TLP: Amber
NIVEL DE RIESGO – [Alto]
Acción Requerida: Aplicar los indicadores de compromiso descritos en esta alerta en los dispositivos de seguridad de las organizaciones.
Vector de ataque: Remoto.
Impacto: Ciberespionaje.

Descripción

Investigadores de una firma de seguridad han identificado ataques realizados por el grupo “CostaRicto” dirigidos a instituciones financieras y a empresas de entretenimiento de todo el mundo con la finalidad de realizar ciberespionaje. Los objetivos de CostaRicto se encuentran en diferentes países de Europa, América, Australia y África, sin embargo, la mayoría de los ataques son realizados a instituciones de India, Bangladesh, Singapur y China. Debido a las regiones de los ataques se cree que podrían tener su sede en el sur de Asia, sin embargo, esto no ha sido confirmado.

En esta campaña, los atacantes buscan el acceso a una empresa mediante credenciales robadas obtenidas a través de phishing o bien, compradas en la “Dark Web”. Posteriormente, establecen un acceso remoto utilizando el protocolo SSH que redirige el tráfico de un dominio malicioso a un proxy que escucha a un puerto local para que el atacante se autentique con su llave privada y comience a descargar una puerta trasera (Backdoor) y código malicioso llamado “CostaBricks” usado para entregar un ejecutable compilado en C++ llamado “SombRAT”.

La puerta trasera es capaz de ejecutar aproximadamente 50 comandos organizados en 6 grupos: “Core”, “Taskman”, “Config”, “Storage”, “Debug” y “Network”, que se pueden ejecutar en diferentes interfaces.

La comunicación con el servidor de comando y control (C&C) se administra a través de Tor, y se realiza mediante un túnel DNS o sockets TCP con tráfico cifrado con SSL para poder evadir proxies HTTP y SOCKS5, esta forma de comunicación los hace únicos.

De acuerdo con las investigaciones se han observado seis versiones de SombRAT lo que sugiere que este grupo ha ido mejorando desde la primera vez que se observó en octubre de 2019, también observaron direcciones IP que usaron en una campaña atribuida a APT28, por lo que se considera que han realizado ataques en nombre de otros grupos de amenaza.

Según los expertos, el objetivo central de esta campaña es robar información confidencial, sin embargo, en ataques anteriores CostaRicto ha implementado ransomware, por lo que no se descarta que esta actividad también pueda ser realizada por el APT.

Nivel de riesgo

  • Alto

Indicadores de compromiso (IoCs)

A continuación, se listan los IoCs identificados hasta el momento, relacionados con la campaña reportada en esta alerta:

  • SHA-256:
    • 130fa726df5a58e9334cc28dc62e3ebaa0b7c0d637fce1a66daff66ee05a9437
    • 8062e1582525534b9c52c5d9a38d6b012746484a2714a14febe2d07af02c32d5
    • d69764b22d1b68aa9462f1f5f0bf18caebbcff4d592083f80dbce39c64890295
    • f6ecdae3ae4769aaafc8a0faab30cb66dab8c9d3fff27764ff208be7a455125c
    • 561bf3f3db67996ce81d98f1df91bfa28fb5fc8472ed64606ef8427a97fd8cdd
    • 8323094c43fcd2da44f60b46f043f7ca4ad6a2106b6561598e94008ece46168b
    • ee0f4afee2940bbe895c1f1f60b8967291a2662ac9dca9f07d9edf400d34b58a
    • 70d63029c65c21c4681779e1968b88dc6923f92408fe5c7e9ca6cb86d7ba713a
    • 79009ee869cec789a3d2735e0a81a546b33e320ee6ae950ba236a9f417ebf763
    • d8189ebdec637fc83276654635343fb422672fc5e3e2818df211fb7c878a3155
    • fa74f70baa15561c28c793b189102149d3fb4f24147adc5efbd8656221c0960b
    • c0db3dadf2e270240bb5cad8a652e5e11e3afe41b8ee106d67d47b06f5163261
    • 6df8271ae0380737734b2dd6d46d0db3a30ba35d7379710a9fb05d1510495b9
    • 7424d6daab8407e85285709dd27b8cce7c633d3d4a39050883ad9d82b85198f
  • Dominio:
    • akams [.] en
    • sbibd [.] net
    • infosportals [.] com
    • newspointview [.] com
  • Direcciones IP:
    • 159.65.31.84
    • 212.83.61.227
    • 144.217.53.146
    • 45.89.175.206
    • 45.138.172.54
    • 212.114.52.98

Medidas de contención

  • Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
  • Implementar dispositivos de seguridad que permitan identificar y bloquear peticiones maliciosas hacia o desde los equipos de su infraestructura (IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, por mencionar algunos).
  • Generar listas negras que eviten las comunicaciones hacia los indicadores notificados.
  • Monitorear la actividad en puntos finales, servidores y firewalls para detectar actividad inusual.
  • Mantener las firmas actualizadas de los antivirus y sistemas operativos para prevenir una posible infección.
  • Evitar abrir enlaces o archivos de correos electrónicos provenientes de remitentes desconocidos o sospechosos.

Referencias