Un repaso de las APT: las actividades de los actores de amenazas en todo el mundo en 2019

¿Cuáles fueron las actividades más relevantes de los actores APT durante el año y cuáles las enseñanzas que nos dejaron?

Esta no es una pregunta fácil de responder, porque los investigadores solo tienen una visión parcial, lo que no nos permite comprender del todo la motivación de algunos ataques o los acontecimientos subyacentes. No obstante, intentaremos abordar el problema desde diferentes ángulos para comprender mejor lo sucedido, con el beneficio de la retrospectiva y la perspectiva.

Cadenas de suministro comprometidas

Los ataques selectivos contra las cadenas de suministro han demostrado ser muy exitosos en los últimos años. Entre los ejemplos relevantes, tenemos: ShadowPad, ExPetr y la puerta trasera puesta en CCleaner. En nuestras predicciones de amenazas para 2019, señalamos que sería un probable vector de ataque continuo. No tuvimos que esperar mucho para ver que esta predicción se hiciera realidad.

En enero descubrimos un sofisticado ataque contra la cadena de suministro llevado a cabo mediante un popular vendedor de hardware de consumo, que sirve para actualizar BIOS, UEFI y software en PCs y portátiles de el vendor. Los atacantes detrás de ‘Operation ShadowHammer’ agregaron una puerta trasera a esta utilidad y la propagaron entre los usuarios mediante canales oficiales. El objetivo de la operación fue lanzar ataques con precisión quirúrgica a un conjunto desconocido de usuarios, identificados por las direcciones MAC de sus adaptadores de red. Los atacantes codificaron una lista de direcciones MAC en las muestras troyanizadas, que representan los verdaderos objetivos de esta operación masiva. Logramos extraer más de 600 direcciones MAC únicas desde más de 200 muestras descubiertas en este ataque, aunque es posible que existan otras muestras que atacan a distintas direcciones MAC. Puede leer nuestros informes sobre ShadowHammer aquí y aquí.

Desinformación

El tercer trimestre fue interesante para las actividades de los atacantes APT en el Medio Oriente, especialmente si se tienen en cuenta las múltiples filtraciones de supuestas actividades iraníes que se publicaron con solo unas pocas semanas de diferencia. Aún más interesante es la posibilidad de que una de las filtraciones haya sido parte de una campaña de desinformación llevada a cabo con la ayuda del actor Sofacy/Hades.

En marzo, alguien bajo el nombre ‘Dookhtegan’ o ‘Lab_dookhtegan’ comenzó a publicar mensajes en Twitter con el hashtag ‘# apt34’. Esta persona o personas publicaron a través de Telegram varios archivos que supuestamente pertenecían al actor de la amenaza OilRig. Estos incluían inicios de sesión y contraseñas de varias presuntas víctimas de hackeo, herramientas, detalles de infraestructuras potencialmente relacionadas con diferentes intrusiones, currículums de presuntos atacantes y una lista de shells web, aparentemente relacionados con el período 2014-18. Los objetivos seleccionados y los TTP son consistentes con el actor de amenaza OilRig, pero ha sido imposible confirmar los orígenes de las herramientas incluidas en el vaciado. Si los datos encontrados son precisos, esto también mostraría el alcance global del grupo OilRig, a pesar de que la mayoría de los investigadores pensaba que operaba principalmente en el Medio Oriente.

El 22 de abril, una entidad con el alias ‘Bl4ck_B0X’ creó un canal de Telegram llamado ‘GreenLeakers’. El propósito del canal, según lo declarado por su creador, era publicar información sobre los miembros del grupo MuddyWater APT, ‘junto con información sobre sus madre y cónyuges, etc.’ de forma gratuita. Además de esta información gratuita, los actores de Bl4ck_B0X también insinuaron que pondrían a la venta información ‘altamente confidencial’ relacionada con MuddyWater. El 27 de abril, se publicaron tres capturas de pantalla en el canal GreenLeakers Telegram, presuntamente relacionadas con un servidor MuddyWater C2. El 1° de mayo, el canal se cerró al público y su estado cambió a privado. Esto fue antes de que Bl4ck_B0X tuviera la oportunidad de publicar la información prometida sobre el grupo MuddyWater. La razón del cierre aún no está clara.

Finalmente, un sitio web llamado ‘Hidden Reality’ publicó filtraciones supuestamente relacionadas con una entidad llamada Iranian RANA Institute. Esta fue la tercera filtración en dos meses que reveló detalles de presuntos actores y grupos de amenazas iraníes. Curiosamente, el empleo de un sitio web que permitía a cualquiera navegar por los documentos filtrados diferenciaba a esta filtración de las demás. También se basó en perfiles de Telegram y Twitter para publicar mensajes relacionados con las Capacidades de operaciones de red informática (CNO) iraníes. El sitio web Hidden Reality contiene documentos internos, mensajes de chat y otros datos relacionados con las capacidades CNO del instituto RANA, así como información sobre las víctimas. Las filtraciones anteriores se centraban más en herramientas, códigos fuente y perfiles de actores individuales.

Un análisis detallado de los materiales, la infraestructura y el sitio web dedicado utilizado por los filtradores proporcionó indicios que nos llevan a creer que Sofacy / Hades podría tener que ver con estas filtraciones.

Lost in Translation y Dark Universe

La conocida filtración de Shadow Brokers, ‘Lost in Translation’, incluía un interesante script de Python (‘sigs.py’) que contenía muchas funciones para verificar si un sistema ya había sido comprometido por otro actor de amenazas. Cada verificación está implementada como una función que busca una firma única en el sistema: por ejemplo, un archivo con un nombre o ruta de registro único. Aunque algunas comprobaciones están vacías, ‘sigs.py’ enumera 44 entradas, muchas de ellas relacionadas con actores de APT desconocidos que aún no se han descrito públicamente.

En 2019, identificamos la APT descrita como la 27° función del archivo ‘sigs.py’, que denominamos DarkUniverse. Llegamos a la conclusión, con mediana seguridad, de que DarkUniverse está conectado con el conjunto de actividades de ItaDuke por el solapamientos de código únicos que observamos.

El componente principal es una DLL bastante simple con una sola función exportada que implementa la persistencia, integridad de malware, comunicación con el C2 y control sobre otros módulos. Encontramos alrededor de 20 víctimas en Asia occidental y el noreste de África, entre ellas instituciones médicas, organismos de energía atómica, organizaciones militares y compañías de telecomunicaciones.

Ataques móviles

Los implantes móviles son ahora una parte estándar del conjunto de herramientas de muchos grupos de APT: encontramos amplia evidencia de esto durante 2019.

En mayo, el FT informó que unos piratas informáticos habían explotado una vulnerabilidad de día cero en WhatsApp, lo que les permitió espiar a los usuarios, leer sus chats cifrados, encender el micrófono y la cámara e instalar spyware para una mayor vigilancia. Para explotar esta vulnerabilidad, el atacante solo tenía que llamar a la víctima por WhastApp. Esta llamada estaba específicamente diseñada para desencadenar un desbordamiento de búfer en WhatsApp, que permitía al atacante controlar la aplicación y ejecutar en ella un código arbitrario. Los atacantes usaron este método no solo para espiar los chats y llamadas de sus víctimas, sino también para explotar vulnerabilidades previamente desconocidas en el sistema operativo, lo que les permitía instalar otras aplicaciones en el dispositivo. WhatsApp lanzó rápidamente un parche para el exploit, lo que parecía haber puesto un punto final al asunto. Sin embargo, en octubre, la compañía presentó una demanda acusando a NSO Group de haber creado el exploit. WhatsApp afirma que la tecnología vendida por NSO se utilizó para atacar a los teléfonos móviles de más de 1 400 de sus clientes en 20 países diferentes, incluyendo activistas de derechos humanos, periodistas y otros. NSO niega las acusaciones.

En julio, publicamos un informe privado sobre las últimas versiones de FinSpy para Android e iOS, desarrollado a mediados de 2018. Los desarrolladores de FinSpy venden el software a entidades gubernamentales y policiales de todo el mundo, que lo utilizan para recopilar una variedad de información privada sobre los usuarios en varias plataformas. Los implantes móviles son similares para iOS y Android: Son capaces de recopilar información personal como contactos, mensajes, correos electrónicos, calendarios, ubicación GPS, fotos, archivos en la memoria, grabaciones de llamadas telefónicas y datos de los mensajeros más populares. El implante de Android incluye funcionalidades para obtener privilegios de raíz al explotar vulnerabilidades conocidas. Parece que la solución para iOS no proporciona exploits de infección a sus clientes, sino que está optimizada para limpiar rastros de herramientas tipo jailbreaking disponibles al público: esto sugiere que se requiere acceso físico al dispositivo de la víctima si los dispositivos aún no han sido “liberados”. La última versión incluye múltiples funciones inéditas. Durante nuestra investigación reciente, detectamos versiones actualizadas de estos implantes circulando libremente en casi 20 países, pero el tamaño de la base de clientes sugiere que el número real de víctimas podría ser mucho mayor.

En agosto, el equipo Project Zero de Google publicó un análisis exhaustivo de al menos 14 amenazas de día cero para iOS que circulaban en Internet y que se usaron en cinco cadenas de explotación para escalar los privilegios de un actor de amenazas desconocido. Según Google, los atacantes usaban una serie de sitios web capturados para entregar los exploits, posiblemente desde hace tres años. Si bien el blog no contenía detalles sobre los sitios comprometidos, o si todavía estaban activos, Google afirmó que los sitios web habían recibido ‘miles de visitantes por semana’. La falta de discriminación respecto a las víctimas apunta a un ataque relativamente no selectivo. Sin embargo, el número estimado de visitantes (que no era tan alto) a los sitios capturados y las capacidades necesarias para entregar e instalar este malware y mantener las cadenas de explotación actualizadas durante más de dos años, demuestra un alto nivel de recursos y dedicación.

En septiembre, Zerodium, una firma de corretaje de vulnerabilidades día cero, indicó que una vulnerabilidad día cero para Android valía más que una para iOS: la compañía está dispuesta a pagar $ 2,5 millones por una vulnerabilidad día cero de Android con cero clics y con persistencia. Este es un aumento significativo respecto al anterior límite de pago de la compañía: $ 2 millones para liberadores remotos de iOS. Por el contrario, Zerodium ha reducido los precios para las vulnerabilidades de Apple con un solo clic. El mismo día, alguien encontró una vulnerabilidad día cero de alta gravedad en el controlador v412 (Video4Linux), el controlador de medios de Android. Esta vulnerabilidad, que permitía la escalada de privilegios, no se incluyó en la actualización de seguridad de septiembre de Google. Pocos días después, se identificó una falla de Android que dejó a más de mil millones de teléfonos inteligentes Samsung, Huawei, LG y Sony vulnerables a un ataque que permitía a los perpetradores acceder por completo a los correos electrónicos en un dispositivo comprometido utilizando un mensaje SMS. Cualquiera que sea el precio relativo de las vulnerabilidades de Android e iOS, está claro que las vulnerabilidades para dispositivos móviles son un bien valioso.

Los actores de amenazas conocidos continúan modernizando sus herramientas

Mientras investigábamos algunas actividades maliciosas en Asia Central, identificamos una nueva puerta trasera, llamada ‘Tunnus’, que atribuimos a Turla. Es decir,un malware basado en .NET con la capacidad de ejecutar comandos o realizar acciones de archivo en un sistema infectado y enviar los resultados a su C2. Hasta ahora, el actor de amenazas ha construido su infraestructura C2 con instalaciones vulnerables de WordPress.

Este año, Turla también envolvió su notorio malware KopiLuwak de JavaScript con un descargador llamado ‘Topinambour’, un nuevoarchivo .NET que el actor de amenazas está utilizando para propagar y descargar KopiLuwak a través de paquetes de instalación infectados para programas de software legítimos, como VPNs. Además, el malware carece casi por completo de archivos: en la etapa final de infección, un troyano cifrado para administración remota se incrusta en el registro de la computadora al que el malware podrá acceder cuando esté listo. El grupo utiliza dos análogos de KopiLuwak: el troyano .NET RocketMan y el troyano PowerShell MiamiBeach para ciberespionaje. Creemos que Turla implementa estas versiones cuando sus objetivos están protegidos con un software de seguridad capaz de detectar KopiLuwak.

Observamos una nueva campaña selectiva relacionada con COMpfun con nuevo malware. Kaspersky Attribution Engine muestra claras similitudes de código entre la nueva familia y el antiguo COMpfun. Además, los atacantes usan el COMpfun original como un descargador en uno de los mecanismos de propagación. Llamamos ‘Reductor’ a los módulos recientemente identificados después de descubrir una ruta .pdb en algunas muestras. Creemos que los mismos autores de COMPfun, a quienes asociamos tentativamente con Turla en base al estudio de las víctimas, fueron quienes desarrollaron este malware. Un aspecto sorprendente de Reductor es que los actores de la amenaza se esfuerzaron mucho para manipular los certificados raíz digitales instalados y marcar el tráfico TLS saliente con identificadores únicos relacionados con el host. El malware agrega certificados raíz incrustados al host de destino y permite a los operadores agregar otros de forma remota a través de una canalización con nombre. Los autores no tocan los paquetes de red en absoluto. En cambio, analizan el código fuente de Firefox y el código binario de Chrome para parchar las funciones de generación de números pseudoaleatorios (PRNG) del sistema en la memoria del proceso. Los navegadores usan PRNG para generar la secuencia ‘cliente aleatorio’ durante el comienzo del protocolo TLS Handshake. Reductor agrega a este campo ‘cliente aleatorio’ a los identificadores cifrados únicos basados en el hardware y el software de las víctimas.

Zebrocy no ha cesado de agregar nuevas herramientas a su arsenal utilizando varios tipos de lenguajes de programación. Descubrimos que Zebrocy implementaba un script dePython compilado, al que llamamos ‘PythocyDbg’, en una entidad de asuntos exteriores del Sudeste asiático. La función principal de este módulo es la recopilación clandestina de proxys de red y de capacidades de depuración de comunicaciones. A principios de 2019, Zebrocy reorientó sus esfuerzos de desarrollo con el uso de Nimrod / Nim, un lenguaje de programación con una sintaxis similar a Pascal y Python que puede compilarse en objetivos JavaScript o C. Zebrocy está produciendo actualmente los descargadores de Nim que el grupo utiliza principalmente para el spear phishing, así como otros códigos de puerta trasera de Nim, que se entregan junto con scripts de AutoIT compilados, módulos Go y Delphi actualizados. En septiembre, Zebrocy lanzó ataques de spear-phishing contra varios miembros europeos de la OTAN, con el fin de obtener acceso a sus comunicaciones por correo electrónico, credenciales y documentos confidenciales. Esta campaña es similar a anteriores actividades de Zebrocy, con contenido relevante del objetivo utilizado en correos y archivos adjuntos ZIP que contienen documentos inofensivos junto con archivos ejecutables con iconos alterados y nombres de archivo idénticos. El grupo también utiliza plantillas de Word remotas que extraen contenidos del sitio legítimo de Dropbox para compartir archivos. En esta campaña, Zebrocy apuntó a objetivos de defensa y diplomáticos ubicados en toda Europa y Asia con sus variantes Go backdoor y Nimcy.

En junio, encontramos un conjunto inusual de muestras utilizadas para atacar a entidades diplomáticas, gubernamentales y militares en países del sur y sudeste de Asia, que atribuimos a Platinum, uno de los actores de APT más avanzados tecnológicamente. En esta campaña, los atacantes utilizaron una sofisticada e inédita técnica esteganográfica para ocultar sus comunicaciones. Hace un par de años, predijimos que más y más desarrolladores de APT y malware recurrirían a la esteganografía, y esta campaña así lo confirma. También resulta interesante que los atacantes decidieran implementar las utilidades que necesitaban en forma de un enorme conjunto: un ejemplo de que la arquitectura basada en marcos es cada vez más popular. Más adelante en el año, descubrimos que Platinum usaba una nueva puerta trasera, a la que llamamos ‘Titanium’, en una nueva campaña. Curiosamente, encontramos ciertas similitudes entre este malware y un conjunto de herramientas que llamamos ‘ProjectC’. Detectamos que en 2016 ProjectC se usaba como un conjunto de herramientas para el movimiento lateral y, sin estar muy seguros, lo atribuimos a CloudComputating. Nuestros nuevos hallazgos nos llevan a creer que el conjunto de actividades de CloudComputating puede atribuirse a Platinum, y que ProjectC fue uno de sus conjuntos de herramientas.

Uno de los hallazgos clave de nuestro informe de 2018 sobre ‘Operation AppleJeus‘ fue la capacidad del grupo Lazarus para atacar a Mac OS. Desde entonces, Lazarus ha ampliado sus operaciones contra esta plataforma. Este año, descubrimos una nueva operación, activa durante al menos un año, que utiliza PowerShell para controlar programas maliciosos para los sistemas Windows y Mac OS y atacar a los clientes de Apple. Lazarus también atacó a una compañía de juegos móviles en Corea del Sur: creemos que tenía como objetivo robar el código fuente de la aplicación. Está claro que Lazarus sigue actualizando sus herramientas muy rápidamente.

En el tercer trimestre, rastreamos una nueva actividad de BlueNoroff, un subgrupo de Lazarus. En particular, identificamos un banco en Myanmar comprometido por este actor. Nos contactamos rápidamente con el banco para compartir los IoCs que habíamos encontrado. Esta colaboración nos permitió obtener información valiosa sobre cómo los atacantes se mueven lateralmente para acceder a hosts de alto valor, como aquellos propiedad de los ingenieros de sistemas del banco que interactúan con SWIFT. Utilizan un volcador de credenciales de inicio de sesión público y scripts caseros de PowerShell para el movimiento lateral. BlueNoroff también emplea nuevos programas maliciosos con una estructura poco común, probablemente para ralentizar el análisis. Dependiendo de los parámetros de la línea de comando, este malware puede ejecutarse como una puerta trasera pasiva, una puerta trasera activa o una herramienta de túnel. Creemos que el grupo ejecuta esta herramienta en diferentes modos dependiendo de la situación. Además, encontramos otro tipo de script de PowerShell que este actor de amenazas utilizó para atacar un objetivo en Turquía. Este script de PowerShell tiene una funcionalidad similar a las utilizadas anteriormente, pero BlueNoroff la cambia continuamente para evadir la detección.

Andariel, otro subgrupo de Lázaro, se ha centrado tradicionalmente en el espionaje geopolítico y la inteligencia financiera en Corea del Sur. Observamos nuevos esfuerzos de este actor para construir una nueva infraestructura C2 dirigida a servidores vulnerables de Weblogic, en este caso explotando CVE-2017-10271. Luego de una incursión exitosa, los atacantes implantaron malware firmado con una firma legítima perteneciente a un proveedor de software de seguridad de Corea del Sur. Este malware es un nuevo tipo de puerta trasera, llamado ‘ApolloZeus’, que se inicia mediante un contenedor de código de shell con datos de configuración complejos. Esta puerta trasera utiliza un shellcode relativamente grande para dificultar el análisis. Además, implementa un conjunto de características para ejecutar la carga final de manera discreta. El descubrimiento de este malware nos permitió encontrar varias muestras relacionadas, así como los documentos utilizados por los atacantes para distribuirlo, lo que nos permitió comprender mejor la campaña.

En octubre, informamos de una campaña que comenzó cuando nos topamos con una muestra que utiliza documentos e imágenes interesantes que contienen una lista de contactos de residentes norcoreanos en el extranjero. Casi todos los señuelos contenían información sobre la fiesta nacional de la península de Corea y el día nacional de Corea del Norte. El contenido del señuelo también estaba relacionado con asuntos diplomáticos o relaciones comerciales. Por los datos adicionales de nuestra telemetría, creemos que esta campaña está dirigida a objetivos relacionados con Corea del Norte: empresarios, entidades diplomáticas y de derechos humanos. El actor detrás de esta campaña usó spear-phishing de alto perfil y la técnica de infección en varias etapas para implantar el malware Ghost RAT especialmente diseñado para controlar por completo a la víctima. Creemos que el actor de la amenaza detrás de esta campaña, que ha estado activa durante más de tres años, es de habla coreana. Asimismo, creemos que el grupo DarkHotel APT está detrás de esto.

Lambert es una familia de sofisticadas herramientas de ataque utilizadas por uno o varios actores de amenazas. El arsenal incluye puertas traseras impulsadas por la red, varias generaciones de puertas traseras modulares, recolectores y limpiadores para llevar a cabo ataques destructivos. Creamos un esquema de color para distinguir las diversas herramientas e implantes utilizados contra diferentes víctimas en todo el mundo. Nuestro informe completo “Unraveling the Lamberts Toolkit” (en inglés) contiene toda la información sobre el arsenal de Lambert y está disponible para nuestros clientes de APT Intel. Este año agregamos una serie de nuevos colores a la paleta de Lambert. ‘Silver Lambert’, que parece ser el sucesor de Gray Lambert, es una puerta trasera completa, que implementa algunos conceptos específicos de NOBUS y OPSEC: la protección contra el drenaje del C2 al verificar el hash del certificado SSL del servidor, la autodesinstalación para instancias huérfanas (es decir, cuando el C2 no está disponible) y la función de limpieza de archivos de bajo nivel. Encontramos víctimas de Silver Lambert en el sector aeronáutico de China. ‘Violet Lambert’, una puerta trasera modular que parece haber sido desarrollada e implementada en 2018: está diseñada para ejecutarse en varias versiones de Windows: XP, Vista y posteriores. Encontramos víctimas de Violet Lambert en el Medio Oriente. También descubrimos otros nuevos implantes de Lambert en las computadoras de una víctima de infraestructura crítica en el Medio Oriente. A los dos primeros los llamamos ‘Cyan Lambert’ (incluyendo las versiones ‘Light’ y ‘Pro’). El tercero, al que llamamos ‘Magenta Lambert’, reutiliza el código más antiguo de Lambert y tiene múltiples similitudes con los Lambert verdes, negros y blancos. Este malware escucha en la red a la espera un ping mágico y luego ejecuta una carga útil muy bien ocultada que no hemos podido descifrar. Todas las computadoras infectadas se desconectaron poco después de nuestro descubrimiento.

A principios de año, monitoreamos una campaña del actor de la amenaza LuckyMouse dirigida contra el gobierno vietnamita y entidades diplomáticas en el extranjero desde al menos abril de 2018. Creemos que esta actividad, a la que llamamos ‘SpoiledLegacy’, es la sucesora de la campaña ‘IronTiger’ debido a las herramientas y técnicas similares que utiliza. Los operadores de SpoiledLegacy utilizan marcos de prueba de penetración como Cobalt Strike y Metasploit. Si bien su principal vector de infección inicial parece ser la explotación de las vulnerabilidades de los servicios de red, también hemos observado ejecutables preparados para usarse en mensajes de phishing con documentos señuelo, lo que muestra la flexibilidad del operador. Además de los marcos de prueba de penetración, los operadores usan el descargador NetBot y el tunelizador Earthworm SOCKS. Para desviar el tráfico, los atacantes también incluyen el código fuente del proxy HTran TCP en el malware. Algunos datos de configuración de NetBot contienen IPs de LAN, es decir, que descarga la siguiente etapa desde otro host infectado en la red local. Según nuestra telemetría, creemos que los servidores internos de bases de datos se encuentran entre los objetivos, como en una campaña anterior de LuckyMouse en Mongolia. En una última etapa, los atacantes utilizan diferentes troyanos en memoria de 32 y 64 bits inyectados en la memoria de proceso del sistema. Curiosamente, todas las herramientas en la cadena de infección ofuscan dinámicamente las llamadas a la API Win32 utilizando el código filtrado de HackingTeam. Desde principios de 2019, observamos un aumento en la actividad de LuckyMouse, tanto en Asia Central como en Medio Oriente. En estas nuevas campañas, los atacantes parecen centrarse en operadores de telecomunicaciones, universidades y gobiernos. Los vectores de infección son compromiso directo, phishing y, posiblemente, abrevaderos. A pesar de las diferentes publicaciones de código abierto sobre los TTP de este actor durante el último año, LuckyMouse no ha cambiado ninguno de ellos. Este actor de la amenaza aún recurre a sus propias herramientas para establecerse en la red de la víctima, mientras que en las nuevas campañas utiliza HTTPBrowser como primer escenario, seguido por el troyano Soldado como implante de segunda etapa. El grupo realizó un cambio en su infraestructura, ya que parece depender exclusivamente de las direcciones IPv4 en lugar de los nombres de dominio para sus C2, lo que interpretamos como un intento de limitar la correlación.

HoneyMyte APT ha estado activo durante varios años. El grupo ha adoptado diferentes técnicas para llevar a cabo sus ataques en los últimos años, y ha apuntado a los gobiernos de Myanmar, Mongolia, Etiopía, Vietnam y Bangladesh, además de lejanas embajadas extranjeras en Pakistán, Corea del Sur, Estados Unidos, Reino Unido, Bélgica, Nepal, Australia y Singapur. Este año, el grupo ha atacado a organizaciones gubernamentales relacionadas con la gestión de recursos naturales en Myanmar y a una importante organización de África continental, lo que sugiere que una de las principales motivaciones de HoneyMyte es la recopilación de inteligencia geopolítica y económica. Si bien el grupo atacó a una organización militar en Bangladesh, es posible que los objetivos individuales estuvieran relacionados con actividades geopolíticas en la región.

El actor de la amenaza Icefog, que hemos estado rastreando desde 2011, ha lanzado constantes ataques contra instituciones gubernamentales, contratistas militares, organizaciones marítimas y de construcción naval, operadores de telecomunicaciones, operadores de satélites, empresas industriales y de alta tecnología y medios de comunicación ubicados principalmente en Corea, Japón y Asia Central. Tras la publicación de nuestro informe original sobre Icefog en 2013, el ritmo operativo del grupo disminuyó y detectamos un número muy bajo de infecciones activas. Observamos un ligero aumento en 2016, pero a partir de 2018, Icefog comenzó a lanzar grandes oleadas de ataques contra instituciones gubernamentales y contratistas militares en Asia central de importancia estratégica para la ‘Iniciativa de la franja y la ruta’ de China. En la última ola de ataques, la infección comenzó con un correo de phishing que contenía un documento malicioso que explotaba una vulnerabilidad conocida e instalaba una carga útil. Desde 2018 hasta principios de 2019, la carga útil final fue la conocida puerta trasera ‘Icefog’. Desde mayo de 2019, los actores parecen haber cambiado y ahora están usando Poison Ivy como su puerta trasera principal. La carga útil de Poison Ivy se descarga como una DLL maliciosa y se carga mediante un programa legítimo firmado, utilizando una técnica conocida como secuestro de orden de carga. Esta técnica es muy común entre muchos actores y también se usó en campañas anteriores de Icefog. Durante nuestra investigación, también pudimos detectar artefactos utilizados en el movimiento lateral del actor. Observamos el uso de un escáner TCP público descargado de Github, una variante de Mimikatz, para volcar las credenciales de la memoria del sistema, un keylogger personalizado para robar información confidencial, y una versión más nueva de otra puerta trasera llamada ‘Quarian’. La puerta trasera Quarian se usó para crear túneles dentro de la infraestructura de la víctima para evitar las detecciones de red. Entre las funciones de Quarian está la capacidad de manipular el sistema de archivos remoto, obtener información sobre la víctima, robar contraseñas guardadas, descargar o cargar archivos arbitrarios, crear túneles utilizando el reenvío de puertos, ejecutar comandos arbitrarios e iniciar un shell inverso.

Evolución de los ‘recién llegados’

En un informe privado en enero de 2018 por primera vez analizamos ShaggyPanther, un conjunto de intrusos y malware nunca antes visto dirigido a Taiwán y Malasia. Las actividades relacionadas datan de hace más de una década, con un código similar que mantiene las marcas de tiempo de compilación de 2004. Desde entonces, la actividad de ShaggyPanther se ha detectado en otros lugares: recientemente en Indonesia en julio y, curiosamente, en Siria en marzo. El nuevo código de puerta trasera 2018 y 2019 mantiene una nueva capa de ofuscación y ya no mantiene cadenas de texto sin cifrar en el C2. Desde la publicación del mencionado informe, hemos identificado un vector de infección inicial del lado del servidor de este actor, que usa SinoChoper / ChinaChopper, un shell web popular entre múltiples actores de habla china. SinoChopper no solo identifica el host y distribuye la puerta trasera, sino también roba archivos comprimidos en mensajes de correo y realiza otras actividades. Aunque no todos los incidentes pueden rastrearse hasta la explotación del lado del servidor, detectamos un par de casos y obtuvimos información sobre su proceso de instalación por etapas. En 2019, observamos que ShaggyPanther apuntaba a servidores Windows.

En abril, publicamos nuestro informe sobre TajMahal, un marco APT previamente desconocido y que ha estado activo durante los últimos cinco años. Se trata de un sofisticado conjunto de spyware que incluye puertas traseras, cargadores, orquestadores, comunicadores de C2, grabadores de audio, keyloggers, capturadores de pantalla y webcam, ladrones de documentos y llaves de cifrado, e incluso su propio indexador de archivos para la computadora de la víctima. Descubrimos hasta 80 módulos maliciosos almacenados en su Sistema de archivos virtual codificado: una de las mayores colecciones de complementos que hemos visto en un conjunto de herramientas APT. El malware tiene su propio indexador, varios C2 de emergencia, la capacidad de robar archivos específicos de unidades externas cuando vuelven a estar disponibles, y mucho más. Los computadores atacados que encontramos contienen dos paquetes diferentes, autonombrados ‘Tokyo’ y ‘Yokohama’. Creemos que los atacantes usaban Tokyo en la primera etapa de la infección, instalaban el completamente funcional paquete Yokohama en los computadores de víctimas interesantes, y dejaban a Tokyo como respaldo. Hasta ahora, nuestra telemetría ha revelado una sola víctima: un cuerpo diplomático de un país de Asia central. Esto plantea la pregunta: ¿Por qué meterse en tantos problemas por una sola víctima? Creemos que existen otras víctimas que aún no hemos encontrado. Esta teoría está respaldada por el hecho de que no pudimos ver cómo uno de los archivos en el VFS fue utilizado por el malware, lo que abre la puerta a la posibilidad de que circulen versiones adicionales del malware aún sin detectar.

En febrero, nuestros sistemas AEP (Prevención automática de exploits) detectaron un intento de explotación de una vulnerabilidad en Windows, la cuarta vulnerabilidad de escalada de privilegios locales explotada consecutivamente en Windows que descubrimos en los meses anteriores. Un análisis más profundo nos llevó al descubrimiento de una vulnerabilidad día cero en “win32k.sys”. Microsoft parchó esta vulnerabilidad, CVE-2019-0797, el 12 de marzo, atribuyendo el descubrimiento a los investigadores de Kaspersky Lab Vasiliy Berdnikov y Boris Larin. Creemos que varios actores de amenazas, incluyendo FruityArmor y SandCat, utilizaron este exploit. FruityArmor ya había usado exploits día cero, mientras que SandCat es un nuevo actor de APT que habíamos descubierto poco antes. Curiosamente, FrutiyArmor y SandCat parecen seguir caminos paralelos: ambos tienen los mismos exploits disponibles al mismo tiempo. Esto parece apuntar a un tercero que proporciona a ambos grupos tales artefactos.

Durante febrero de 2019, observamos un ataque altamente específico en parte sur de Rusia utilizando un malware previamente desconocido, al que llamamos ‘Cloudmid’. Este programa espía se propagó por correo y se hizo pasar por el cliente VPN de una conocida compañía de seguridad rusa que, entre otros, ofrece soluciones de seguridad para redes. Hasta ahora, no hemos podido relacionar esta actividad con ningún actor conocido. En realidad, este malware es un ladrón simple de documentos. Sin embargo, dada su victimología y la naturaleza específica del ataque, lo consideramos lo suficientemente relevante para seguirlo, a pesar de que no pudimos atribuir este conjunto de actividades a ningún actor conocido. El bajo OPSEC y el malware simple involucrados en esta operación no parecen apuntar a un actor de amenazas avanzado.

En febrero, identificamos una campaña dirigida a entidades militares en India, pero no pudimos atribuirla a ningún actor conocido de amenazas. Los atacantes se basan en las técnicas de abrevadero y phishing para infectar a sus víctimas. Específicamente, fueron capaces de comprometer el sitio web del Centro de estudios de guerra terrestre (CLAWS) y lo utilizaron para alojar un documento malicioso que a su vez utilizaron para distribuir una variante de Netwire RAT. También encontramos evidencia de un club de bienestar para militares comprometido que distribuyó el mismo malware durante el mismo período.

En el tercer trimestre, observamos una campaña que utilizaba un programa malicioso al que FireEye llamó ‘DADJOKE’. Este malware se utilizó por primera vez en enero de 2019 y desde entonces se ha desarrollado sin cesar. Solo hemos visto este malware utilizado en un pequeño número de campañas activas desde enero, todas dirigidas contra entidades gubernamentales, militares y diplomáticas en el sudeste asiático. La última campaña, realizada en agosto, parece haber atacado solo a algunos empleados específicos de una entidad militar.

La privacidad importa

El 17 de enero, el investigador de seguridad Troy Hunt informó sobre una fuga de más de 773 millones de direcciones de correo y 21 millones de registros de contraseña únicos. Los datos, llamados ‘Collection #1’, inicialmente se compartieron en el popular servicio de nube MEGA. Collection #1 es apenas una parte pequeña de la gran fuga de 1 TB de datos, dividida en 7 partes y distribuida a través de un foro de comercio de datos. El paquete completo es una colección de credenciales filtradas desde diferentes fuentes durante los últimos años (la última ocurrió en 2017), por lo que no hemos identificado datos recientes en esta ‘nueva’ fuga. Resulta que la ‘Colección # 1’ era solo parte de un volcado más grande de credenciales filtradas que comprende 2,2 mil millones de registros de cuentas robados. La nueva filtración de datos, llamada ‘Collection #2-5’ fue descubierta por los investigadores del instituto Hasso Plattner de Potsdam.

En febrero ocurrieron nuevas fugas de datos. Las credenciales de 617 millones de cuentas robadas de 16 compañías atacadas, fueron puestos a la venta en Dream Market, accesible mediante la red Tor. Entre las compañías atacadas se encuentran Dubsmash, MyFitnessPal, Armor Games y CoffeeMeetsBagel. Posteriormente, los datos de otras ocho compañías atacadas también fueron puestos a la venta en el mismo mercado virtual. Luego en marzo, el hacker responsable de las primeras fugas de información publicó los datos robados a otras 6 compañías.

Las credenciales robadas, junto con otra información personal obtenida de los datos filtrados, son valiosas no solo para los ciberdelincuentes, sino también para los atacantes selectivos, incluidos aquellos dedicados a rastrear las actividades de disidentes y activistas en varias partes del mundo.

Nos hemos acostumbrado a las constantes noticias sobre filtraciones de direcciones de correo y contraseñas. El robo de tales formas ‘tradicionales’ de autenticación es de por sí malo, pero los efectos del uso de métodos alternativos de autenticación pueden ser mucho más graves. En agosto, dos investigadores israelíes descubrieron huellas digitales, datos de reconocimiento facial y otra información personal del sistema de control de acceso biométrico Suprema Biostar 2 en una base de datos de acceso público. La exposición de datos biométricos es de particular preocupación. Se puede cambiar una contraseña comprometida, pero una característica biométrica es de por vida.

Además, el uso tan amplio de dispositivos inteligentes en nuevas áreas de nuestras vidas abre un grupo más extenso de datos para los atacantes. Consideremos, por ejemplo, el impacto potencial de los parlantes inteligentes para escuchar conversaciones sin vigilancia en una casa. Los gigantes de las redes sociales poseen una cada vez más grande cantidad de información personal, la cual puede resultar muy valiosa tanto para los delincuentes como para los actores de amenazas APT.

Conclusiones

Seguiremos haciendo seguimiento a todas las actividades de APTs que encontremos y destacaremos regularmente los hallazgos más interesantes, pero si desea saber más, comuníquese con nosotros a intelreports@kasperksy.com