Descripción
Investigadores de una firma de seguridad descubrieron dos nuevas puertas traseras (backdoors) en Powershell, esto mientras realizaban una investigación a servidores de Microsoft Exchange, los cuales fueron víctimas de un ciberataque en Kuwait realizado por un grupo llamado “xHunt”, también conocido como “Hive0081”, el cual ha tenido actividad desde 2018.
En la última campaña realizada por xHunt, los atacantes utilizaron dos puertas traseras identificadas como “TriFive” y “Snugy”, las cuales son scripts de PowerShell que brindan acceso al dispositivo Exchange comprometido, usando diferentes servidores de comando y control (C&C) para comunicarse con los usuarios maliciosos.
De acuerdo con las investigaciones, el servidor comprometido tenía comandos sospechosos que se ejecutaban a través del proceso de “Internet Information Services (IIS) w3wp.exe”, además de dos tareas programadas creadas con el nombre de “ResolutionHosts” y “ResolutionsHosts”, para ejecutar scripts de PowerShell maliciosos en diferentes tiempos y con ello generar persistencia en los equipos.
En el ataque a la organización de Kuwait, el grupo malicioso utilizó borradores de cuentas de correo compartidos para enviar y recibir información. Primeramente, el atacante crea un borrador con el asunto “555” y un mensaje codificado con base64 el cual se coloca en la carpeta “Elementos eliminados”, posteriormente TriFive a través de PowerShell, inicia sesión del correo electrónico y busca en la misma carpeta un correo con el asunto 555 lo descifra y ejecuta el comando enviado por el atacante, finalmente TriFive regresa el resultado al atacante de la misma manera.
Por otro lado, la puerta trasera Snugy utiliza el túnel DNS para comunicarse con su servidor de comando y control (C&C) mediante la emisión de búsquedas de registros “DNS”, además trabaja en conjunto con TriFive para ejecutar, cifrar y descifrar procesos. Este código malicioso tiene las funciones de convertir texto a hexadecimal, generar una cadena de caracteres aleatorios en mayúsculas y minúsculas, y extraer la dirección IP al usar ciertos comandos.
Cabe mencionar que hasta el momento los investigadores desconocen la manera en cómo los atacantes infectaron el servidor, sin embargo, ellos afirman que esta campaña sigue activa y seguirá afectando a otras organizaciones en todo el mundo.
Nivel de riesgo
- [Alto]
Sistemas/tecnologías afectadas:
- Sistema Operativo Microsoft Exchange Server.
Indicadores de compromiso (IoCs)
A continuación, se listan los IoCs identificados hasta el momento, relacionados con la campaña reportada en esta alerta:
- SHA-256:
- 407e5fe4f6977dd27bc0050b2ee8f0
4b398e9bd28edd9d4604b782a945f8 120f - c18985a949cada3b41919c2da274e0
ffa6e2c8c9fb45bade55c1e3b6ee9e 1393 - 6c13084f213416089beec7d49f0ef4
0fea3d28207047385dda4599517b56 e127 - efaa5a87afbb18fc63dbf4527ca34b
6d376f14414aa1e7eb962485c45bf3 8372 - a4a0ec94dd681c030d66e879ff475c
a76668acc46545bbaff49b20e17683 f99c
- 407e5fe4f6977dd27bc0050b2ee8f0
- Dominios:
- deman1 [.] icu
- hotsoft [.] icu
- uplearn [.] arriba
- lidarcc [.] icu
- sharepoint-web [.] com
- ns1.hotsoft [.] icu
- ns2.hotsoft [.] icu
- ns1.uplearn [.] arriba
- ns2.uplearn [.] arriba
- ns1.lidarcc [.] icu
- ns2.lidarcc [.] icu
- ns1.deman1 [.] icu
- ns2.deman1 [.] icu
- ns1.alforatsystem [.] com
- ns2.alforatsystem [.] com
- Direcciones IP:
- 198.98.48[.]181
Medidas de contención
- Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
- Implementar dispositivos de seguridad que permitan identificar y bloquear peticiones maliciosas hacia o desde los equipos de su infraestructura (IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, por mencionar algunos).
- Generar listas negras que eviten las comunicaciones hacia los indicadores notificados.
- Monitorear el tráfico de la red para detectar actividad inusual en la red.
Referencias