continuación de la campaña descrita en el Informe Bandidos at Large.
Debido a la historia de Dark Caracal de trabajar en nombre de los gobiernos, tampoco se puede descartar esa posibilidad aquí, aunque la identidad del cliente sigue siendo un misterio por ahora.
Gracias a ESET, Martjin Grooten, Jeremy Kennely, Bill Marczak y VirusTotal por su ayuda con esta investigación.
Apéndice – Indicadores de compromiso
Dominios de comando y control: desaprobado[.]ru cudenpower[.]co bomes[.]ru cunumberpro[.]org unclesow[.]com - SINKHOLED Dominios posiblemente relacionados setsizee[.]com seconsave[.]com scanlostt[.]com cordura[.]biz Email-securlink[.]com Blackshok[.]com Scannost[.]biz sedsource[.]com snappcost[.]com scicuredsit[.]com secredserv[.]com savesomme[.]com secursnd[. ]com Serversend[.]biz Surfarr[.]com subnettr[.]com nertsecure[.]com sendgriide[.]com sso-siigninn[.]com Indicadores de malware Bandook Agente de usuario: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:55.0) Gecko/2010010146b Firefox/55.0 Ruta conectada al sumidero: /flras/get.php?huln=nevi Selección de comandos de Bandook CaptureScreen ClearCred GetCamlist SendCam StopCam Desinstalar CompressArchive Generar informes Obtener Wi-Fi IniciarShell ObtenerSound Dividir mi archivo ObtenerAutoFTP EnviarInicio getkey EnviarMTPList EnviarMTPList2 GrabFileFromDevice PutFileOnDevice DeleteFileFromDevice CopyMTP ChromeInject Deshabilitar Chrome RarFolder SendUSBList SignoutSkype StealUSB StartFileMonitor SendFileMonLog GetUSBMONLIST GetFileMONLIST StopUSBMonitor SearchMain StopSearch StopFileMonitor SendinfoList EnableAndLoadCapList DisableMouseCapture AddAutoFTPToDB DeleteAutoFTPFromDB ExecuteTV ExecuteAMMY DDOSON ExecuteTVNew InstallMac UnzipFile GenerateOfflineDB GetDDSize RECSCREEN StartLive PREEW Unpacked bandook samples 1a2ff4a809b5a3757eaa05dc362acb2b227a7d02cb13d74c17d850d44181cf04 Packed Bandook Samples 051495d208bad010334f14c162600b66c7ef437ae3f6bd037e39bbfc4ccdb415 05ebf95d8f31364facffaba40b4e2d3d7a1ef7183211dc491608577de240dd7e 0928bba82e3399a66d9ec7fb0dfd7321f325ddad95f087452bbafc5c1b1f37fa 0965c040b7459d6d413c810876d8dfb9830da6182e5badfd6fdb57a5a6edf262 0ba40163751d3d93981e8628f82223225fdc3d273a9ea88769414c4fa56c1717 0f746d029fa569f8f940c3a0e63351e3e6e89874197f32d6d201a4ead4a770f0 13163ef0ff1027e664b29fc3b67967d44aa4b84dc762310a5e1567a8fa5e9225 1b66391808a6d74efb0d64095dcb2a6477d92fe243d8651ef1bed9c89df86ad1 1c36c4baf5d2e3cf42ff3a9088dc554e33f620dc09fabf60d899075dd28bc025 1dff1a28d786690661abc41f0e71c05d80a73b0b6f8899fb88101b2a5c3b091f 2009b5e99ffe57bec2440ef3eecab14f076ad1786007b2f2d3750f1df5e7c36f 21e75eff0a9499f4c41491821eb6429e450a83ee7659052417276ddaae6c0cba 2593acc084419e0f7b249fc6e1bd626e0782e3466f6b143fd2543b28b4bfb622 28f61daa127cd988b8615fc924d67b0e645b66bb185bd72e326417480bd23de3 2aab3b73337dd50d8cbab955db6e0e1345ae0a8e24dbcb3440fdd0189a31d80b 2c0d1f7a3d2186b31b36f99e7091d622f10d0ed5b6e54bafe0b116f5a6fab5ab 2cd1f9c3348eb8ae6e3975c0e5449ac8a780d2adfccbddac568f1f5fef2b2d8b 2e738d147f9816366ba47daeee9194c69bc9106c9bc582b81eca19692ba811e2 3a31234da1745a9861f3ae780e222ad18e81844abe0f13e068f4b532af1c209a 41bc659baba8cb340cafa2217c39b5d1e31fe1a3e7f143ccc2315ed32430f4d5 48f0fe5523ab829e6ed4d9c8d001e257430de823ff42bf087883180118c4cb35 4a5a794a33c30694fbb5ddde47fce30eece544739bba3e91e83bd2b1bb895989 4b52781e2aad22679a91a65700b638d58b529c3a67ee81a1d8a466760bc43926 4e0a7e0ed2b44214760ba6638b3eb70cbb8d4a229a5539d6ac26f38e0b7df549 4ee8dee9ab57ddb049969a4602e7e058898d7a8fe762e43ec65ca7a6684bbae5 503f9c9fd3fcec0a26bb75ecac77209ce7081792fdd6837c83a3a120d8def3e4 54772c69367903fbf64322733f6b2f7425fdef169e42dd6f33da1bad4f973f51 64d1f9539a9c3dd6c93a0bd2a2ab1b9650b3cc18a13d0f2536e035357899d7eb 75f4ea3d11cf9dc790c188f9ad63376f799de03983df1df1c2455d763b62c522 7c01580972c59fde937eef7d038edf34ae4217a62a104d75536494b69b8247c4 7d1bd29643f949007fd093030d3274e3467267048bdf008e0191947a67edef01 89b7696c2ad55743c22dae4b28f5588571f27d695000ac7d634f6aaabe52b390 9afd4654b3d0b09392b4c884740efe455ae393ed3b6aef18150f6504970390e6 9cd898cc6682a4fdc7618585715890cdf812c9e28f78bdc44a065afc05865071 9ee48b8992988aa82fd9f3db98429c5f6a8066cccecb98db961ef121bdabb942 a074383dc5f22f659f9c1de66831b520cd0a307ef6a5b01ffc53997df7aa718b a0d63cb3d6a9087b9a71abc8ce31d5d80774c0edb35ce56a371de4151e9b2f5a a44be2bfb30bbdcc04fc33339abd60d4cdeded1a46542fc9b1394928229cc18a ac4ebcf88525c6ea966b4fe8d183cb2261d0419b75640e67cbfc3a2ae9ddc739 b079f2c81638d23c59c0c04c9e2b6caf02e8bac37746d1cded77b4638bd025be b3ac90ce7995ac2c70c310cc369ceaf70e29ab5e7d098a363b6431ae306949f3 b5404a3c626150c7224cf37bffa68f6bd1b9040ba7cf0ca3a3cc9aa40a6a1df9 b8cbbcc44782202a04475244bdd862ff2ccb80855cc157eb562beffebe417c33 bb42e80c74a1671ce1159806436c9c0ffb78078050676a5b63b3d3c40948f38a c2cefbd20085e81a87ad49fb661f808bc937700b894f4bf4937ae32b0a3d37a2 c9bedb88c60aa6723e4d6d9894cdd484df4ecedbf653da8348d9675da22dcc35 ca67528ba276f8f3c85a40fdbb8db182f85fe36d7eb6088041e16c547f381be0 cc3284a5512916f736dda51fe76e6b0a35f97efbe18d55385120338776854c55 d27d0748b818b6d443e175c506284b3b33e2379dc20a38bad61e9b6b940048e4 d819faa902e7cd74680a334ab7bcd156df8c9d99078bd62ecdf98d364804712c d8775fce1a11f8a891675ab591170aba7338ce17340de24332e146267e3f4f3e db147eb3e95d70e1a4bb246bef7a02dd16eb706e587ef263e05b083afe8f61b4 db9ec59e23d8848bf3dee499edc1eeea8060fa359478ebbcd8172c5900d9e48a dbfb45bd9a3f2dd649fa657a190b542e3dfbcb253612216e484bccbd91fdccab e63a5fb04d995a6835b925fc240635323464de07fd4cae76324e7f03e13d8080 e6af856627d8796abbdbd1380b4441759be609fa36235a703ad069710ac3dba5 ea720e0eb9c65489938dc899237e298c0f13b43b8f1e16478b23cc0a5eabd02d f2cc4d82e5019783286ac9722dc39047d9128ff5175208a01bfee06c8023487b f39087c5ee2e1c592732eb870157e0cb4473b9b70e45eb0bd8244e52c23c5668 4d50d9c16c5fd8220f4b120ef947d0d7f90d04ae23ca163778dde615f19cabb4 d1031a8e6e33a27016a3d80862585328a69f5ae74e5d16ad844182c189e513e2 0e6f5c6bcc2bea274b600ea0f3608185369d657d2750da7c63a8b36538c3c6ba 7ca1beb6ebe4d00b6e129713b95d898f984da6277e5fbfbb8f4a8d59076c9fa2 5e5324dbf854b9eb9b6d52ff5949e8a8f9d8054ad7391456ab7520b03932e456 5c4833a0cce81a96416e01a861506364b64070bc33106a18b444f5b7b5bb4296 F742a398eb7d3f6af2dc30e67e9d163224e98d437bdf91fb15bb76d40bf36956 D1031a8e6e33a27016a3d80862585328a69f5ae74e5d16ad844182c189e513e2 0e6f5c6bcc2bea274b600ea0f3608185369d657d2750da7c63a8b36538c3c6ba 5e5324dbf854b9eb9b6d52ff5949e8a8f9d8054ad7391456ab7520b03932e456 5c4833a0cce81a96416e01a861506364b64070bc33106a18b444f5b7b5bb4296 f075ce4c940411bb36da70f18b8dc5d1db94350abc029979d435385ce753e785 4375b6a9de977b7c56bacee03f435052e772789022b1dc759bf6d7e28953b683 E1778d20e7cfc282e73740ae884dc4dccdb439b46558cb96d1d015f8a8807719 6ed505600f4963a0fe2a11fed1a6526be1dcf40bf7563f3641a49688ecba249c 86a076ba12148527863fd9ea78f0d146a15d13f8d35d9d77a738c221f5b0e9f6 F07d90d7f9306a00ba979fc4ebc3dcbf9149cdd9cc86ad9caf3036a19019189b B1cbd4105b4f90a557ab17684e4cb34961e467228c738777a4daf170ef343d97 F44243f05cc74db860ff7389635754d2cacbc5b0689131d8049d38987e2b0ce3 bb1d607a2b7b9c9ba7af03cfa6dfb5237c021154130ae71bf271b640b8773146 353dcc4479725da180b0c12fdc433d46fddefdced3a967e7fe528d030a61a791 8a17dd089005204473ae8e1f298a5caf210db82961ef600da3653e4c3afbf314 Dd031eb32ea22e1ac6d3cacec042a2641878cc67e3b4b8482f32dc20e53e348d 013e252190aaa4b43bcb5ffe13d7b664873ddde38f8df29980d6599c89cb1c78 347de6ac8612bc2b291ceedba11356b5dd8b4b0d6b68357f6903cc676146fbd7 86d0e2434757f8fe71770b7d43b0112e780e420b7c9edeb527d1fd0cd02c0c61 9c540d911f6d17033e59fe3bb09181675cb7123b725f2b4ca1089f9351abc3df cfd84f553f34d635bbb6ea04375b8090324e653b40e26b17731c5ead7c38406e fbc8faeaddacba22fb306021c849608a26250e5ff464ed7c630675e87f1c3d16
Lea más sobre ciberseguridad en;
Barómetro de riesgos 2023 de Allianz
Ciberdelincuentes reclutan a los mejores profesionales 2023
SideWinder APT dirigida a más de 60 empresas
Kaspersky predice 1 panorama de amenazas para el sector industrial
ChatGPT: cuando la IA esconde 1 troyano
Dark Caracal, Dark Caracal, Dark Caracal, Dark Caracal, Dark Caracal, Dark Caracal, Dark Caracal, Dark Caracal, Dark Caracal, Dark Caracal, Dark Caracal, Dark Caracal, Dark Caracal, Dark Caracal, Dark Caracal, Dark Caracal,