TLP: Amber
NIVEL DE RIESGO – [Alto]
Acción Requerida:Aplicar los indicadores de compromiso descritos en esta alerta en los dispositivos de seguridad de las organizaciones.
Vector de ataque: Remoto.
Impacto: Robo de información confidencial.

Descripción

Una firma de seguridad ha descubierto actividad de ciberespionaje relacionada con el grupo “APT Palmerworm”, o también conocido como “BlackTech”, quienes han dirigido sus ataques a diferentes sectores como son medios de comunicación, construcción, ingeniería, electrónica y financiero.

Este grupo de ciberdelincuentes hasta hace poco dirigía sus ataques a países asiáticos como China, Taiwán y Japón, sin embargo, en estas semanas se ha detectado campañas contra EE.UU.

APT Palmerworm es caracterizado por usar diferentes tipos de puertas traseras (backdoors), así como herramientas de reconocimiento de red y el programa “PuTTy” para realizar la intrusión a la red objetivo. Además, el grupo malicioso hace uso de una técnica conocida como “Living off the Land” (LotL) que consiste en utilizar aplicaciones legitimas que contienen programas maliciosos con firmadas digitales robadas, esto para no ser detectados por los antivirus o algún otro programa de seguridad. También se sabe que Palmerworm hace uso de otras herramientas como son: PSExec, SNScan y WinRAR.

Cabe mencionar que hasta el momento no se tiene claro las intenciones de este grupo, o sus vectores de ataques en esta campaña contra EE.UU. Aunque se ha observado que en ataques anteriores utilizan técnicas de spear-phishing para distribuir código malicioso, con el objetivo de capturar y filtrar información confidencial.

Nivel de riesgo

  • [Alto]

Sistemas/tecnologías afectadas:

  • Sistema Operativo Microsoft Windows.

Indicadores de compromiso (IoCs)

A continuación, se listan los IoCs identificados hasta el momento, relacionados con la campaña reportada en esta alerta:

  • MD5:
    • c2452dea557e3d6fc8ac61b8126f8ea2
    • 2962a89c61c01b48849f8f5ad6b9e7e4
    • 2f8b90170a52ee8dd305641a30e25604
    • 0263cd7a6b920e83cebd8f4469d48038
    • 50e358d44420ad65c05d24f6b1fa5346
  • SHA-1:
    • ca3e90e188ba377718f214ecd00f8b774fa6c986
    • d586a55723c12cce3687db31a59af69b2373198e
    • c08dab41fc5006020b370bb0c123f0023af6bf5b
    • e7ee07f06806085621700fd68b1e926d066c2782
    • c413d109c15d0e736c2b71cfff24ca8b7368c53d
  • SHA-256:
    • 3277e3f370319f667170fc7333fc5e081a0a87cb85b928219b3b3caf7f1e549c
    • 485d5af4ad86e9241abd824df7b3f7d658b1b77c7dcc3c9b74bfe1ddc074c87d
    • 4c05ee584530fd9622b9e3be555c9132fad961848ea215ecb0dd9430df7e4ed8
    • 50ba9a2235b9b67e16e6bd26ae042a958d065eb2c5273f07eee20ec86c58a653
    • 5818bfe75d73a92eb775fae3b876086a9e70e1e677b7c162b49fb8c1cc996788
    • 5a35672f293f8f586fa9cfac0b09c2c52a85d4e8bc77b1ed4d7c16c58fe97a81
    • 69d60562a8d69500e8cb47a48293894385743716e2214fd4e81682ab6ed1c46b
    • 6f97022782d63c6cea53ad151c5b7e764e62533d8257e439033c0307437bfb2a
    • 73799d67d32a2b5554c39330e81e7c8069feaa56520e22a7fd0a52e8857c510c
    • 81a4b84700b5f4770b11a5fe30a8df42e5579fd622fd54143b3d2578df4b559d
    • 884cefccd5b3c3a219a176c0c614834b5b6676abbac1d1c98f39624fccc71bf9
    • 8cd6dfffc251f9571f7a82cca2eca09914c950f3b96aaaeaeaaeeac342f9b550
    • 8da532ea294cc2c99e02ce8513a15b108a7c49bd90f7001ce6148955304733cb
    • 9c436db49b27bed20b42157b50d8bdad414b12f01e2127718250565017a08d84
    • a7f3b8afb963528b4821b6151d259cf05ae970bc4400b805f7713bd8a0902a42
    • aa51b69d05741144d139b422c3b90fdf6d7d5a36dd6c7090c226a0fc155ada34
    • b32ab70f3f441a775771d6c824d4526715460c0fd72a1dfdec8cd531aef5fabd
    • d4d5c73c40f50cdef1500fca8329bc8f3f05f6e2ffda9c8feb9be1dcca6ccd31
    • f11e2146b4b7da69112f4681daca0c5ec18917acc4cf4f78d8bff7ac0b53e15c
    • f21601686a2af1a312e0f99effa2c2755f872b693534dbe14f034fa23587ac0b
    • 28ca0c218e14041b9f32a0b9a17d6ee5804e4ff52e9ef228a1f0f8b00ba24c11
    • 35bd3c96abbf9e4da9f7a4433d72f90bfe230e3e897a7aaf6f3d54e9ff66a05a
    • 6d40c289a154142cdd5298e345bcea30b13f26b9eddfe2d9634e71e1fb935fbe
    • 9e3ecda0f8e23116e1e8f2853cf07837dd5bc0e2e4a70d927b37cfe4f6e69431
    • eed2ab9f2c09e47c7689204ad7f91e5aef3cb25a41ea524004a48bb7dc59f969
  • Dominios:
    • asiainfo[.]hpcloudnews[.]com
    • loop[.]microsoftmse[.]com
  • Direciones IP
    • 103[.]40[.]112[.]228
    • 172[.]104[.]92[.]110
    • 45[.]76[.]218[.]116
    • 45[.]77[.]181[.]203

Medidas de contención

  • Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
  • Implementar dispositivos de seguridad que permitan identificar y bloquear peticiones maliciosas hacia o desde los equipos de su infraestructura (IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, por mencionar algunos).
  • Generar listas negras que eviten las comunicaciones hacia los indicadores notificados.
  • Identificar los equipos internos que tengan actividad relacionada con los indicadores notificados y realizar un análisis a mayor profundidad.
  • Mantener las firmas de los antivirus actualizadas para prevenir una posible infección.
  • Concientizar a usuarios finales respecto a este tipo de campañas.

Referencias