TLP: Amber
NIVEL DE RIESGO – [Alto]
Acción Requerida: Aplicar los indicadores de compromiso descritos en esta alerta en los dispositivos de seguridad de las organizaciones.
Vector de ataque: Correo electrónico.
Impacto: Cifrado de información.

Descripción

Investigadores de una firma de seguridad han detectado nuevas campañas relacionadas con el grupo “FIN11” del cual se ha tenido conocimiento desde 2016 y constantemente ha ido evolucionado sus tácticas, técnicas y procedimientos (TTP) para lograr la infección y evadir la detección. Este grupo posee varias similitudes con “TA505”, sin embargo, hasta el momento los investigadores no han podido confirmar alguna conexión entre estos.

El 14 de octubre de 2020, los informes revelaron nuevas tácticas de FIN11, el cual fue identificado como responsable de campañas de distribución de programas maliciosos y suplantación de identidad a gran escala usando una gran variedad de piezas, incluidos ransomware y programas maliciosos de punto de venta (POS).

FIN11 principalmente se centra en entidades financieras, empresas minoristas y restaurantes, pero recientemente comenzó a comprometer a una gama más amplia de organizaciones en diferentes países.

En estas nuevas campañas, FIN11 está implementado en el ransomware “Clop”, un nuevo sitio en la Dark Web utilizado para que las víctimas realicen el pago de rescate de su información. Los investigadores creen que estas campañas de FIN11 permanecerán activas el resto del 2020 y el año 2021.

FIN11 utiliza múltiples servicios y herramientas de proveedores, incluido programas maliciosos personalizados, servicios relacionados con DNS y certificados de firma de código, que a menudo se pueden comprar en foros o mercados clandestinos. A finales de 2018, FIN11 utilizó “BLUESTEAL”, una herramienta de extracción de memoria de PoS (Point of Sales), para monetizar los ataques.

Entre los años 2019 y 2020 los ataques de spearphishing se han realizado semanalmente utilizando mensajes escritos en los idiomas nativos de las víctimas, entre los que destacan el inglés, español, alemán y coreano. Los mensajes engañaban a la víctima y adjuntaban facturas falsas, supuesta información confidencial, órdenes de compra y venta o documentos bancarios.

Al obtener acceso a la red de una víctima a través de correos electrónicos de phishing, FIN11 instala una puerta trasera en los sistemas e intenta elevar los privilegios a un nivel de administrador. En los casos en que se perdió el acceso, el grupo continuó enviando múltiples campañas de phishing persistentes contra las víctimas, que a menudo resultaban en un nuevo compromiso.

Una vez en la red, el grupo también implementa diferentes herramientas, como los droppers “MINEDOOR”, “SOONBEARD” y “FORKBEARD” para enviar programas maliciosos, los cuales incluyen: “FlawedAmmyy”, “FRIENDSPEAK”, “BARBWIRE”, “AndroMut”, “EMASTEAL”, “FLOWERPIPE”, “SALTLICK” y, actualmente el ransomware Clop.

El programa Clop, cifra y exfiltra los archivos de las víctimas, amenazándolas con publicar y exponer sus datos si no pagan el rescate solicitado a través del sitio Web conocido como “> _CLOP ^ _- LEAKS”. Actualmente, FIN11 está utilizando “NAILGUN”” para instalar Clop en los dispositivos de las víctimas.

En estos últimos meses, tanto FIN11 como “TA505” han enviado campañas de spearphishing donde han implementado FlawedAmmyy y Clop, sin embargo, hasta el momento se desconoce si Clop opera como un modelo de ransomware-as-a-service (RaaS), pero se cree que ambos grupos formaron asociaciones con los operadores de Clop para poder implementar el ransomware y usar el sitio “> _CLOP ^ _- LEAKS”.

A lo largo de los años, las campañas de FIN11 han mejorado y representan una amenaza importante, además, se ha visto que este APT utiliza programas maliciosos conocidos de otros grupos, pero este se distingue no por sus herramientas sino por su persistencia.

Aunque FIN11 es solo uno de los muchos grupos de amenazas activos con motivaciones financieras, su riesgo no debe tomarse a la ligera. FIN11 ha demostrado una gran persistencia en la mejora de los métodos de acceso inicial, compromiso y post-explotación; y es probable que en campañas futuras muestren nuevas técnicas para evadir la detección y aumentar la probabilidad de infección.

Nivel de riesgo

  • [Alto]

Sistemas/tecnologías afectadas:

  • Sistemas Operativos Microsoft Windows.

Indicadores de compromiso (IoCs)

A continuación, se listan los IoCs identificados hasta el momento, relacionados con la campaña reportada en esta alerta:

  • SHA-256:
    • 00E815ADE8F3AD89A7726DA8EDD168DF13F96CCB6C3DAAF995AA9428BFB9ECF1
    • 31829479FA5B094CA3CFD0222E61295FFF4821B778E5A7BD228B0C31F8A3CC44
    • 2F29950640D024779134334CAD79E2013871AFA08C7BE94356694DB12EE437E2
    • 8E1BBE4CEDEB7C334FE780AB3FB589FE30ED976153618AC3402A5EDFF1B17D64
    • 408AF0AF7419F67D396F754F01D4757EA89355AD19F71942F8D44C0D5515EEC8
    • BC59FF12F71E9C8234C5E335D48F308207F6ACCFAD3E953F447E7DE1504E57AF
    • 3EE9B22827CB259F3D69AB974C632CEFDE71C61B4A9505CEC06823076A2F898E
    • CFF818453138DCD8238F87B33A84E1BC1D560DEA80C8D2412E1EB3F7242B27DA
    • 0D19F60423CB2128555E831DC340152F9588C99F3E47D64F0BB4206A6213D579
    • E48900DC697582DB4655569BB844602CED3AD2B10B507223912048F1F3039AC6
    • 7ADA1228C791DE703E2A51B1498BC955F14433F65D33342753FDB81BB35E5886
    • C150954E5FDFC100FBB74258CAD6EF2595C239C105FF216B1D9A759C0104BE04
    • 102010727C6FBCD9DA02D04EDE1A8521BA2355D32DA849226E96EF052C080B56
    • D0CDE86D47219E9C56B717F55DCDB01B0566344C13AA671613598CAB427345B9
    • 35B0B54D13F50571239732421818C682FBE83075A4A961B20A7570610348AECC
  • Direcciones IP
    • 95[.]216[.]212[.]35
    • 93[.]157[.]63[.]48
    • 176[.]121[.]14[.]175
    • 135[.]181[.]43[.]48
    • 135[.]181[.]87[.]102
    • 185[.]163[.]47[.]177
    • 185[.]33[.]86[.]8
    • 93[.]157[.]62[.]61
    • 93[.]157[.]63[.]29
    • 142[.]11[.]202[.]44
  • URL
    • shortcut-links[.]com
    • shared-filez[.]com
    • see-back[.]com
    • sdsddgu[.]xyz
    • pssd-ltdgroup[.]com
    • onehub-cdn[.]com
    • onedrives-live[.]com
    • one-drive-ms[.]com
    • news-389767-mshome[.]com
    • news-37876-mshome[.]com
    • nels-ltd[.]com
    • neboley[.]cn
    • jopanovigod[.]xyz
    • groms-dat[.]com
    • enroter1984[.]xyz
    • short-share[.]com
    • dropbox-cdnt[.]com
    • dropbox-cdnn[.]com
    • canttouchtthis[.]cn
    • bromide[.]xyz
    • bak-home[.]com
    • asugahwy31[.]xyz
    • asfgu3ha84vzg[.]cn
    • alana[.]jobs
    • near-back[.]com
    • enroter1984[.]cn
    • store-000846-live[.]com
    • teahgiaj3ig[.]cn
    • static-downloads[.]com
    • clients-share[.]com
    • dyn-downloads[.]com
    • getlink-service[.]com
    • corp-downloads[.]com
    • mslinks-downloads[.]com
    • us-microsoft-store[.]com
    • rmt-downloads[.]com
    • fasts-downloads[.]com
    • corp-storage[.]com
    • store-downloads[.]com
    • store-003774-live[.]com
    • shr-links[.]com
    • s77657453-onedrive[.]com
    • sharefileszz[.]com
    • sdff-corp[.]com
    • west-dat[.]com
    • www[.]bluelook[.]com
    • zodiaq[.]toilamit[.]com
    • s89065339-onedrive[.]com
    • s3-ap-southeast-2-amazonaws[.]com
    • windowslivesoffice[.]ddns[.]net
    • s3-ap-southeast-1-amazonaws[.]com
    • sl-downloads[.]com
    • downloads-links[.]com
    • filessz[.]com
    • def-update[.]com
    • eu-download[.]com
    • 365online-message-box[.]com
    • clietns-download[.]com
    • sharespoint-en[.]com
    • get-downloads[.]com
    • dysoool[.]com
    • rdmsom[.]com

Medidas de contención

  • Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
  • Implementar dispositivos de seguridad que permitan identificar y bloquear peticiones maliciosas hacia o desde los equipos de su infraestructura (IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, por mencionar algunos).
  • Generar listas negras que eviten las comunicaciones hacia los indicadores notificados.
  • Mantener actualizadas las herramientas de antimalware.
  • Evitar descargar archivos adjuntos de correos electrónicos provenientes de remitentes desconocidos o sospechosos.
  • Concientizar a usuarios finales respecto a este tipo de campañas.

Referencias