News

Hardware militar y el sitio web Men’s Health

Durante los ultimos meses hemos detectado una serie de ataques dirigidos muy similares, que nuestro producto Linux Mail Security bloquea con éxito. En cada uno de los casos, los documentos utilizados eran RTF y el exploit era CVE-2012-0158 (MSCOMCTL.OCX RCE Vulnerability).

Al parecer, los ataques provenían del mismo grupo y la mayoría se lanzaba desde Australia o la Républica de Corea. Las direcciones IP del remitente varían, pero muchas se envían a traves de mail.mailfast.com, un dominio registrado en China:

Los documentos se dividen en tres categorías:

  1. En la primera, los documentos se relacionan con articulos del sitio web Men’s Health (salud masculina). Estos son algunos ejemplos de los nombres de archivos:
  2. En la segunda categoría, los documentos se relacionan con temas militares:
  3. En la tercera, los nombres de los archivos estan en el alfabeto cirílico:

En general, hemos visto temas de la primera y segunda categorías, y varios archivos con nombres en el alfabeto cirílico. El exploit, el shellcode y el programa malicioso usados, suelen ser los mismos. La única diferencia real son los documentos señuelos que aparecen cuando el exploit se ejecuta.

A continuación vemos dos casos que detectamos la última semana:

Stealth Frigate.doc

EAT FOR BETTER SEX.doc

Los metadatos para los documentos señuelo son los mismos y al parecer están bastante desactualizados.

El título se traduce como “Resultados financieros para los primeros 9 meses de 2012”, y el nombre de la compañía tiene que ver con un fabricante ruso de submarinos.
Cuando el exploit se ejecuta, crea y ejecuta un archivo llamado wordupgrade.exe. This executable drops.

Este archivo ejecutable instala un DLL llamado usrsvpla.dll en el directorio del sistema 32, y modifica la llave de registro WmdmPmSN (Portable Media Serial Number Service) para cargar el DLL en el archivo svchost.exe.

Tanto wordupgrade.exe como usrsvpla.dll contienen la ruta PDB:

El programa malicioso que instalan estos documentos es una variante de Enfal/Lurid. Detectamos wordupgrade.exe as como Trojan-Dropper.Win32.Datcaen.d y usrsvpla.dll como Trojan.Win32.Zapchast.affv. Nuestros colegas de Trend ya habían descrito este programa malicioso en sus análisis.

http://blog.trendmicro.com/trendlabs-security-intelligence/modified-enfal-variants-compromised-874-systems/

http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp_dissecting-lurid-apt.pdf

Las muestras que detectamos la semana pasada se ponen en contacto con un servidor de comando y control localizado en yui.bcguard.com. Este dominio tiene los mismos datos de registro que mailftast.com que mencionamos arriba.
Estas son las direcciones IP de estos dominios:

Existen varios dominios registrados en “liu runxin”:

Conclusión

El programa malicioso que se utiliza en estos ataques no es ni nuevo ni muy avanzado (en 2006 ya se habían detectado variantes de Enfal). Sin embargo, estos ataques son muy regulares, por lo que recomendamos no abrir ningún adjunto relacionado con estos temas.

Hardware militar y el sitio web Men’s Health

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada