TLP: Amber
NIVEL DE RIESGO – [Alto]
Acción Requerida: Aplicar los indicadores de compromiso descritos en esta alerta en los dispositivos de seguridad de las organizaciones.
Vector de ataque: Remoto.
Impacto: Ejecución de código.

Descripción

Investigadores de una firma de seguridad descubrieron dos nuevas puertas traseras (backdoors) en Powershell, esto mientras realizaban una investigación a servidores de Microsoft Exchange, los cuales fueron víctimas de un ciberataque en Kuwait realizado por un grupo llamado “xHunt”, también conocido como “Hive0081”, el cual ha tenido actividad desde 2018.

En la última campaña realizada por xHunt, los atacantes utilizaron dos puertas traseras identificadas como “TriFive” y “Snugy”, las cuales son scripts de PowerShell que brindan acceso al dispositivo Exchange comprometido, usando diferentes servidores de comando y control (C&C) para comunicarse con los usuarios maliciosos.

De acuerdo con las investigaciones, el servidor comprometido tenía comandos sospechosos que se ejecutaban a través del proceso de “Internet Information Services (IIS) w3wp.exe”, además de dos tareas programadas creadas con el nombre de “ResolutionHosts” y “ResolutionsHosts”, para ejecutar scripts de PowerShell maliciosos en diferentes tiempos y con ello generar persistencia en los equipos.

En el ataque a la organización de Kuwait, el grupo malicioso utilizó borradores de cuentas de correo compartidos para enviar y recibir información. Primeramente, el atacante crea un borrador con el asunto “555” y un mensaje codificado con base64 el cual se coloca en la carpeta “Elementos eliminados”, posteriormente TriFive a través de PowerShell, inicia sesión del correo electrónico y busca en la misma carpeta un correo con el asunto 555 lo descifra y ejecuta el comando enviado por el atacante, finalmente TriFive regresa el resultado al atacante de la misma manera.

Por otro lado, la puerta trasera Snugy utiliza el túnel DNS para comunicarse con su servidor de comando y control (C&C) mediante la emisión de búsquedas de registros “DNS”, además trabaja en conjunto con TriFive para ejecutar, cifrar y descifrar procesos. Este código malicioso tiene las funciones de convertir texto a hexadecimal, generar una cadena de caracteres aleatorios en mayúsculas y minúsculas, y extraer la dirección IP al usar ciertos comandos.

Cabe mencionar que hasta el momento los investigadores desconocen la manera en cómo los atacantes infectaron el servidor, sin embargo, ellos afirman que esta campaña sigue activa y seguirá afectando a otras organizaciones en todo el mundo.

Nivel de riesgo

  • [Alto]

Sistemas/tecnologías afectadas:

  • Sistema Operativo Microsoft Exchange Server.

Indicadores de compromiso (IoCs)

A continuación, se listan los IoCs identificados hasta el momento, relacionados con la campaña reportada en esta alerta:

  • SHA-256:
    • 407e5fe4f6977dd27bc0050b2ee8f04b398e9bd28edd9d4604b782a945f8120f
    • c18985a949cada3b41919c2da274e0ffa6e2c8c9fb45bade55c1e3b6ee9e1393
    • 6c13084f213416089beec7d49f0ef40fea3d28207047385dda4599517b56e127
    • efaa5a87afbb18fc63dbf4527ca34b6d376f14414aa1e7eb962485c45bf38372
    • a4a0ec94dd681c030d66e879ff475ca76668acc46545bbaff49b20e17683f99c
  • Dominios:
    • deman1 [.] icu
    • hotsoft [.] icu
    • uplearn [.] arriba
    • lidarcc [.] icu
    • sharepoint-web [.] com
    • ns1.hotsoft [.] icu
    • ns2.hotsoft [.] icu
    • ns1.uplearn [.] arriba
    • ns2.uplearn [.] arriba
    • ns1.lidarcc [.] icu
    • ns2.lidarcc [.] icu
    • ns1.deman1 [.] icu
    • ns2.deman1 [.] icu
    • ns1.alforatsystem [.] com
    • ns2.alforatsystem [.] com
  • Direcciones IP:
    • 198.98.48[.]181

Medidas de contención

  • Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
  • Implementar dispositivos de seguridad que permitan identificar y bloquear peticiones maliciosas hacia o desde los equipos de su infraestructura (IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, por mencionar algunos).
  • Generar listas negras que eviten las comunicaciones hacia los indicadores notificados.
  • Monitorear el tráfico de la red para detectar actividad inusual en la red.

Referencias