TLP: Amber
NIVEL DE RIESGO – [Alto]
Acción Requerida: Implementar los indicadores de compromiso descritos en esta alerta en los dispositivos de seguridad de las organizaciones.
Vector de ataque: Remoto.
Impacto: Ciberespionaje.

Descripción

Una firma de ciberseguridad identificó una campaña maliciosa a gran escala que dirige sus ataques a múltiples compañías localizadas en al menos 17 regiones alrededor del mundo, incluidos Estados Unidos, Reino Unido, México, Alemania, Francia, Emiratos Árabes, China, India, Tailandia, Japón, Taiwán y Singapur. Las compañías afectadas son de diferentes sectores incluyendo las farmacéuticas, de ingeniería, gubernamentales, manufactureras, productos industriales, electrónicas, automotriz, entre otras.

Esta campaña ha estado activa desde hace más de un año y se le ha atribuido al grupo APT-10 también conocido como “Cicada”, es una serie de ataques bastante amplia y abarca un gran número de víctimas alrededor del mundo. Si bien esta campaña está dirigida a varios países, la firma asegura que las organizaciones víctimas tienen vínculos con empresas japonesas.

De acuerdo con las investigaciones el grupo malicioso utiliza una gran cantidad de técnicas para obtener acceso a la red, los cuales van desde el robo de credenciales, hasta la instalación de programas maliciosos. La cantidad de tiempo que los atacantes están en la red de las víctimas varía, ya que en ocasiones se identificó que el grupo pasó una gran cantidad de tiempo en las redes de algunas víctimas, mientras que en otros solo estuvieron algunos días

Una vez en el equipo de la red objetivo, el grupo agrega una DDL maliciosa “side-loading” la cual es utilizada para evitar ser detectados por el antivirus y otras soluciones de seguridad, además, también está DDL se emplea para instalar el programa malicioso “Backdoor.Hartip”.

Asimismo, en los últimos meses, este grupo ha aprovechado la falla de seguridad CVE-2020-1472 (CVSS v3.1 10.0 [Crítico]), también conocida como Zerologon, presente en Windows Server y corregida por Microsoft en el mes de agosto. Esta vulnerabilidad les permite a los atacantes tomar el controlador de dominio, robar credenciales de acceso, hacerse pasar por cualquier equipo del dominio, deshabilitar funciones de seguridad de Netlogon y cambiar contraseñas de un equipo en el Directorio Activo (AD).

Esta campaña tiene como objetivo obtener información confidencial de las organizaciones y utiliza una gran variedad de herramientas y técnicas sencillas para filtrar la información, como son el uso de “Csvde” el cual sirve para extraer archivos de directorios, “Ntdsutil” para el robo de credenciales, encriptación de archivos RAR para ocultar la información, además, han estado utilizando un servicio legítimo de alojamiento de archivos para filtrar la información y evitar la detección.

Nivel de riesgo

  • [Alto]

Sistemas/tecnologías afectadas:

  • Sistemas Operativos Microsoft Windows

Indicadores de compromiso (IoCs)

A continuación, se listan los IoCs identificados hasta el momento, relacionados con la campaña reportada en esta alerta:

  • SHA-256:
    • 8b6ad87e408e38fc1db868da6e643f616dac59fbae08382c4a7dd4ea119ea057
    • d5e38ac1187c607e701f506c4015bde94be6c485d566d004d810d7565c188743
    • 26460aa2df29f766cb5712ebca44cb3365ebfdb5cae0b2ec36ef1e3568911d6a
    • cdec58a57381bb8c1e374efb0bf1897d89d1e096d2b704820893859d9f08d086
    • ea9d994de91389280b334f2af991baa49ca613a6bf898d7bb25f88cc66488f5c
    • 3f5b623222c755d59052fab9e096c9d2b9a47d06b3a5de62fb9a66750af4efc4
    • 27873e3d4ec3a0e7d66bee8bda4d65cc8fcefbdca2c8d5c049372a63ff0bc2ed
    • cf3ae16b01f7eb129e0e7387ac7feb61ecfce5db0d7494b3962c02c681f504d4
    • 578ea26729b43fd976365a6700c80950e0b71a39e67bfff715423d60ae6bfab9
    • 03ab1588acaabdb509e9db7cfe1e60522bc8baa13bbd35160b4bde7d1b6402ef
    • 4a08eb0eb1f4ebb54bceabbebcb7da48238f0278ae5421326ee65ec7951e4239
  • Direcciones IP:
    • 178.73.210[.]238
    • 188.119.112[.]225
    • 213.252.246[.]245
    • 45.14.224[.]93
    • 45.67.230[.]134
    • 81.7.7[.]159
    • 95.179.143[.]32

Medidas de contención

  • Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
  • Implementar dispositivos de seguridad que permitan identificar y bloquear peticiones maliciosas hacia o desde los equipos de su infraestructura (IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, por mencionar algunos).
  • Generar listas negras que eviten las comunicaciones hacia los indicadores notificados.
  • Monitorear la actividad en puntos finales, servidores y firewalls para detectar actividad inusual
  • Mantener las firmas actualizadas de los antivirus y sistemas operativos para prevenir una posible infección.

Referencias