Evolución de las ciberamenazas en el segundo trimestre de 2021

Ataques selectivos

El salto de un actor de amenazas relacionado con Cycldek

Es normal que los actores de amenazas de habla china compartan herramientas y metodologías: un ejemplo es la conocida “tríada de carga lateral de DLL”: un ejecutable legítimo, una DLL maliciosa que éste debe descargar y una carga útil codificada, que por lo general sale de un archivo autoextraíble. Al principio pensábamos que se trataba de una firma característica de LuckyMouse, pero hemos observado que otros grupos también utilizan “tríadas” similares, como HoneyMyte. Aunque la presencia de esta técnica no es suficiente para atribuir ataques, la detección eficaz de estas tríadas revela un número cada vez mayor de actividades maliciosas.

Hace poco describimos uno de estos archivos, llamado “FoundCore”, que llamó nuestra atención por las diversas mejoras que aportaba a este conocido vector de infección. Descubrimos este malware como parte de un ataque contra una organización de alto perfil en Vietnam. Desde una perspectiva de alto nivel, la cadena de infección sigue el flujo de ejecución esperado.

Sin embargo, en este caso, el shellcode estaba muy ofuscado. Presentamos los detalles técnicos en el informe “The leap of a Cycldek-related threat actor“. El cargador de este archivo resultó tan interesante que decidimos tomarlo como base para uno de los temas de nuestro curso Ingeniería inversa de malware selectivo.

La carga útil final es una herramienta de administración remota que proporciona a sus operadores un control total sobre el equipo de la víctima. La comunicación con el servidor puede realizarse a través de raw sockets TCP cifrados con RC4, o a través del protocolo HTTPS.

En la gran mayoría de los incidentes que descubrimos, las ejecuciones de FoundCore fueron precedidas por la apertura de documentos RTF maliciosos descargados desde static.phongay[.]com, todos generados usando RoyalRoad, con el objetivo de explotar CVE-2018-0802. Todos estos documentos estaban en blanco, lo que sugiere la existencia de documentos precursores, posiblemente entregados mediante spear-phishing o una infección previa, que desencadenan la descarga de los archivos RTF. Si el exploit se lleva a cabo, conduce a la implementación de otros programas maliciosos, llamados DropPhone y CoreLoader.

Nuestra telemetría indica que se vieron afectadas decenas de organizaciones, pertenecientes al sector gubernamental o militar, o bien relacionadas con las verticales de salud, diplomacia, educación o política. El 80% de los objetivos se encontraba en Vietnam, aunque también identificamos algunos objetivos en Asia Central y Tailandia.

Aunque hasta ahora se ha considerado a Cycldek como uno de los actores de amenazas de habla china menos sofisticado, su elección de objetivos es coherente con lo que observamos en esta campaña, por lo que podríamos atribuimos la campaña, sin estar muy seguros, a este actor de amenazas.

Vulnerabilidad del día cero en el Administrador de ventanas de escritorio utilizado en condiciones reales

Mientras analizábamos el exploit CVE-2021-1732, descubierto por el Centro de Inteligencia de Amenazas de DBAPPSecurity y utilizado por el grupo BITTER APT, encontramos otro exploit de día cero que creemos está vinculado al mismo actor de amenazas. En febrero informamos a Microsoft de este nuevo exploit y, tras confirmar que se trataba de uno de día cero, Microsoft publicó un parche para el nuevo día cero (CVE-2021-28310) como parte de sus actualizaciones de seguridad de abril.

CVE-2021-28310 es una vulnerabilidad de escritura fuera de límites (OOB) en dwmcore.dll, que forma parte del Administrador de ventanas de escritorio (dwm.exe). Debido a la falta de comprobación de límites, los atacantes son capaces de generar una situación que les permita escribir datos controlados en un desplazamiento controlado utilizando la API DirectComposition. DirectComposition es un componente de Windows que se introdujo en Windows 8 para permitir la composición de mapas de bits con transformaciones, efectos y animaciones, y es compatible con mapas de bits de diferentes orígenes (GDI, DirectX, etc.).

El exploit fue identificado inicialmente por nuestra tecnología avanzada de prevención de exploits y los registros de detección correspondientes. En los últimos años, hemos incorporado a nuestros productos muchas tecnologías de protección contra exploits, que han detectado varios exploits de día cero, demostrando su eficacia una y otra vez.

Creemos que varios actores de amenazas podrían estar usando este exploit en condiciones reales, y es probable que lo hagan junto con otros exploits para navegadores con el fin de escapar de los sandbox u obtener privilegios del sistema para un mayor acceso.

Más detalles técnicos del exploit se encuentran en la publicación “Zero-day vulnerability in Desktop Window Manager (CVE-2021-28310) used in the wild“. Hay más información disponible sobre la APT BITTER y los IOC están disponibles para los clientes del servicio Kaspersky Intelligence Reporting. Para obtenerlos, póngase en contacto con intelreports@kaspersky.com.

Operación TunnelSnake

Los rootkits de Windows, en especial los que operan en el espacio del kernel, gozan de altos privilegios en el sistema, que les permiten interceptar y potencialmente manipular las operaciones básicas de E/S realizadas por el sistema operativo subyacente, como la lectura o escritura de archivos o el procesamiento de paquetes de red entrantes y salientes. Su capacidad para integrarse en el tejido del propio sistema operativo es la razón por la que los rootkits se han hecho famosos por su capacidad de ocultarse y evadir la protección.

Sin embargo, con el paso de los años, se ha hecho más difícil instalar y ejecutar un componente de rootkit en Windows. La introducción por parte de Microsoft de Driver Signature Enforcement y Kernel Patch Protection (PatchGuard) ha hecho que sea más difícil manipular el sistema. Como consecuencia, el número de rootkits de Windows circulando en Internet ha disminuido en gran medida: la mayoría de los que todavía están activos a menudo son usados en ataques APT de alto perfil.

Uno de estos ejemplos llamó nuestra atención durante una investigación realizada el año pasado, en la que descubrimos una implantación hasta entonces desconocida y sigilosa en las redes de las organizaciones intergubernamentales regionales de Asia y África. Este rootkit, al que hemos bautizado como “Moriya”, se utilizó para instalar puertas traseras pasivas en servidores destinados al público, lo que facilitaba la creación de un canal de comunicación C2 (Mando y Control) encubierto a través del cual se los podía controlar sin despertar sospechas.

Esta herramienta se utilizó como parte de una campaña en curso que denominamos “TunnelSnake“. El rootkit se había detectado en las máquinas atacadas ya en noviembre de 2019; y otra herramienta que encontramos, que muestra importantes solapamientos de código con el rootkit, sugiere que los desarrolladores habían estado activos desde al menos 2018.

Dado que ni el rootkit, ni otras herramientas de movimiento lateral que lo acompañaban durante la campaña se basaban en servidores C2 de código prestablecido, solo pudimos obtener una visibilidad parcial de la infraestructura del atacante. Sin embargo, la mayor parte de las herramientas detectadas, aparte de Moriya, consisten en piezas de malware propias y conocidas que ya fueron utilizadas por actores de amenazas de habla china, lo que da una pista sobre el origen del atacante.

PuzzleMaker

Los días 14 y 15 de abril, las tecnologías de Kaspersky detectaron una oleada de ataques selectivos dirigidos a varias empresas. Un análisis más detallado reveló que todos estos ataques sacaban provecho de una cadena de exploits de día cero de Google Chrome y Microsoft Windows.

Aunque no pudimos recuperar el exploit utilizado para la Ejecución remota de código (RCE) en el navegador web Chrome, pudimos encontrar y analizar un exploit de Escalada de privilegios (EoP) utilizado para escapar de la caja de arena y obtener privilegios del sistema. Este exploit EoP estaba ajustado para funcionar contra las últimas y más destacadas versiones de Windows 10 (17763 – RS5, 18362 – 19H1, 18363 – 19H2, 19041 – 20H1, 19042 – 20H2), y explota dos vulnerabilidades distintas en el kernel del sistema operativo Microsoft Windows.

El 20 de abril, informamos de estas vulnerabilidades a Microsoft, que asignó la CVE-2021-31955 a la vulnerabilidad de divulgación de información y la CVE-2021-31956 a la vulnerabilidad de EoP. Ambas vulnerabilidades fueron parchadas el 8 de junio, como parte del Martes de parches de junio.

La cadena de exploits intenta instalar malware en el sistema mediante un dropper. El malware se inicia como un servicio del sistema y carga la carga útil, un backdoor del tipo “shell remoto”, que a su vez se conecta al C2 para obtener instrucciones.

No pudimos encontrar ninguna conexión o coincidencia con un actor de amenazas conocido, así que le pusimos a este grupo de actividades el nombre de PuzzleMaker.

Andariel suma ransomware a su conjunto de herramientas

En abril, descubrimos que se había subido a VirusTtal un documento de Word sospechoso, que contenía un nombre de archivo en coreano y un señuelo. El documento contenía una macro desconocida y utilizaba técnicas novedosas para implantar una carga útil. Nuestra telemetría reveló dos métodos de infección utilizados en estos ataques, y que cada carga útil tenía su propio cargador para su ejecución en la memoria. El actor de amenazas solo entregaba la carga útil de la etapa final a las víctimas seleccionadas.

En el transcurso de nuestra investigación, Malwarebytes publicó un informe con detalles técnicos sobre la misma serie de ataques, que atribuyó al grupo Lazarus. Sin embargo, tras un análisis exhaustivo y basándonos en las coincidencias de código de la carga útil de la segunda fase de esta campaña y el malware anterior de este actor de amenazas, llegamos a la conclusión de que los ataques eran obra de Andariel, un subgrupo de Lazarus,

En toda su historia, Andariel ha apuntado sobre todo a organizaciones de Corea del Sur y nuestra telemetría sugiere que hace lo mismo en esta campaña. Hemos confirmado varias víctimas en los sectores de la fabricación, los servicios de red doméstica, los medios de comunicación y la construcción.

También encontramos otras conexiones con el grupo Andariel. Cada actor de amenazas tiene hábitos reconocibles cuando trabaja de forma interactiva con un shell de puerta trasera en la fase posterior a la explotación de un ataque. La forma de utilizar los comandos de Windows y sus opciones en esta campaña es casi idéntica a las anteriores actividades de Andariel.

En particular, además del backdoor final, descubrimos que se había infectado a una víctima con un ransomware personalizado, lo que evidencia la motivación financiera de este actor de amenazas.

Ferocious Kitten

Ferocious Kitten es un actor de amenazas APT que ha apuntado a individuos de habla persa y que al parecer residen en Irán. El grupo trata de pasar inadvertido y, por lo que sabemos, no ha sido abordado por los investigadores de seguridad. El actor de amenazas atrajo la atención cuando subió un documento de señuelo a VirusTotal que se hizo público gracias a investigadores en Twitter. Desde entonces, uno de sus implantes fue analizado por una empresa china de inteligencia de amenazas.

Logramos ampliar algunos de los hallazgos sobre el grupo y proporcionar información sobre las variantes adicionales que utiliza. El malware que se lanza desde el documento señuelo, apodado “MarkiRAT”, registra las pulsaciones del teclado, el contenido del portapapeles, y proporciona funciones de descarga y carga de archivos, así como la capacidad de ejecutar comandos arbitrarios en la computadora de la víctima. Pudimos rastrear el implante hasta al menos 2015, junto con variantes destinadas a secuestrar la ejecución de aplicaciones de Telegram y Chrome como método de persistencia.

Ferocious Kitten es uno de los grupos que operan en un ecosistema más amplio, destinado a rastrear individuos en Irán. No es muy frecuente que se denuncie a estos grupos de amenazas, por lo que pueden reutilizar la infraestructura y los juegos de herramientas sin preocuparse de que las soluciones de seguridad los neutralicen o pongan en evidencia. Algunas de las TTP utilizadas por este actor de amenazas nos recuerdan a las de otros grupos que actúan contra un conjunto similar de objetivos, como Domestic Kitten y Rampant Kitten.

Otros programas maliciosos

Evolución del ransomware JSWorm

Aunque el ransomware existe desde hace mucho tiempo, ha evolucionado con el tiempo, ya que los atacantes han mejorado sus tecnologías y han perfeccionado sus tácticas. Hemos visto un cierto abandono de los ataques aleatorios y especulativos de hace cinco años, e incluso de los brotes masivos como WannaCry y NotPetya. Muchas bandas de ransomware han pasado a usar la táctica más rentable de la “caza mayor”; asimismo, las noticias de ataques de ransomware que afectan a grandes empresas, e incluso a instalaciones de infraestructuras vitales, se han convertido en algo habitual. Además, ahora existe un ecosistema bien desarrollado que sustenta los ataques de ransomware.

Como resultado, aunque el número de ataques de ransomware ha disminuido, y la probabilidad de que usuarios particulares encuentren ransomware es menor que hace unos años, la amenaza para las organizaciones es mayor que nunca.

Recientemente hemos publicado el análisis de una de estas familias de ransomware, llamada JSWorm. Este malware fue descubierto en 2019, y desde entonces diferentes variantes han ganado notoriedad bajo diversos nombres como Nemty, Nefilim, Offwhite y otros.

Cada versión “con nuevo nombre” incluía alteraciones en diferentes aspectos del código: extensiones de archivos, esquemas criptográficos, claves de cifrado, lenguaje de programación y modelo de distribución. Desde su aparición, JSWorm ha pasado de ser una típica amenaza de ransomware a escala masiva, que afectaba sobre todo a usuarios individuales, a convertirse en una típica amenaza de ransomware de caza mayor que ataca objetivos de alto perfil y exige grandes pagos de rescate.

El ransomware Black Kingdom

Black Kingdom apareció por primera vez en 2019. En 2020 se observó a este grupo explotando vulnerabilidades (como la CVE-2019-11510) en sus ataques. En una actividad reciente, el ransomware fue utilizado por un adversario desconocido para explotar una vulnerabilidad de Microsoft Exchange (CVE-2021-27065, alias ProxyLogon). Esta familia de ransomware es mucho menos sofisticada que otras familias de Ransomware-as-a-Service (RaaS) o de caza mayor. La participación del grupo en la campaña de explotación de Microsoft Exchange sugiere oportunismo más que un resurgimiento de la actividad de esta familia de ransomware.

El malware está codificado en Python y compilado en un ejecutable mediante PyInstaller. El ransomware admite dos modos de cifrado: uno generado dinámicamente y otro que utiliza una clave especificada en su código. El análisis del código reveló tanto la falta de profesionalismo del ciclo de desarrollo, como que existía la posibilidad de recuperar los archivos cifrados con Black Kingdom con la ayuda de la clave incrustada.  En el momento del análisis, ya existía un script para recuperar los archivos cifrados con la clave incrustada en el código.

Black Kingdom cambia el fondo del escritorio por una nota que indica que el sistema está infectado mientras cifra los archivos, desactivando el ratón y el teclado durante ese proceso.

Tras descompilar el código Python, descubrimos que el código base de Black Kingdom tiene su origen en un constructor de ransomware de código abierto disponible en GitHub. El grupo adaptó partes del código, añadiendo características que el constructor original no tenía, como la clave especificada. No fue posible atribuir Black Kingdom a ningún grupo de amenazas conocido.

Gracias a nuestra telemetría, solo pudimos ver algunos golpes de Black Kingdom en Italia y Japón.

Gootkit: el cauteloso troyano bancario

Gootkit pertenece a una clase de troyanos extremadamente tenaces, pero no muy extendidos. Debido a que no es muy común, las nuevas versiones del troyano pueden permanecer inadvertidas para los investigadores durante mucho tiempo.

Se trata de un complejo malware bancario de varias fases, que fue descubierto por Doctor Web en 2014. Al principio, se distribuía a través de spam y kits de exploits como Spelevo y RIG. Junto con las campañas de spam, los adversarios pasaron a usar sitios web comprometidos en los que se engaña a los visitantes para que descarguen malware.

Gootkit es capaz de robar datos del navegador, realizar ataques man-in-the-browser, registrar pulsaciones de teclas, tomar capturas de pantalla y muchas otras acciones maliciosas. El cargador del troyano realiza varias comprobaciones para averiguar si no se lo está ejecutando en una máquina virtual o en un sandbox y utiliza sofisticados algoritmos de persistencia.

En 2019, Gootkit dejó de funcionar tras sufrir una filtración de datos, pero volvió a activarse en noviembre de 2020. La mayoría de las víctimas se encuentran en países de la UE como Alemania e Italia.

El troyano bancario Bizarro se propaga a Europa

Bizarro es otra familia más de troyanos bancarios procedente de Brasil que ahora se encuentra en otras partes del mundo. Hemos visto sus ataques contra personas en España, Portugal, Francia e Italia. Este malware ha sido utilizado para robar credenciales de clientes de 70 bancos de diferentes países europeos y sudamericanos.

Al igual que Tetrade, Bizarro utiliza afiliados o recluta mulas de dinero para cobrar o ayudar a hacer transferencias de dinero.

Bizarro se distribuye a través de paquetes MSI que las víctimas descargan desde enlaces en correos electrónicos de spam. Una vez lanzado, descarga un archivo ZIP de un sitio web comprometido. Hemos observado que el troyano usa servidores de WordPress, Amazon y Azure hackeados para almacenar archivos. El backdoor, que es el componente principal de Bizarro, contiene más de 100 comandos y permite a los atacantes robar las credenciales de cuentas bancarias online. La mayoría de los comandos sirven para mostrar mensajes emergentes falsos e inducir a los usuarios a introducir códigos de autenticación de dos factores. El troyano también puede utilizar la ingeniería social para convencer a las víctimas de que descarguen una aplicación para smartphones.

Bizarro es uno de los varios troyanos bancarios procedentes de Sudamérica que han extendido sus operaciones a otras regiones, sobre todo a Europa. Entre ellos se encuentran Guildma, Javali, Melcoz, Grandoreiro y Amavaldo.

Código malicioso en la aplicación APKPure

A principios de abril, descubrimos un código malicioso en la versión 3.17.18 del cliente oficial de la tienda de aplicaciones APKPure, una popular fuente alternativa de aplicaciones para Android. El incidente parece ser similar al ocurrido con CamScanner, cuando el desarrollador de la aplicación implementó un SDK de adware de una fuente no verificada.

Cuando se lanza, el troyano dropper incrustado, que nuestras soluciones detectan como HEUR:Trojan-Dropper.AndroidOS.Triada.ap, desempaqueta y ejecuta su carga útil, que es capaz de mostrar anuncios en la pantalla de bloqueo, abrir pestañas del navegador, recopilar información sobre el dispositivo y descargar otros códigos maliciosos. El troyano que se descarga depende de la versión de Android y de lo reciente que sean las actualizaciones de seguridad. En versiones más o menos recientes del sistema operativo (Android 8 o superior), carga módulos adicionales para el troyano Triada. Si el dispositivo es antiguo (Android 6 o 7, y sin actualizaciones de seguridad instaladas) puede descargar el troyano xHelper.

Informamos del problema a APKPure el 8 de abril. APKPure reconoció el problema al día siguiente y, poco después, publicó una nueva versión (3.17.19) sin el componente malicioso.

Bloqueadores de navegadores

Los bloqueadores de navegadores están diseñados para impedir que la víctima utilice su navegador a menos que pague un rescate. El “bloqueo” consiste en impedir que la víctima abandone la pestaña actual, que muestra mensajes intimidatorios, a menudo con efectos sonoros y visuales. El bloqueador intenta engañar a la víctima para que realice un pago, amenazándolo con la pérdida de sus datos o las consecuencias de responsabilidades legales.

Hace tiempo que los investigadores saben de este tipo de fraude, ya que la última década se han hecho numerosas campañas de bloqueo de navegadores dirigidas a usuarios de todo el mundo. Los trucos utilizados por los estafadores incluyen mostrar una imitación de la conocida “Pantalla azul de la muerte” (BSOD) en el navegador, falsas advertencias sobre errores del sistema o malware detectado, amenazas de cifrar archivos y avisos de responsabilidad legal.

En nuestro informe sobre los bloqueadores del navegador examinamos dos familias de bloqueadores que fingen ser sitios web gubernamentales.

Ambas familias se propagan sobre todo a través de redes publicitarias, destinadas a vender contenidos y películas “para adultos” de forma intrusiva; por ejemplo, a través de pestañas o ventanas que se abren en la parte superior del sitio visitado, al cargar una página con un módulo publicitario incrustado (ventanas emergentes), o tras hacer clic en cualquier parte de la página (clics-unders).

Estas amenazas no usan técnicas complejas: les basta crear la ilusión de haber bloqueado la computadora e intimidar a las víctimas para que paguen dinero. Entrar en una página de este tipo por error no dañará su dispositivo ni comprometerá sus datos, siempre y cuando no sucumba a los pretextos y engaños de los ciberdelincuentes.

El malware pone en la mira al chip M1 de Apple

El pasado noviembre, Apple presentó su chip M1. Este nuevo chip, que sustituye a los procesadores de Intel en varios de los productos, se basa en la arquitectura ARM, en lugar de la arquitectura x86 utilizada tradicionalmente en las computadoras personales. Esto sienta las bases para que Apple pase a usar solo sus propios procesadores y unifique su software bajo una única arquitectura. Por desgracia, apenas unos meses después del lanzamiento, los creadores de malware ya habían adaptado varias familias de malware para el nuevo procesador.

Intento de ataques a la cadena de suministro utilizando PHP

En marzo, atacantes desconocidos intentaron llevar a cabo un ataque a la cadena de suministro introduciendo un código malicioso en el lenguaje de scripting PHP. Los desarrolladores de PHP realizan cambios en el código usando un repositorio común que incorpora el sistema de control de versiones GIT. Los atacantes intentaron añadir una puerta trasera al código. Por suerte, un desarrollador se percató de algo sospechoso durante una comprobación rutinaria. Si no lo hubiera hecho, la puerta trasera habría permitido a los atacantes ejecutar códigos malicioso de forma remota en los servidores web, en alrededor del 80% que (servidores web) usan PHP.