Observamos una campaña reciente que se dirige principalmente a instituciones financieras y organizaciones gubernamentales en la región de América del Sur, particularmente en Colombia. Esta publicación de blog cubre las actividades que observamos, las herramientas de acceso remoto (RAT) utilizadas, las técnicas y procedimientos de la campaña y sus indicadores de compromiso (IoC). Nuestros hallazgos indican que la campaña parece ser el trabajo de un grupo involucrado en el compromiso de correo electrónico comercial (BEC) o ciberdelito, y es poco probable que sea una amenaza persistente avanzada (APT).
Vale la pena señalar que el grupo utiliza YOPmail, un servicio de dirección de correo electrónico desechable, para su servidor de comando y control (C&C). La carga útil, escrita en Visual Basic 6, es una versión personalizada de una herramienta de acceso remoto llamada "Proyecto RAT". Nuestro análisis en profundidad del malware se detalla en este apéndice.
Los correos electrónicos de entrega
La infección comienza con un correo electrónico enviado a un objetivo, como se ve en la captura de pantalla a continuación (Figura 1). En varias instancias, notamos que el atacante usaba servidores de correo abiertos o comprometidos en Sudamérica para facilitar las campañas. El atacante también se conectó a los servidores comprometidos desde direcciones IP que estaban vinculadas a nombres de dominio dinámicos utilizados como C & C por las cargas útiles entregadas. Esto sugiere que el atacante usa la misma infraestructura para enviar correos electrónicos y controlar a las víctimas.
El remitente del correo electrónico suele ser falsificado, y vimos varios asuntos de correo electrónico que incitaban al receptor a abrir el archivo adjunto, que es un archivo RTF. Ejemplos de tales temas son:
"Hemos iniciado un proceso en su contra violencia laboral". (Se traduce libremente en "Hemos presentado una demanda contra usted por violencia en el lugar de trabajo".)
"Se hará efectivo un embargo a su (s) cuenta (s) Bancarias". (Se traduce libremente en "Sus cuentas bancarias serán bloqueadas".)
"Almacenes exito te obsequia una tarjeta regalo virtual por valor de $ 500.000". (Lo que se traduce en "Exito te ofrece un regalo virtual por valor de $ 500.000").
Figura 1. Correo electrónico de entrega
El archivo RTF adjunto contiene una línea de texto y un enlace. El texto se relaciona con el asunto del correo electrónico, como "Puede ver la queja en su contra a continuación" o "Ver la queja en línea". Tenga en cuenta que el enlace al malware utiliza el acortador de URL cort.as, que pertenece al periódico El País . Desafortunadamente, este servicio solo habilita las estadísticas bajo demanda, y el atacante nunca las habilitó.
Figura 2. Documento RTF adjunto al correo electrónico de entrega.
Figura 3. Acortador de URL cort.as
Al hacer clic en el enlace redirige a la víctima a un archivo en un servicio de intercambio de archivos. El archivo es un documento de entrega que contiene macros.
Figura 4. Redirecciones URL reducidas a un archivo alojado en un servicio de intercambio de archivos en la nube
Los documentos de entrega
La mayoría de los documentos que analizamos estaban en formato MHTML, que contiene macros. El código de macro es un descargador simple para la carga útil. Sin embargo, también se observaron archivos de Office en formato OLE. La mayoría de los diseños de documentos ya se han publicado en la publicación del blog de Qihoo360; Este post discutirá los diseños que el post no cubrió. Todos los documentos, que aparecieron entre 2017 y 2019, solicitaron a los usuarios habilitar las macros. Las macros descargarán y ejecutarán un RAT.
Figura 5. El documento de entrega pretende provenir de Migración Colombia, un sitio web del gobierno para la autoridad de migración colombiana
Figura 6. El documento de entrega pretende provenir de DataCrédito, un servicio que permite el acceso al historial de crédito y al perfil
Figura 7. Documento de entrega con un instalador genérico de Adobe Flash Player.
Carga útil de la primera etapa: Herramienta de acceso remoto (RAT)
La carga útil principal suele ser RAT Monitor Inminente; sin embargo, a principios de 2018, también observamos el uso de LuminosityLink RAT, NetWire RAT y NjRAT. En un caso en junio de 2019, también notamos que se estaba utilizando Warzone RAT. Warzone RAT es la RAT más nueva de la lista y es compatible con las funciones de registro de teclas, navegador web y robo de contraseña de Outlook, además de las funciones estándar de RAT.
Todas estas RAT son malware estándar que puede comprarse por menos de US $ 100 o descargarse de varios repositorios de malware.
Después de descargar el RAT del Monitor Inminente y observar el comportamiento de su red, notamos una instrucción para descargar y ejecutar otro archivo ejecutable, que es la carga útil de la segunda etapa.
Figura 8. Tráfico inminente del monitor RAT
Carga útil de la segunda etapa: Proyecto RAT
La carga útil de la segunda etapa está escrita en Visual Basic 6 y tiene una característica interesante: una dirección URL de C&C obtenida del servicio de correo electrónico desechable YOPmail. El malware se conecta a un buzón, lee el único mensaje de correo electrónico disponible, lo analiza y luego extrae el asunto del correo electrónico. La URL del servidor C&C está entre los caracteres ‘¡’ (signo de exclamación al revés), un carácter utilizado en el idioma español. Esta es la primera vez que notamos que los servicios de correo electrónico desechables se abusan de esta manera.
Figura 9. Un correo electrónico desechable con dirección C&C y asunto del correo electrónico
Durante nuestro análisis, encontramos tres buzones de correo relacionados con el malware. Desde entonces, hemos contactado con YOPmail y les hemos informado de esta amenaza. YOPmail ha respondido, diciendo que pondrían restricciones específicas.
En este apéndice se puede encontrar un análisis técnico detallado de las clases, formularios y módulos revelados cuando se descompila el malware.
Buscando la familia de malware
Al ver las muchas características del malware, intentamos asociarlo con una RAT conocida.
La comunicación entre el cliente y el servidor se realiza a través de TCP, no está encriptada y utiliza los caracteres de canalización "|" y "¡@ # @!" Como separador. Esta descripción encaja bastante bien con Xpert RAT. La búsqueda de la cadena hexadecimal x86 de la clase cTimer también conduce a enlaces con Xpert RAT. Este tweet de un investigador de malware incluso menciona Xpert RAT.
Una búsqueda en línea encontró dos versiones de Xpert RAT: "XpertRAT v3.0.10 By Abronsius" y "XpertRAT v3.0.9 By Abronsius". Después de construir la carga útil e infectar la máquina de prueba, pudimos observar la comunicación en la figura 10. Observe los diferentes colores entre la comunicación entrante y saliente y el separador entre ambos flujos de comunicación. Sin embargo, en el constructor Xpert RAT, no notamos ninguna referencia a un correo electrónico desechable, búsquedas de títulos de sitios web bancarios o información escrita en el archivo de configuración. Además, las muestras de Xpert RAT generadas por el constructor tienen incluso más funciones como keylogger, runPE, WebCam, Audio, Wipe module y Remote Desktop.
Figura 10. Fragmento de comunicación original de Xpert RAT
Parece que el malware Visual Basic mencionado anteriormente es una versión antigua y limitada de Xpert RAT, ya sea una modificación personalizada de Xpert RAT o un malware con código fuente basado en Xpert RAT.
Figura 11. Constructor Xpert RAT
Figura 12. Funciones disponibles para un operador de Xpert RAT
Al buscar nombres de clase del malware de Visual Basic, la palabra clave "ClsRemoteRegistry" lleva a una discusión en un foro de piratería en español (Figura 13). El usuario, que en su perfil ofrece Prodigy Bot, un bot IRC escrito en VB6, tiene una pregunta relacionada con el código del proyecto de Leandro Ascierto llamado "Proyecto RAT".
Figura 13. Discusión sobre la clase ClsRemoteRegisty en un foro de hacking
Después de descargar y examinar el proyecto, notamos nombres de clase familiares, delimitadores, cadenas y más.
Figure 14. Proyecto RAT website
Figura 15. Nombres familiares de clases, formularios y módulos.
Figura 16. Varios delimitadores utilizados por Proyecto RAT, archivo ClsRemoteRegistry.cls
Figura 17. Código hexadecimal de la clase cTimer, con comentarios originales en alemán, porque este código fue tomado de un proyecto diferente
Sobre la base de estos detalles, creemos que esta es una versión personalizada de Proyecto RAT.
Regiones afectadas y verticales.
Colombia es, con mucho, el país más apuntado, con otros países sudamericanos agregados a la lista. Esto es consistente con el hecho de que este actor utiliza el idioma español en todos los documentos de phishing que observamos. Sin embargo, también notamos objetivos en otros países:
Figura 18. Las regiones a las que apuntan los documentos de phishing.
En una instancia, el atacante usó el acortador de URL bit.ly, lo que confirmó que Colombia es el objetivo principal. Como cualquiera puede seguir el enlace, algunos de estos países también podrían ser el resultado de las cajas de arena de los investigadores.
Figura 19. Clics y ubicaciones relacionadas con el enlace bit.ly
Campañas recientes dirigidas a diferentes industrias. Los más frecuentes fueron las entidades gubernamentales, las instituciones de salud / farmacéuticas, seguidas por las organizaciones financieras / bancarias / de seguros y agroindustriales / de alimentos / empaque.
En particular, notamos que los fondos de ahorro de múltiples empleados (llamado "Fondo de empleados" en Colombia) fueron atacados. Estas entidades apenas tienen acceso a información confidencial, pero es probable que posean una cantidad razonable de dinero.
Conclusión y mitigación.
Se informó que Xpert RAT apareció por primera vez en 2011. La primera versión de "Proyecto RAT" se publicó a fines de 2010. Ambos proyectos comparten similitudes, y es probable que "Proyecto RAT" fuera la inspiración para Xpert RAT y al menos un poco más de malware. proyectos, incluido el malware Visual Basic en la campaña que describimos anteriormente.
No podemos decir con certeza qué es lo que este actor está buscando en particular, pero varios hechos nos llevan a pensar que está diseñado para BEC o ciberdelito en lugar de APT:
Estas campañas son más ruidosas y más frecuentes que las campañas APT habituales.
La misma dirección IP, que es dinámica, se usa para enviar correos electrónicos de phishing y actuar como C&C. Esto es más común a los delitos informáticos.
Es posible que algunas de las industrias objetivo no tengan acceso a información confidencial, pero es probable que manejen una cantidad decente de dinero.
Los títulos de Windows que se enumeran en el archivo de configuración están casi todos relacionados con los servicios financieros.
Nuestra investigación muestra que esta campaña puede ofrecer malware con múltiples capacidades que pueden afectar a diferentes organizaciones e industrias. También destaca la importancia de proteger las infraestructuras en línea, en particular las puertas de enlace de correo electrónico, para evitar campañas de spam dirigidas. Las organizaciones deben adoptar las mejores prácticas sobre amenazas relacionadas con la mensajería y actualizar periódicamente los sistemas para evitar que los atacantes aprovechen cualquier brecha de seguridad. El empleo de mecanismos de seguridad adicionales, como la habilitación de firewalls y sistemas de detección y prevención de intrusiones, ayudará a prevenir actividades sospechosas en la red que pueden conducir a la exfiltración de datos o la comunicación de C&C.
Las organizaciones también pueden recurrir a las soluciones de punto final de Trend Micro ™ como Trend Micro Smart Protection Suites y Worry-Free ™ Business Security. Ambas soluciones pueden proteger a los usuarios y las empresas de amenazas detectando archivos maliciosos y mensajes de spam, así como bloqueando todas las URL maliciosas relacionadas. Trend Micro Deep Discovery ™ tiene una capa de inspección de correo electrónico que puede proteger a las empresas mediante la detección de archivos adjuntos maliciosos y URL.
Trend Micro ™ Hosted Email Security es una solución en la nube que no requiere mantenimiento y que ofrece una protección continuamente actualizada para detener el spam, el malware, el phishing, el ransomware y los ataques dirigidos avanzados antes de que lleguen a la red. Protege a Microsoft Exchange, Microsoft Office 365, Google Apps y otras soluciones de correo electrónico alojadas y locales.
Nuestro análisis técnico del malware, IoC y otras muestras de correo electrónico no deseado relacionadas con la campaña se pueden encontrar en este apéndice.
0 Comentarios