El pasado mes de julio publicamos datos sobre Crouching Yeti/Energetic Bear,una avanzada amenaza partícipe en varias campañas de ataques APT.
Un breve resumen:
- Estado de la campaña: Activa
- Descubrimiento: Enero de 2014
- Plataformas atacadas: Windows
- Primera muestra detectada: 2010
- Número de blancos: 2001-3000
- Principales países afectados: EE.UU., España, Japón, Alemania, Francia, Italia, Turquía, Irlanda, Polonia, China.
- Método de propagación: Ingeniería social, exploits, ataques tipo abrevadero, instaladores troyanizados de software.
- Propósito/funciones: Robo de datos
- Funciones especiales: Interés en OPC/SCADA. Software troyanizado utilizado para administrar servidores OPC remotos, así como módulos para escanear redes para servidores OPC.
- Blancos: Industrial/maquinaria, fabricantes, farmacéutico, construcción, educación, informática
- Artefactos/atribución: Autores rusoparlantes.
Esta entrega es una actualización sobre el estado operativo de la campaña descrita en el artículo original “Crouching Yeti ”
Desde el inicio de la investigación, hemos estado monitoreando algunos de los servidores C&C utilizados por los componentes empleados en el ataque: el troyano Havex, el troyano Sysmain, y la puerta trasera ClientX. El siguiente análisis se basa en los datos recopilados hasta el 4 de marzo de 2015.
Servidores C&C y víctimas:
En total, hemos monitoreado exitosamente 69 servidores C&C (dominios únicos), que recibieron pulsaciones de 3699 víctimas (IDs únicas del troyano/puerta trasera) y 57796 conexiones desde distintas direcciones IP. Hemos recopilado otros cuatro C&C desde la publicación de nuestro primer artículo (65 en el último informe).
En base al siguiente gráfico, los primeros cinco servidores C&C comparten la mayor parte de las víctimas únicas:
Víctimas por C&C
Aunque la tendencia muestra una disminución de pulsaciones en el C&C, todavía existen más de 1000 conexiones de víctimas únicas por día. Estos cinco principales C&C que suman la mayoría de las víctimas coinciden con la actividad analizada en la publicación e investigación previas.
Otro gráfico interesante es la cantidad de pulsaciones por fecha, que muestra una tendencia decreciente:
La siguiente figura muestra el cuadro total de la distribución de víctimas por país, incluyendo todos los programas maliciosos (Havex, ClientX, Sysmain) relacionados con los C&C que hemos observado. El gráfico contiene todos los datos (incluyendo aquellos del informe anterior y los que hemos recopilado durante este periodo) y todas las direcciones IP únicas observadas. šVale la pena remarcar que existen algunas IDs únicas que usan varias direcciones IP, probablemente relacionadas con los ordenadores infectados de viajeros.
El siguiente gráfico muestra el gran cuadro (actualizado) de las víctimas de Crouching Yeti por país. España, Polonia y Grecia están entre los Top 3. Japón, y especialmente EE.UU. han mejorado significativamente su posición (menos víctimas) desde el último informe, al contrario de Polonia e Italia, que han empeorado notablemente (más víctimas que informan al C&C).
Esta es una representación adicional de la distribución de las víctimas por país, incluyendo todos los datos (todos los países):
Programas maliciosos:
El troyano más utilizado en estos servidores C&C es Havex con 3375 víctimas únicas. Sysmain cuenta con 314 y ClientX con 10 (como en el informe del año pasado). Respecto a Havex, la versión 024 sigue siendo la más extendida, seguida de la versión 043. Esto es consistente con la tendencia observada en nuestra última publicación.
Los dos gráficos que siguen muestran la distribución de las víctimas por tipo de programa malicioso. Decidimos dividir las versiones identificadas en dos grupos sólo a fin de brindar mayor claridad. La serie con el nombre “Report” contiene los datos publicados en la primera publicación de Crouching Yeti (azul) y la serie con el nombre “Update” contiene los datos analizados.
Durante este periodo, el primer subconjunto muestra un aumento en casi todas las versiones incluidas, excepto por Havex-038 y Havex-01D, que mostraron una mayor actividad en la primera publicación de Crouching Yeti. Por otra parte, Havex-043 muestra el aumento más significativo durante este periodo.
En el segundo subconjunto, el cuadro aparece bastante similar (aumento global), excepto por Havex-01d que muestra una disminución durante este periodo.
Ya antes y también después de los anuncios sobre este actor hubo otras investigaciones. Por tanto, los conjuntos de datos están limpios, pero puede ser que todavía incluyan algunos sistemas sin víctimas en base a dichas investigaciones.
Los gráficos siguientes muestran la distribución de sistemas operativos entre las víctimas de Havex durante este periodo:
Aparte del aumento en la categoría "Unknown” (desconocido), no aparecen diferencias sustanciales al comparar con los datos analizados en el primer informe:
Para complementar los datos provenientes del C&C, extrajimos algunas estadísticas sobre los troyanos más importantes que usan los operadores de Crouching Yeti. Casi todos muestran un impacto residual durante 2015. Sin embargo, notamos algunos picos muy específicos durante este mes, especialmente para el veredicto Trojan.Win32.Ddex. Este componente es un sencillo descargador con funciones similares al componente Havex. Todas las detecciones se encuentran dentro de la Federación Rusa.
En conclusión, los datos analizados durante este periodo revelan que el impacto de Crouching Yeti sigue vigente en términos de víctimas infectadas que informan a los C&C, aunque los datos internos proporcionados por nuestra red KSN muestran un cuadro distinto (número residual de infecciones). En esta actualización, no hemos visto cambios relevantes en la infraestructura o en la actividad de C&C.
Tomando en cuenta la naturaleza de esta amenaza y el estado operativo de la infraestructura, es posible que los operadores ya hayan cambiado su estructura, técnicas y blancos.
Continuaremos el seguimiento de esta amenaza y publicaremos las respectivas actualizaciones.
Yeti sigue agazapado en el bosque