TLP: Amber
NIVEL DE RIESGO – [Alto]
Acción Requerida: Aplicar los indicadores de compromiso descritos en esta alerta en los dispositivos de seguridad de las organizaciones.
Vector de ataque: Remoto.
Impacto: Robo de documentos confidenciales.

Descripción

Investigadores de una firma de seguridad han encontrado una nueva puerta trasera (Backdoor) llamada “Crutch”, la cual pertenece al grupo de ciberdelincuentes “Turla APT”, activo desde al menos hace 6 años y el cual es capaz de exfiltrar documentos y varios archivos confidenciales.

Crutch fue encontrada en la red de un ministerio de asuntos exteriores de la Unión Europea, por lo que se considera que solo es usada para objetivos muy específicos. En este ataque, el grupo extrajo documentos confidenciales y archivos a las cuentas de “Dropbox” de los atacantes.

Cabe mencionar que además de extraer los archivos, Turla APT se enfocó en hacer reconocimiento, movimientos laterales y espionajes dentro de la red objetivo. Los expertos realizaron una investigación sobre esta puerta trasera, encontrando que ha ido evolucionando a través de los años.

De manera general, la puerta trasera de Crutch comienza a operar a través de comandos ejecutados manualmente después de que se accede a la red, pues en campañas anteriores se ha observado que primeramente usan una herramienta llamada “Skipper” y después de unos meses implementan Crutch para comenzar con el movimiento lateral y comprometer otras máquinas. Cabe mencionar que hasta el momento se desconoce la forma en cómo Turla se infiltra en la red.

Posteriormente Crutch se comunica con una cuenta de Dropbox codificada mediante “API HTTP”, en donde es posible leer y escribir archivos o ejecutar procesos adicionales. La persistencia en el equipo es dada a través del secuestro de una DLL en Chrome, OneDrive o Firefox e incluso en otras versiones de Crutch se ocupan canales del centro de comando y control (C&C) de recuperación usando GitHub.

Los documentos principalmente buscados son aquellos con extensión “.PDF”, “.RTF”, “.DOC” y “.DOCX”, los cuales se colocan en un archivo cifrado para después ser exportados a la cuenta de Dropbox controlada por el atacante.

En una de las versiones más recientes encontradas, Crutch ha agregado capacidades de red, ya no admite comandos de puerta trasera manuales, y carga automáticamente los archivos encontrados en unidades locales.

El grupo Turla APT, mejora continuamente las puertas traseras que utiliza, así como desarrollan nuevas, que aún no han sido documentadas por los especialistas.

Nivel de riesgo

  • Alto

Sistemas/tecnologías afectadas:

  • Sistema Operativo Microsoft Windows.

Indicadores de compromiso (IoCs)

A continuación, se listan los IoCs identificados hasta el momento, relacionados con la campaña reportada en esta alerta:

  • SHA-1:
    • A010D5449D29A1916827FDB443E3C84C405CB2A5
    • 2FABCF0FCE7F733F45E73B432F413E564B92D651
    • 778AA3A58F5C76E537B5FE287912CC53469A6078
    • A4AFF23B9A58B598524A71F09AA67994083A9C83
  • URLs:
    • hotspot.accesscam[.]org
    • highcolumn.webredirect[.]org
    • ethdns.mywire[.]org
    • theguardian.webredirect[.]org
    • hxxps[:]//raw[.]githubusercontent[.]com/ksRD18pro/ksRD18/master/ntk.tmp
  • Nombres de archivos:
    • C:\Intel\outllib.dll
    • C:\Intel\lang.nls
    • C:\Intel\~intel_upd.exe
    • C:\Intel\~csrss.exe
    • C:\Archivos de programa(x86)\Google\Chrome\Application\dwmapi.dll
    • C:\Archivos de programa(x86)\Mozilla Firefox\rasadhlp.dll
    • % LOCALAPPDATA% \ Microsoft\OneDrive\dwmapi.dll
  • Servidores C&C:
    • arinas[.]tk
    • bedrost[.]com
    • branter[.]tk
    • bronerg[.]tk
    • celestyna[.]tk
    • crusider[.]tk
    • davilta[.]tk
    • deme[.]ml
    • dixito[.]ml
    • duke6[.]tk
    • elizabi[.]tk
    • foods.jkub[.]com
    • hofa[.]tk
    • hunvin[.]tk
    • lakify[.]ml
    • lindaztert[.]net
    • misters[.]ml
    • pewyth[.]ga
    • progress.zyns[.]com
    • sameera[.]gq

Medidas de contención

  • Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
  • Implementar dispositivos de seguridad que permitan identificar y bloquear peticiones maliciosas hacia o desde los equipos de su infraestructura (IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, por mencionar algunos).
  • Generar listas negras que eviten las comunicaciones hacia los indicadores notificados.
  • Monitorear el tráfico de la red para detectar actividad inusual en la red.
  • Mantener las firmas actualizadas de los antivirus y sistemas operativos para prevenir una posible infección.

Referencias