TLP: White
NIVEL DE RIESGO – [Crítico]
Acción Requerida: Aplicar los indicadores de compromiso descritos en esta alerta en los dispositivos de seguridad que así lo permitan.
Vector de ataque: Red, acceso remoto enfocado principalmente en dispositivos Citrix.
Impacto: La infección exitosa de un equipo con esta muestra maliciosa puede ocasionar que un usuario malintencionado tome el control total del sistema afectado a través de la ejecución remota de código arbitrario.

Descripción

Expertos en seguridad han identificado una campaña maliciosa realizada por el grupo malintencionado conocido como “APT41”, dirigida a dispositivos de red de las marcas Citrix, Cisco y Zoho, afectando a organizaciones del sector de salud, educación, manufactura, gubernamental y tecnológico, de manera principal en países de Europa, Norteamérica y Sudamérica.

La campaña identificada hace uso del programa malicioso conocido como “Speculoos”, el cual aprovecha una falla rastreada como CVE-2019-19781 v3.1 – 9.8 [Crítica]. La vulnerabilidad afecta a Citrix Application Delivery Controller (ADC), Citrix Gateway y dispositivos Citrix SD-WAN WANOP permitiendo a un usuario ejecutar código de manera remota en el dispositivo afectado. Cabe destacar que esta vulnerabilidad fue identificada el 17 de diciembre de 2019 y fue corregida por Citrix el 24 de enero de 2020, sin embargo, durante este periodo se identificaron varios ataques dirigidos, los cuales aprovechaban el fallo.

Speculoos es una puerta trasera creada para ejecutarse en un sistema FreeBSD, una vez que este es cargado en el dispositivo se comunica a un servidor Comando y Control (C&C) controlado por el atacante por medio del puerto TCP/443. Posteriormente, Speculoos realiza un escaneo inicial del sistema de la víctima para enviar los datos al servidor C&C. Entre la información obtenida se encuentra el nombre de usuario, dirección MAC, versión de sistema operativo, nombre del host, espacio en disco, información de la memoria física, número de CPU, velocidad y modelo del mismo. Finalmente, esta herramienta le da acceso al atacante para ejecutar código de manera remota en el dispositivo afectado.

Cabe destacar que los dispositivos que esta campaña está aprovechando, en su mayoría tienen acceso a una gran cantidad de sistemas de organizaciones, permitiendo que usuarios maliciosos puedan comprometer a otros dispositivos dentro de la red organizacional, ocasionando que tomen el control total de la misma.

Nivel de riesgo

  • Crítico

Sistemas/tecnologías afectadas:

  • Citrix Application Delivery Controller (ADC) 10.5.
  • Citrix Application Delivery Controller (ADC) 11.1.
  • Citrix Application Delivery Controller (ADC) 12.0.
  • Citrix Application Delivery Controller (ADC) 12.1.
  • Citrix Application Delivery Controller (ADC) 13.0.
  • Citrix Gateway 10.5.
  • Citrix Gateway 11.1.
  • Citrix Gateway 12.0.
  • Citrix Gateway 12.1.
  • Citrix Gateway 13.0.
  • Citrix SD-WAN WANOP 10.2.6b.
  • Citrix SD-WAN WANOP 11.0.3b.
  • Dispositivos de red de Cisco.
  • Dispositivos de red de Zoho.

Indicadores de compromiso IoCs

A continuación, se listan los IoCs identificados hasta el momento, relacionados con la campaña maliciosa reportada en esta alerta.

  • SHA-256-256
    • 493574e9b1cc618b1a967ba9dabec474bb239777a3d81c11e49e7bb9c71c0c4e
    • 85297097f6dbe8a52974a43016425d4adaa61f3bdb5fcdd186bfda2255d56b3d
    • 99c5dbeb545af3ef1f0f9643449015988c4e02bf8a7164b5d6c86f67e6dc2d28
    • c2a88cc3418b488d212b36172b089b0d329fa6e4a094583b757fdd3c5398efe1
    • 6943fbb194317d344ca9911b7abb11b684d3dca4c29adcbcff39291822902167
  • Direcciones IP identificadas en estas campañas
    • 66.42.98[.]220
    • 119.28.139[.]120
    • 119.28.139[.]20
  • Dominios identificados en esta campaña
    • exchange[.]longmusic[.]com
    • alibaba[.]zzux[.]com

Medidas de contención

  • Aplicar las actualizaciones de seguridad de forma regular en dispositivos de hardware y software.
  • Utilizar una solución efectiva de filtrado de programas maliciosos.
  • Utilizar una solución de antivirus actualizado, con una solución de detección y prevención de intrusos.
  • Configurar las herramientas de seguridad perimetral e introducir los indicadores de compromiso proporcionados.

Medidas de erradicación

A continuación, se listan las actualizaciones de seguridad liberadas por Citrix para corregir la vulnerabilidad que aprovecha esta campaña maliciosa:

  • Citrix Application Delivery Controller (ADC) 10.5.70.
  • Citrix Application Delivery Controller (ADC) 11.1.63.15.
  • Citrix Application Delivery Controller (ADC) 12.0.63.13.
  • Citrix Application Delivery Controller (ADC) 12.1.55.
  • Citrix Application Delivery Controller (ADC) 13.0.47.
  • Citrix Gateway 10.5.70.
  • Citrix Gateway 11.1.63.15.
  • Citrix Gateway 12.0.63.15.
  • Citrix Gateway 12.1.55.
  • Citrix Gateway 13.0.47.
  • Citrix SD-WAN WANOP 11.1.51.615.

Referencias