TLP: Amber
NIVEL DE RIESGO – [Alto]
Acción Requerida: Aplicar los indicadores de compromiso descritos en esta alerta en los dispositivos de seguridad de las organizaciones.
Vector de ataque: Remoto.
Impacto: Robo de información confidencial.

Descripción

Investigadores de una firma de seguridad han detectado desde finales de septiembre de este año, una nueva campaña dirigida a países de América Latina relacionada con el grupo malicioso conocido como “TA505”, el cual ha tenido actividad en años anteriores usando la técnica de “Malspam” para distribuir troyanos bancarios como “Dridex”, o ransomware como “Locky”, “Philadelphia” y “GlobeImposter”.

El grupo TA505 es conocido por realizar modificaciones constantes en sus campañas con el fin de ir evolucionando junto con los mecanismos de defensa de las organizaciones y de esta manera conseguir evadirlos al momento de comprometerlas.

En esta campaña maliciosa utilizaron un “dropper” que descarga los archivos que permiten infectar al equipo con un script de PowerShell, el cual realiza modificaciones en el registro de Windows para permitir el acceso a través del protocolo RDP (Remote Desktop Protocol ). Este dropper es capaz de establecer persistencia, habilitar opciones adicionales en el equipo y escalar privilegios.

Posterior a la descarga del programa se ejecuta el backdoor “ServHelper” quien realiza una variedad de acciones, entre ellas el envío de información del equipo al servidor de Comando y Control (C&C) a través de solicitudes POST vía HTTPS

Esta nueva campaña permite al grupo TA505 escalar privilegios en el sistema, instalar y configurar nuevos servicios y cuentas de usuario, manipular el registro de Windows, habilitar el servicio RDP y filtrar información confidencial del equipo.

Nivel de riesgo

  • [Alto]

Sistemas/tecnologías afectadas:

  • Sistema Operativo Microsoft Windows.

Indicadores de compromiso (IoCs)

A continuación, se listan los IoCs identificados hasta el momento, relacionados con la campaña reportada en esta alerta:

  • SHA-256:
    • 5e212c0596f2713b44141fa6f3d563cecd5cfdabcdd5b64b3d573b28012b9bed
    • 12fcd1479e8a25ebc58c60b7d86f6d84925ebff076a2f4c0bd41becf6540346f
    • 28f7b949d06fcd1b01e5667f338659b744451a48c027f1b4a46ae2bc26f8f155
    • 40c997e8d799f10115ae08bc20f07222da288f73bfae47b0e228526d559c1237
    • 647df9281a9416d4518c124f593e8172e588074b24b25c3b182e1715f36d6b2e
    • 15327ea9f172f0a7b14cad80a28bcd05d639b8f1692293fb27dfd55e78b43c69
    • 387151d711382e2ded59ac5cce82704f31b699a0a8edc3b0b9c43373f9102f60
    • aa1bd5df2313c90588d3b9ce7277ebd3d968b9adf2f8cefc63bddea2fb5d8a8d
    • c23af64faf1de87e21599b5b91c5cd8331274f0991df06ca28ea8b2af882b718
    • d945948b8d96cd7a869488d04b54c96a61ead473068fab77ed3b32ae38e152d0
    • db2957a62f4081b740d2044d5b8b20176e97fc4feee91bdb1f0d3b233f0cbde2
    • decab6a493554343028a55520afbdb9781738735a38610839c60b9b89f9e7bc3
    • e353951c92faae1f454f636e7f85cd8dd20fe1f3db2be3c0eb3563ea318b80ce
    • ec20503b8d898dbb5386abef1f04af9a673071d4d81b5dfaf9cce08df3f47501
    • 1b011dfa007006b77a16d4bf8a2c20fa3118c3e11f72ab8dec4ac09370b2598c
    • 2ead362fd6e04c8bbe0a70ed3352308e4b5ec6146e98a433357390b25159a7b6
    • 2fd3b4665cd9703d29c1d5962bfd5ffb50c6978acf99d14bfc63c9e0e0cc8c02
    • 9bdc767ff72b642c010f6e2e25691797376bb93de2b4095351f295077872e02b
    • 13c6282241ada0629abfc3f29964aed31026c394ef715b60038851d5f910ca82
    • 72ef7a508a49bab23aa466e5dab80039d75a42a1ffb814321e961be490931642
    • 74dd7249e1ef27e48d7b49ad8ec580c804412290b250fda5c7c565bf69c61ac7
    • 90c07ffc76c4d06ac66729f5a62fa234b9a110be2a6c27a090a0774fd06f14e6
    • 365a0d0de60b1a56980ac9a94221096d00c4b388fcf3cee6b0ba98dfdb289089
    • 559e9c0238fb5802a3681821b065a4d6e38e1558cbb6b6c486043ef9a5be52ff
    • 765d659de7ea750d1610e4df04cc2ec54a6728472eff583074900503d95c0e08
    • 833ca3b9248ff9c2166e3c6f11bd5c2635f4b3da4a0780c6308a593840b4c6e2
    • 4954f81bb16dd1b91648a0b45e8696f375001f13d64cbed0cc87c0f390cebf22
    • 32828c0502f9d8b2f7fa8402e6f4f2f463d7b25636f5c87702898d1ffd0574c2
    • 178008285b115dde8a6da7acf736b8bb2d4e88d5d36a632d704ecac10993ddd3
    • 8024970091194df5681b2e6982b4d921f66c2c37f5fc7c822ede0239f0173078
    • a2e455c7d26ab747f699a718529b05818743280cdc9c6dded2c811127a6b32a3
    • a71c0e7f673ce5e786f6dfc10ad7f3f10e39bdce2a3d14102b1f91db82d527d6
    • b4e4692207c93aa12b220ffb5e63a249a48bb167a2f3aeff265e91c4b6336d3f
    • bc6700cc952c79281c432c16ad25d259cf9e586d212325059ae8ee7321732d59
    • de9f92deaa968ceebf9c42d4961388ee5e5fbf1c7fb9020968fe9f50afabcdc5
    • e36bbe8b14612735b39ee654f36b7bdbf71895d635699b02118ea318c375ecb1
    • e5389c68852629b7cf916867fdbdaf22675d2cf995debe6337a18a0124ed0854
    • 54acc99a1c3cd07cc6ece6f86795e5a19194957c11c634a5f0ea1fc52e3d08f3
    • 5e212c0596f2713b44141fa6f3d563cecd5cfdabcdd5b64b3d573b28012b9bed
  • URLs:
    • hxxp://93[.]157[.]63[.]48/pop[.]exe
    • hxxp://185[.]163[.]47[.]177/unsigned[.]exe
    • hxxp://95[.]216[.]212[.]35/googlemap[.]exe
    • hxxp://135[.]181[.]43[.]48/googlemap[.]exe
    • hxxp://135[.]181[.]87[.]102/googlemap[.]exe
    • hxxp://93[.]157[.]63[.]29/sec[.]exe
    • hxxp://93[.]157[.]63[.]29/scm[.]exe
    • hxxp://alana[.]jobs/wp-content/unsigned[.]exe
    • hxxp://93[.]157[.]62[.]61/sem[.]exe
    • hxxp://93[.]157[.]62[.]61/sema[.]exe
    • hxxp://jopanovigod[.]xyz/f8h7ghd8gd8/index[.]php
    • hxxp://bromide[.]xyz/ssh[.]zip
    • hxxp://sdsddgu[.]xyz/khkhkt
    • hxxps://canttouchtthis[.]cn/contact/b[.]php
    • asugahwy31[.]xyz
    • asfgu3ha84vzg[.]cn
    • hxxps://enroter1984[.]cn/bif/b[.]php
    • enroter1984[.]xyz
    • eahgiaj3ig[.]cn
    • neboley[.]c

Medidas de contención

  • Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
  • Implementar dispositivos de seguridad que permitan identificar y bloquear peticiones maliciosas hacia o desde los equipos de su infraestructura (IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, por mencionar algunos).
  • Generar listas negras que eviten las comunicaciones hacia los indicadores notificados.
  • Mantener actualizadas las herramientas de antimalware.
  • Monitorear el protocolo RDP periódicamente para verificar que no ha sufrido cambios en las configuraciones.
  • Revisar periódicamente los logs de los dispositivos de seguridad perimetral en busca de alertas que puedan identificar un compromiso en la red.
  • Concientizar a usuarios finales respecto a este tipo de campañas.

Referencias