Incidentes

“Ataque de regadera” compromete a la Administración Central Tibetana

Un fragmento del código del sitio web de la Administración Central Tibetana redirige a los visitantes que hablan chino a un exploit de Java que descarga una puerta trasera asociada con una APT (Herramienta Avanzada de Empaquetado). Para entrar un poco en contexto, el sitio describe a la organización de la siguiente manera: “… la Administración Central Tibetana (CTA) de su santidad el Dalai Lama es la continuación del gobierno del Tíbet independiente”. La selección de la ubicación del código malicioso no es común, así que indaguemos sobre el caso.

El ataque en sí está cuidadosamente dirigido, ya que un iframe anexado e integrado redirige a los visitantes de “xizang-zhiye(dot)org” (que es la versión en chino del sitio) a un exploit de Java que tiene una puerta trasera con la carga explosiva. Las versiones en inglés y tibetano del sitio web no tienen este iframe integrado como la versión china (por favor, todavía no lo visiten). Por ahora, parece que los pocos sistemas atacados con este código están ubicados en China y los Estados Unidos, aunque es posible que haya más. El exploit de Java que se utiliza es el 212kb “YPVo.jar”(edd8b301eeb083e9fdf0ae3a9bdb3cd6) que archiva, descarga y ejecuta la puerta trasera. El archivo es un ejecutable win32 de 397 kb, “aMCBlHPl.exe” (a6d7edc77e745a91b1fc6be985994c6a), que detectamos como “Trojan.Win32.Swisyn.cyxf”. Las puertas traseras que se detectan con el veredicto Swisyn suelen ser parte de compiladores en cadena (toolchains) relacionados con APT, y este no parece ser la excepción.

El exploit de Java ataca la vieja vulnerabilidad CVE-2012-4681, lo que nos sorprende un poco, pero la usó el responsable de distribuir el CVE-2012-4681 original de día cero, Gondzz.class y Gondvv.class en agosto del año pasado. Puedes ver el código exploit 4681 en la imagen de arriba, así como códigos que configuran SecurityManager a cero para desactivar las revisiones de regulaciones de Java y después ejecutar el método Payload.main. El método Payload.main tiene capacidades interesantes y simples que hacen que el atacante pueda descargar la carga explosiva sobre https y decodificarla con AES usando las bibliotecas criptográficas integradas de AES, pero en este caso el paquete no está configurado para usar el código. En vez de eso, un par de líneas en su archivo de configuración hacen que el exploit descargue y ejecute el recurso ejecutable win32 del archivo jar. La mayoría de los antivirus detectan la puerta trasera en sí misma como variantes de programas ladrones de contraseñas de juegos, pero esta teoría es incorrecta. Su centro de comando y control se ubica en news.worldlinking.com (59.188.239.46).

Este atacante ha estado operando este tipo de ataques “de regadera” (watering hole) por un par de años como mínimo, además de campañas estándar de ataques dirigidos contra varios blancos, entre los que están los grupos tibetanos. Nuestra comunidad de la Kaspersky Security Network descubrió que las conexiones entre los incidentes pueden rastrearse hasta finales de 2011. También reveló que los exploits de Java relacionados con Apple de este servidor atacan la vulnerabilidad CVE-2013-2423, que es más reciente.

“Ataque de regadera” compromete a la Administración Central Tibetana

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada