[Aviso de Seguridad] APT – Campaña maliciosa relacionada con el programa “PowerPepper” atribuida al grupo “DeathStalker”

Descripción

Se ha detectado nueva actividad del grupo “DeathStalker”, un actor de amenazas que ha estado activo desde 2012 y es considerado como una empresa “hack-for-hire”, ya que sus características no se ajustan a los delitos habituales o actividades patrocinadas por el estado.

Este grupo ha realizado campañas en todo el mundo, aunque se desconoce si tiene objetivos precisos, sin embargo, hasta el momento se han identificado firmas de abogados, consultoras y organizaciones financieras como objetivos frecuentes.

En esta campaña, instalan un programa malintencionado mediante técnicas con puertas traseras, dicho código es conocido como “PowerPepper”, una puerta trasera (backdoor) de “PowerShell” capaz de ejecutar comandos de consola enviados de forma remota, y le permite a DeathStalker evadir algunas medidas de seguridad. PowerPepper también utiliza comunicaciones vía DNS sobre el protocolo HTTPS utilizando “CloudFlare” para tomar el control de los dispositivos de las víctimas.

Por lo regular, PowerPepper se centra en un servidor comando y control (C&C) para ejecutar código, para lograr esto envía peticiones DNS, tipo “TXT” a los servidores que están asociados con un nombre de dominio malicioso, y si el objetivo de ataque que ejecuta dicho implante es validado, el servidor responde con un comando encriptado DNS.

PowerPepper intenta aprovechar “Microsoft Excel” para enviar solicitudes al servidor C&C, pero de no poder realizar la conexión utilizará comunicaciones DNS regulares, cabe mencionar que en ambos casos la información va cifrada con el algoritmo AES. El nombre del servidor C&C usado es ”PowerPepper C2” que en realidad son servidores DNS abiertos para resolver nombres de hosts arbitrarios con las mismas direcciones IP.

De acuerdo con las primeras campañas detectadas, este grupo usa documentos de Microsoft Word con macros maliciosas incrustadas, para engañar a los usuarios y con ello tener acceso a la red. Los documentos son enviados a través de correos electrónicos de spear-phishing o bien, se descargan de un enlace malicioso de un correo electrónico.

Anteriormente, este grupo ha dirigido sus ataques a países como Rusia, Estados Unidos, México, Italia, Francia, Suecia, Arabia Saudita, Alemania, Reino Unido, entre otros.

Los investigadores resaltan la capacidad de este grupo por desarrollar herramientas evasivas, y creativas debido a que desde 2012 se han adaptado y mejorado dando a los investigadores nuevas herramientas para analizar.

Nivel de riesgo

• Alto

Sistemas/tecnologías afectadas:

• Sistema Operativo Microsoft Windows.

Indicadores de compromiso (IoCs)

A continuación, se listan los IoCs identificados hasta el momento, relacionados con la campaña reportada en esta alerta:

• MD5:
  • A4DD981606EA0497BF9995F3BC672951
  • 871D64D8330D956593545DFFF069194E
  • 81147EDFFAF63AE4068008C8235B34AF
  • DFC2486DE9E0339A1B38BB4B9144EA83
  • 74D7DF2505471EADEB1CCFC48A238AEC
  • 5019E29619469C74F2B826535C5A8BD8
  • B4790E70B1297215E0875CFC2A56648E
  • 3A6099214F474C1501C110CE66033F3C
  • 07308FBC3D10FD476F1898ECF6762437
  • 1F77FBE4702F787A713D394B62D27B42
  • 6E99F6DA77B0620E89F6E88D91198C32
  • 5D04D246F3E5DA6A9347EC72494D5610
  • BA7AE1C73A78D8DC4B3779BD6A151791
  • 1DC2B849A858BC479B1EF428491E0353
  • 9D4066C57C6E1602CE33F15DC7F3841B
  • 6FF8A3D18A6EA930E87AC364379ECEC2
  • 871D64D8330D956593545DFFF069194E
  • 9CE299BBDD7FDBF9F30F8935C89D2877
  • 34F086AE78C5319FB64BF1CAE8204D1B
• Dominios:
  • allmedicalpro [.] com
  • mediqhealthcare [.] com
  • gofinancesolutions [.] com
  • mailsigning.pythonanywhere [.] com
  • mailsignature.pythonanywhere [.] com
  • mailservice.pythonanywhere [.] com
  • mailservices.pythonanywhere [.] com
  • footersig.pythonanywhere [.] com
  • globalsignature.pythonanywhere [.] com
• Rutas de archivos:
  • %PROGRAMDATA%\Support\licenseverification.vbs
  • %PROGRAMDATA%\Support\licenseverify.vbs
  • %PROGRAMDATA%\MyPrinter\NewFile.vbs
  • %PROGRAMDATA%\Printers\NewFile.vbs
  • %APPDATA%\Microsoft\Windows\StartMenu\Programs\Startup\System.lnk
  • %PROGRAMDATA%\MyPrinter\Web.lnk
  • %PROGRAMDATA%\Printers\Web.lnk
  • %APPDATA%\Roaming\Microsoft\Windows\StartMenu\Programs\StartUp\StartPrinter.url
• URLs:
  • hxxps://www.gsn-nettoyage[.]com/wp-snapshots/btoken.php
  • hxxps://www.gsn-nettoyage[.]com/wp-snapshots/etoken.php
  • hxxps://www.gsn-nettoyage[.]com/wp-snapshots/1.docx
  • hxxps://www.gsn-nettoyage[.]com/wp-snapshots/Quote 16 db room.docx
  • hxxps://outlookusers[.]page[.]link/
  • hxxps://1drv[.]ws/w/s!AvXRHBXCKmvYdifkocKujNavvjY?e=hhuBV8
  • hxxps://1drv[.]ws/w/s!AvXRHBXCKmvYdcbz1YwTJRkOxP4?e=u5wtbX
  • hxxps://1drv[.]ws/w/s!AvXRHBXCKmvYd1921tVEMKWaCUs?e=MyoVNF
  • hxxps://1drv[.]ws/w/s!AvXRHBXCKmvYeFdjVtZN0Quljs4?e=dnA6GG
  • hxxps://1drv[.]ws/w/s!AvXRHBXCKmvYeePNerfsAWK0qVY?e=e4SsYM
  • hxxps://1drv[.]ws/w/s!AvXRHBXCKmvYejBpdekg1WUCM9M?e=UkhU10
  • hxxps://1drv[.]ws/w/s!AvXRHBXCKmvYe1ulhtazjNVvCqY?e=WptVTC
• Direcciones de correo:
  • a.christy_inbox@outlook [.] com

Medidas de contención

• Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
• Implementar dispositivos de seguridad que permitan identificar y bloquear peticiones maliciosas hacia o desde los equipos de su infraestructura (IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, por mencionar algunos).
• Generar listas negras que eviten las comunicaciones hacia los indicadores notificados.
• Monitorear el tráfico de la red para detectar actividad inusual en la red.
• Evitar descargar archivos adjuntos de correos electrónicos provenientes de remitentes desconocidos o sospechosos.
• Mantener las firmas de los antivirus actualizadas para prevenir una posible infección.

Referencias

• https://securelist.com/what-did-deathstalker-hide-between-two-ferns/99616/