TLP: Amber
NIVEL DE RIESGO – [Alto]
Acción Requerida: Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad de las organizaciones.
Vector de ataque: Correo electrónico.
Impacto: Filtración de información confidencial.
Región inicial: Estados Unidos y Europa.
Comunidad objetivo: Gobierno, financiero, telecomunicaciones, salud, sector privado.
ID MISP: 4683.

Descripción

Una firma de seguridad identificó una campaña maliciosa relacionada con el grupo “APT FIN7”, también conocido como “Carbanak” y del cual se tiene conocimiento desde 2014. En esta campaña el grupo utiliza la herramienta “JSSLoader” la cual es considerada un troyano de acceso remoto (RAT).

A finales del año pasado, Carbanak realizó campañas maliciosas de correo electrónico con diversas temáticas, para engañar a usuarios finales, estos contenían enlaces para descargar archivos maliciosos desde un repositorio de “SharePoint” privado y corresponden a ejecutables de Visual Basic Script (VBS) que a su vez instalaban un módulo de JSSLoader. El programa malicioso se almacena en el directorio %temp% y se ejecuta a través de una tarea programada creada en el equipo, posteriormente establece comunicación con un servidor comando y control (C&C) de una empresa llamada “FranTech Solutions”, la cual ha sido utilizada anteriormente por FIN7.

También, se identificó que JSSLoader utiliza un programa en PowerShell llamado “DiceLoader” para descargar “Cobalt Strike”, herramienta utilizada por este grupo para aprovechar vulnerabilidades en los sistemas.

Esta campaña, tiene como principal objetivo robar y filtrar información confidencial de las organizaciones afectadas, o bien, obtener acceso a la red objetivo para ejecutar e instalar algún otro programa malicioso.

Nivel de riesgo

  • [Alto]

Sistemas/tecnologías afectadas

  • Sistema Operativo Microsoft Windows

Indicadores de compromiso (IoCs)

A continuación, se listan los IoCs identificados hasta el momento, relacionados con la campaña reportada en esta alerta:

  • MD5:
    • 6bb5b8c68f8edee7cd10058d215364b2
    • f459722c272e4637a0b965fa4c769b16
    • d876becd8ae856e6e13036d3a3ae83d1
    • 6224f30518664ecc015e522d132b7a94
    • 116aae5e646d6a0453b14ec210bcbd9d
    • bfd8c309c64ff852a6f73a322fdbe05b
    • a3d03a6885e7bf31b9f912402a362319
    • 602502641978f786d4ef8a1f25de314d
    • e9a432f52ba21638a40399c76b681e11
    • e0e19b748cbe5fd50a5288ec4b29f024
    • 8052c7fa20ede77f6d6777015e926242
    • 1e6bc9562395790226b8fb3ebede6bf2
    • d80feb14c5beebd1c3091ed9f67c4071
    • 05563d9fa3698da3a800ced327318b75
    • 98552ccfe01a922ca33cbf3ef58c810b
    • 1c573bb8ecbfc1180980a555f2fa73af
    • 347da476002986f1aa2f8700d3953936
    • 51db6352da13bdafe2a302386ae80a93
    • bf23c48d111f5a2d3169062428940b1c
    • 3be25ab09fe2c3092b6d6bd44dc16a17
    • 17ea1d7a6a31cd38cb685bcceae24dc3
    • a3892280be014691dcbab8d5a3227f20
    • a843c7018c53659ca0293d4d48577209
    • 122cb55f1352b9a1aeafc83a85bfb165
    • 7e36870fa5d1e33d77a5d0b69b46a090
    • 187d83dcb8e737dec7a52118ad5f4f35
    • dcdefb772a0e82dbf6432b7de652edda
    • c9aa782f638faadaa8638a7dbd0851fe
    • 70ea5e431e8ef96a3c07bf37daae3af8
  • SHA-1:
    • 3dfc007972af1e6f4d295844b071c5f0eeffe475
    • 2d03401a3ff83746ebd577f7efd899c8abdee84d
    • e1a8b66b78086004a359459a0c6d12f954d31e72
    • ca7c60156b254ec636c270283ceae2778bafc86c
    • 95480b4963f39cb90767de331286a6d59413192d
    • 65f97eeac84c60930048cb8b48ce9d64cf607a27
    • 74181c82717f0a7e40a5faab36eafce768c1abeb
    • a53bc5803aee635ae5264b115f98001ed7fe21d3
    • 50a74b3c7831bfa5061d59f48d61beddde3be962
    • 8b63513c204447ba3418dd38839d7a3a0bf885f9
    • 603970271359b89be0e1b976f5ad6bbe81f0bfc2
    • 133d8dde465b92fdd73642a6d0012d63cc9a4fd2
    • 1bb22b22fd1975947c6d22a408117c4de16c1b78
    • fea73cfb250bf1a13b98f7a4b132ceedff6ecc18
    • bfce47dbe2aa4411052c2d3a0f4fdc1eeff2975d
    • 56897a0d68fef38a0cd492853f9e427e19c80781
    • ed41aa1da21cde7cab5d259ca9f8e20d097f3cc8
    • 629ca98fafca8a05ffc53f839855eebfdb931a57
    • 61ad8d977c9cddd8fc4ac09ea2de9de25288d265
    • 693eea6c6b5e4e79865934e62b62584719cbbfac
    • c509ef559395eea4f774c82ec3b1bbadd7c329dd
    • f93ff36c396a0e594ea18811654ce0b7a9bbad8d
    • e0c32e57ef6db7dfcb5dd668af800430d1b09bdc
    • 53f92d0b56b3eadd97e77684c9c374db08b654f8
    • dfb345ac151b537b1448a6fdb139c537ae6c50e9
    • b17cc573fab2fc3efcc18fcc014a4dd6f51816e3
    • 659b8011c789f45797d904323de6341b94acab7d
    • ace56ce54c655ab91101283b14546099cc8bacf4
    • 4766c56afd9eab74dce73f56512226284dc5a1ae
  • SHA-256:
    • 49895428f1a30131308022dd3aa56eab6a1aa49b08a978ebc1520e289d3d6744
    • 2180d0f46ec6f843fa8b1984acfd251371be7d4228d208eb22bc4a87e9b7c59f
    • 6f9a4e87db50896fb4f54ea3e85f015bac383faf0e3db0f5b20c462f322e946a
    • e6d239a37a39b8051e40949fa4647efa6dd990a3afe27e381f1e1eea17d6b17b
    • 55e29ad1d04af6fd59592825681438f2ba262751de14d64d9cf41c89d8ad6294
    • 6a75254b45320109090fd775dcb78ec4e3dbcf325c3916253b5d6e105b92be66
    • 8279ce0eb52a9f5b5ab02322d1bb7cc9cb5b242b7359c3d4d754687069fcb7b8
    • daba93cf353585a67ed893625755077a2d351ba46ec5ea86b5bd0b45b84bc7c5
    • 2373a6a7223154a2e4e3e84e4bdda0d5a9bc22580caf4f418dae5637efec65e5
    • 1f2ab2226f13be64feeece1884eaa46e46c097bb79b703f7d622d8ff1a91b938
    • 969cfeddc1c90d36478f636ee31326e8f381518e725f88662cc28da439038001
    • 2df508247a4e739b086c9de47d91a26ea7aee4d5cf9bc5cc70b5ad2dc7f102c6
    • 33b3a1da684efc2891668eecf883ba7b9768a117956786e4356a27d1dffe0560
    • 793aa21ed7432ef2b0eda8d80036361878f728dbc4081d72f80fa3694702a4d8
    • 15f15b643eafcc50777bed33eda25158c7f58f4dbaaaa511072ef913a302a8da
    • a0c5b1fdcb95037e57dd502d848aa3137882d7af6fbf301262e8cd35db7f58b7
    • 2e3bc3b059733b4db846d3227abbfa6a7914b551f0175d6f77e22d08b57d49e3
    • 967882624ba26c4fcd6806791aa4994b5bf64ca4b1e66dd8d24f1fa54b3a43f0
    • 98fe1d06e4c67a5a5666dd01d11e7342afc6f1c7b007c2ddbfc13779bcc51317
    • 16f9674ea7c40a0e474966f59c413518509e295608c7ecc37c6096b034b88918
    • 148d74e453e49bc21169b7cca683e5764d0f02941b705aaa147977ffd1501376
    • c1e7d6ec47169ffb1118c4be5ecb492cd1ea34f3f3dd124500d337af3e980436
    • c328f48c5f4a2c2441bcd0b0c0551547ca254f7ebbb46d30d357e962d8330063
    • a062a71a6268af048e474c80133f84494d06a34573c491725599fe62b25be044
    • db1d98e9cca11beea4cfd1bfbe097dffd9fc4cc8b1b02e781863658d8c6f16c7
    • c2e6f2496ab549c258a1d004fb0c5548413c81f5a556611c369d93a75e3835be
    • 263b665a2cf660dc6b9f641e0ed5bf28023b81b6d1b48fc849aae57b02528e7e
    • 3d7199f569a31d3826afd04a2f7d4dd2f692c9731fdf8cdfc8c7e03626bffdaf
    • d2b080b9af5d39d72af149afb065e769b1da8005edfe84237942a1b99f4fa36c
  • URL:
    • hxxps://dempoloka[.]com/
    • hxxps://monusorge[.]com/
    • hxxps://medinamarina[.]com/
    • hxxps://theelitevailcollection[.]com/
    • hxxps://mekanuum[.]com/
    • hxxps://freshenvironmentaldesigns[.]com/
    • hxxps://petshopbook[.]com/

Medidas de contención

  • Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como SIEM, SOAR, IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, por mencionar algunos.
  • Implementar dispositivos de seguridad que permitan identificar y bloquear peticiones maliciosas hacia o desde los equipos de su infraestructura (IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, por mencionar algunos).
  • Generar listas negras que eviten las comunicaciones hacia los indicadores notificados.
  • Monitorear el tráfico de la red para detectar actividad inusual en la misma.
  • Mantener las firmas de los antivirus actualizadas para prevenir una posible infección.
  • Verificar el remitente de cada mensaje de correo electrónico antes de realizar la descarga y acceso de cualquier documento adjunto.
  • Realizar campañas de concientización a los usuarios sobre el uso correcto del correo electrónico.

Referencias