TLP: Amber
NIVEL DE RIESGO – [Alto]
Acción Requerida: Aplicar los indicadores de compromiso descritos en esta alerta en los dispositivos de seguridad de las organizaciones.
Vector de ataque: Remoto.
Impacto: Robo de información confidencial.

Descripción

El grupo de ciberdelincuentes llamado “APT41” o también conocido como “Barium”, “Winnti”, “Wicked Panda” o “Wicked Spider” ha dirigido recientemente una campaña de ataques que intentan comprometer tecnologías y aplicaciones Cisco, Citrix y Zoho, en más de 75 organizaciones de los países de Estados Unidos, Australia, Brasil, Chile, Hong Kong, India, Indonesia, Japón, Malasia, Pakistán, Singapur, Corea del Sur, Taiwán, Tailandia y Vietnam.

Este grupo de ciberdelincuentes, financiado por el gobierno de China es buscado por las autoridades de EE.UU. De acuerdo con las investigaciones se sabe que APT41 está conformado por siete integrantes, de los cuales dos han sido detenidos en Malasia y los cinco restantes tienen su base de operación en China.

En los dispositivos Citrix NetScaler/ADC, APT41 aprovecha la vulnerabilidad CVE-2019-19781 (CVSS v3.1: 9.8 [Crítico]), la cual permite a un atacante no autenticado ejecutar código arbitrario en el dispositivo afectado. Por otro lado, en “Zoho ManageEngine Desktop Central”, APT41 aprovecha la vulnerabilidad CVE-2020-10189 (CVSS v3.1: 9.8 [Crítico]), que permite la ejecución remota de código en instalaciones afectadas para obtener privilegios de sistema. Es importante mencionar que hasta el momento no se sabe con certeza que falla de seguridad aprovecha APT41 en los routers de Cisco.

Además, los investigadores consideran que APT41 está conformado por dos grupos llamados “Grayfly” y “Blackfly”. Grayfly es conocido por utilizar en sus ataques familias de programas maliciosos como Barlaiy/Poisonplug y Crosswalk/ProxIP con fines de espionaje contra sectores de telecomunicaciones, finanzas, salud, hotelería, salud, entre otros. Por otro lado, el grupo Blackfly utiliza los programas maliciosos PlugX/Fast, Winnti/Pasteboy y Shadowpad para ataques en industria de videojuegos de computadora. A pesar de lo anterior, ambos grupos son relacionados debido a que personajes de estos trabajaron para la misma empresa y han realizado ataques contra las mismas organizaciones de videojuegos.

Nivel de riesgo

  • [Alto]

Sistemas/tecnologías afectadas

  • Dispositivos Citrix NetScaler/ADC
  • Routers Cisco
  • Software Zoho ManageEngine Desktop Central

Indicadores de compromiso (IoCs)

A continuación, se listan los IoCs identificados hasta el momento, relacionados con la campaña reportada en esta alerta:

  • SHA-256:
    • SHA-256:
    • 9436d1602817a27eabeeec37aeea231d1c51374967fab88111aec6f69fd91266
    • 09f43c6da5bd098b843782e60aa4bb3272d8d980ca518e2198a51935442aeb40
    • 723f149e48dcb0d56634a0777c10e22544cd7fa20fb6ec8d18603d7f2853de13
    • 6e4bc3236f579646a8ddfcaa1705b1fee51c54e4b7b5df73471ffe07c25b67ce
    • 7dffb681cc182f497129f54e6127589f654ca46d7cba4ba71080c853454c27b5
    • 76bcda2ebfc327af2654b33e66860e0300e69e6c573a1f3b61db68826e6c2558
    • 8e57ac0c473975e2c057fe3d540a42c56c943bfd429fff084fac177f3a22b947
    • 50749284ea13d19eb7bcbf97c67fdcb711457a6ff2df1f71ebc66256787e164c
    • fc052b4ed84a45a1b0bcad8b5ffa18a5f57d753f0570ac627612b145a7cf7207
    • b3547b6378168eb22e72cf1125c0f68c8159a001a7737ea3bb257fe1bc6d90c8
    • 561294e08cadd3b03da9eec271bd0bf4d20a6509bed80f40f483bc7e17caa678
    • bd739804e7a6e43a4338495603d96e230c48e020435c334354bb6676b5b

Medidas de contención

  • Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
  • Definir reglas basadas en listas blancas, que permitan únicamente conexiones autorizadas entrantes y salientes desde las plataformas tecnológicas.
  • Mantener actualizadas las firmas de los antivirus y los sistemas operativos.

Medidas de erradicación

  • Aplicar las actualizaciones liberadas por los fabricantes a los dispositivos que intenta aprovechar APT41.

Referencias