Entre osos y yetis

Informe
Apéndice

Energetic Bear/Crouching Yeti es un actor presente en varias campañas de amenazas persistentes avanzadas (APT) que han estado activas al menos desde fines de 2010. Entre los sectores atacados están:

  • Industrial / maquinarias
  • Fabricantes
  • Farmacéutico
  • Construcción
  • Educación
  • Informática

La mayoría de las víctimas que hemos identificado pertenecen al sector industrial / construcción de maquinarias, lo que indica que se trata de un blanco especial.

Para infectar a las víctimas, los atacantes recurren a tres métodos:

  • Spearphishing, usando documentos PDF con un exploit flash (CVE-2011-0611) incrustado.
  • Instaladores de software troyanizados.
  • Ataques tipo abrevadero con una variedad de exploits reutilizados.

Durante los ataques, el equipo de Crouching Yeti usa una variedad de programas maliciosos o troyanos para infectar los sistemas Windows.

  • Troyano Havex
  • Troyano Sysmain
  • Troyano puerta trasera ClientX
  • Troyano puerta trasera Karagany y troyanos ladrones relacionados
  • Herramientas de movimiento lateral y de segunda etapa

Para comando y control, se conectan a una gran red de sitios web capturados. Los sitios web capturados alojan módulos de programas maliciosos, información de las víctimas y comandos de servicio para infectar los sistemas.

Las docenas de sitios conocidos del exploit Yeti y sus sitios referidos eran legítimos que llegaron a infectarse. Ejecutan sistemas de gestión de contenido vulnerable o aplicaciones web vulnerables. Ninguno de los exploits utilizados para comprometer los servidores era del tipo día-cero. Ninguno de los exploits en el lado del cliente de la infraestructura metasploit de código abierto era del tipo día-cero.

En general, detectamos 2.800 víctimas en todo el mundo, y el troyano Havex es el atacante más común.

Creemos que este grupo está definitivamente enfocado en un determinado sector industrial de interés vital. Utiliza una variedad de métodos para infectar a sus víctimas y extraer información estratégica. Los datos analizados sugieren lo siguiente:

  • Hasta ahora no se ha logrado identificar el país de origen.
  • El objetivo global de los atacantes va más allá de compañías eléctricas.
  • Juego de herramientas duradero y estable.
  • Enfoque gestionado, mínimo y metódico en una operación sostenida.
  • Uso adecuado del cifrado (llave simétrica protegida con una llave pública de los atacantes para la extracción de registros cifrados de archivos).

El informe completo se encuentra aquí

Preguntas más frecuentes

¿Qué es Crouching Yeti / Energetic Bear?

Energetic Bear/Yeti es un actor presente en diferentes campañas activas desde al menos fines de 2010. Utiliza diferentes técnicas para propagar sus programas maliciosos, especialmente el re-empaquetamiento de instaladores de software legítimos y ataques tipo abrevadero. Sus víctimas, pertenecientes a diferentes sectores, se infectan mediante troyanos puerta trasera.

¿Qué propósitos maliciosos tiene esta campaña?

Creemos que se trata de una campaña para robar información. El perfil heterogéneo de sus víctimas parece señalar que los atacantes estaban interesados en distintos temas y decidieron atacar a las organizaciones y compañías más prominentes en el mundo para robar información reciente.

¿Por qué es significativo?

En nuestra opinión, esta campaña posee características notables: los artefactos que se usaron para la infección de sistemas y extracción de datos no son particularmente llamativos, pero son efectivos; son muy persistentes y han logrado infectar a un gran número de compañías y organizaciones en todo el mundo durante mucho tiempo; poseen un juego de herramientas a elección que nos han ayudado a identificar el grupo a través de sus TTPs. En esta última característica, resulta interesante que usen LightsOut Exploit Kit para infectar a sus usuarios mediante ataques tipo abrevadero.

¿Por qué no Energetic Bear? ¿Por qué se le dio un nuevo nombre?

Crowd Strike, según su nomenclatura, bautizó esta campaña como Energetic Bear. Después de analizar los datos que obtuvimos, podemos confirmar que las víctimas no se limitan al sector energético, sino a mucho más. La referencia a Bear (oso) refleja la creencia de Crowd Strike de que esta campaña se originó en Rusia. Como no pudimos confirmar esta suposición, decidimos rebautizar la campaña. Los yetis tienen algo en común con los osos, pero su origen es un misterio.

¿Cuándo comenzó la campaña? ¿Sigue activo el ataque?

En base a algunos artefactos, creemos que la campaña comenzó a finales de 2010, y se mantiene activa y cobrando nuevas víctimas a diario.

¿Cómo se propagó este programa malicioso?

Este malware se propagó de tres maneras:

  • Spearphishing, usando documentos PDF con un exploit flash (CVE-2011-0611) incrustado.
  • Instaladores de software troyanizados
  • Ataques tipo abrevadero con una variedad de exploits reutiizados.

Los atacantes pueden instalar otros módulos adicionales tras infectar un equipo.

La herramienta más importante del ataque es el troyano Havex, que hemos identificado en 27 variantes.

¿Cuál es el impacto potencial para las víctimas?

Dada la naturaleza de las víctimas conocidas, el principal impacto que pueden sufrir es el robo de su información confidencial, como sus secretos comerciales y su tecnología.

¿Quiénes son los atacantes? ¿De qué países son?

No hay ningún indicio que nos permita sacar conclusiones sobre el origen de los atacantes.

¿Quiénes son las víctimas? ¿Qué dimensión alcanzó el ataque?

En general, hemos detectado 2.800 víctimas en todo el mundo.
La mayoría de ellas pertenecen al sector industrial / construcción de maquinarias.

Entre los sectores atacados están:

  • Industrial / maquinarias
  • Fabricantes
  • Farmacéutico
  • Construcción
  • Educación
  • Informática

Los países que sufrieron más ataques son: EE.UU., España, Japón, Alemania, Francia, Italia, Turquía, Irlanda, Polonia y China.

¿Cómo pueden protegerse los usuarios (individuales y corporativos) contra estos ataques?

Nuestros productos detectan y eliminan todas las variantes del programa malicioso utilizado en esta campaña, incluyendo, pero sin limitarse a:

  • Trojan.Win32.Sysmain.xxx
  • Trojan.Win32.Havex.xxx
  • Trojan.Win32.ddex.xxx
  • Backdoor.MSIL.ClientX.xxx
  • Trojan.Win32.Karagany.xxx
  • Trojan-Spy.Win32.HavexOPC.xxx
  • Trojan-Spy.Win32.HavexNk2.xxx
  • Trojan-Dropper.Win32.HavexDrop.xxx
  • Trojan-Spy.Win32.HavexNetscan.xxx
  • Trojan-Spy.Win32.HavexSysinfo.xxx

También se han detectado todos los exploits, que se detallan en el informe

Publicaciones relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *