Descripción
Una firma de seguridad ha descubierto actividad de ciberespionaje relacionada con el grupo “APT Palmerworm”, o también conocido como “BlackTech”, quienes han dirigido sus ataques a diferentes sectores como son medios de comunicación, construcción, ingeniería, electrónica y financiero.
Este grupo de ciberdelincuentes hasta hace poco dirigía sus ataques a países asiáticos como China, Taiwán y Japón, sin embargo, en estas semanas se ha detectado campañas contra EE.UU.
APT Palmerworm es caracterizado por usar diferentes tipos de puertas traseras (backdoors), así como herramientas de reconocimiento de red y el programa “PuTTy” para realizar la intrusión a la red objetivo. Además, el grupo malicioso hace uso de una técnica conocida como “Living off the Land” (LotL) que consiste en utilizar aplicaciones legitimas que contienen programas maliciosos con firmadas digitales robadas, esto para no ser detectados por los antivirus o algún otro programa de seguridad. También se sabe que Palmerworm hace uso de otras herramientas como son: PSExec, SNScan y WinRAR.
Cabe mencionar que hasta el momento no se tiene claro las intenciones de este grupo, o sus vectores de ataques en esta campaña contra EE.UU. Aunque se ha observado que en ataques anteriores utilizan técnicas de spear-phishing para distribuir código malicioso, con el objetivo de capturar y filtrar información confidencial.
Nivel de riesgo
- [Alto]
Sistemas/tecnologías afectadas:
- Sistema Operativo Microsoft Windows.
Indicadores de compromiso (IoCs)
A continuación, se listan los IoCs identificados hasta el momento, relacionados con la campaña reportada en esta alerta:
- MD5:
- c2452dea557e3d6fc8ac61b8126f8e
a2 - 2962a89c61c01b48849f8f5ad6b9e7
e4 - 2f8b90170a52ee8dd305641a30e256
04 - 0263cd7a6b920e83cebd8f4469d480
38 - 50e358d44420ad65c05d24f6b1fa53
46
- c2452dea557e3d6fc8ac61b8126f8e
- SHA-1:
- ca3e90e188ba377718f214ecd00f8b
774fa6c986 - d586a55723c12cce3687db31a59af6
9b2373198e - c08dab41fc5006020b370bb0c123f0
023af6bf5b - e7ee07f06806085621700fd68b1e92
6d066c2782 - c413d109c15d0e736c2b71cfff24ca
8b7368c53d
- ca3e90e188ba377718f214ecd00f8b
- SHA-256:
- 3277e3f370319f667170fc7333fc5e
081a0a87cb85b928219b3b3caf7f1e 549c - 485d5af4ad86e9241abd824df7b3f7
d658b1b77c7dcc3c9b74bfe1ddc074 c87d - 4c05ee584530fd9622b9e3be555c91
32fad961848ea215ecb0dd9430df7e 4ed8 - 50ba9a2235b9b67e16e6bd26ae042a
958d065eb2c5273f07eee20ec86c58 a653 - 5818bfe75d73a92eb775fae3b87608
6a9e70e1e677b7c162b49fb8c1cc99 6788 - 5a35672f293f8f586fa9cfac0b09c2
c52a85d4e8bc77b1ed4d7c16c58fe9 7a81 - 69d60562a8d69500e8cb47a4829389
4385743716e2214fd4e81682ab6ed1 c46b - 6f97022782d63c6cea53ad151c5b7e
764e62533d8257e439033c0307437b fb2a - 73799d67d32a2b5554c39330e81e7c
8069feaa56520e22a7fd0a52e8857c 510c - 81a4b84700b5f4770b11a5fe30a8df
42e5579fd622fd54143b3d2578df4b 559d - 884cefccd5b3c3a219a176c0c61483
4b5b6676abbac1d1c98f39624fccc7 1bf9 - 8cd6dfffc251f9571f7a82cca2eca0
9914c950f3b96aaaeaeaaeeac342f9 b550 - 8da532ea294cc2c99e02ce8513a15b
108a7c49bd90f7001ce61489553047 33cb - 9c436db49b27bed20b42157b50d8bd
ad414b12f01e2127718250565017a0 8d84 - a7f3b8afb963528b4821b6151d259c
f05ae970bc4400b805f7713bd8a090 2a42 - aa51b69d05741144d139b422c3b90f
df6d7d5a36dd6c7090c226a0fc155a da34 - b32ab70f3f441a775771d6c824d452
6715460c0fd72a1dfdec8cd531aef5 fabd - d4d5c73c40f50cdef1500fca8329bc
8f3f05f6e2ffda9c8feb9be1dcca6c cd31 - f11e2146b4b7da69112f4681daca0c
5ec18917acc4cf4f78d8bff7ac0b53 e15c - f21601686a2af1a312e0f99effa2c2
755f872b693534dbe14f034fa23587 ac0b - 28ca0c218e14041b9f32a0b9a17d6e
e5804e4ff52e9ef228a1f0f8b00ba2 4c11 - 35bd3c96abbf9e4da9f7a4433d72f9
0bfe230e3e897a7aaf6f3d54e9ff66 a05a - 6d40c289a154142cdd5298e345bcea
30b13f26b9eddfe2d9634e71e1fb93 5fbe - 9e3ecda0f8e23116e1e8f2853cf078
37dd5bc0e2e4a70d927b37cfe4f6e6 9431 - eed2ab9f2c09e47c7689204ad7f91e
5aef3cb25a41ea524004a48bb7dc59 f969
- 3277e3f370319f667170fc7333fc5e
- Dominios:
- asiainfo[.]hpcloudnews[.]com
- loop[.]microsoftmse[.]com
- Direciones IP
- 103[.]40[.]112[.]228
- 172[.]104[.]92[.]110
- 45[.]76[.]218[.]116
- 45[.]77[.]181[.]203
Medidas de contención
- Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
- Implementar dispositivos de seguridad que permitan identificar y bloquear peticiones maliciosas hacia o desde los equipos de su infraestructura (IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, por mencionar algunos).
- Generar listas negras que eviten las comunicaciones hacia los indicadores notificados.
- Identificar los equipos internos que tengan actividad relacionada con los indicadores notificados y realizar un análisis a mayor profundidad.
- Mantener las firmas de los antivirus actualizadas para prevenir una posible infección.
- Concientizar a usuarios finales respecto a este tipo de campañas.
Referencias
- https://symantec-enterprise-
blogs.security.com/blogs/ threat-intelligence/ palmerworm-blacktech- espionage-apt - https://www.enhacke.com/2020/
09/30/el-grupo-chino-de-apt- apunta-a-los-sectores-de- medios-finanzas-y-electronica/ - https://www.interempresas.net/
TIC/Articulos/260706-Que-son- los-ataques-Living-off-the- Land-y-como-pueden- combatirlos-las-empresas.html