TLP: Ambar
NIVEL DE RIESGO – [Alto]
Acción Requerida: Aplicar los indicadores de compromiso descritos en esta alerta en los dispositivos de seguridad de las organizaciones.
Vector de ataque: Correo electrónico.
Impacto: Ejecución de código.

Descripción

Una firma de ciberseguridad ha identificado una campaña maliciosa relacionada con una variante del troyano de puerta trasera “Bandook”, el cual fue identificado por primera vez en el 2007.

Bandook había estado inactivo por algunos años, sin embargo, durante el 2015 y 2017 se identificaron campañas maliciosas relacionadas con este, además, se cree que Bandook ha sido el responsable de los ataques a organizaciones del gobierno kazajo y libanés. Sin embargo, en esta última campaña ha comprometido a organizaciones de diferentes sectores en distintos países.

Hasta el momento no se sabe con exactitud el método de propagación de Bandook, sin embargo, se cree que este se distribuye por correos phishing con enlaces o archivos maliciosos, los cuales generalmente son de temáticas de servicios basados en la nube como Office365, OneDrive y Azure.

La infección de Bandook comienza con un documento Microsoft Word entregado dentro de un archivo .ZIP, el cual contiene macros maliciosas. Posteriormente se ejecuta un script de “PowerShell” y este descarga la puerta trasera Bandook.

Bandook utiliza la técnica “Process Hollowing” para crear un proceso de Internet Explorer y agregarle código malicioso, lo que le permite ponerse en contacto con el servidor C&C (Comando & Control), posteriormente envía información básica del sistema y espera instrucciones del servidor del atacante. Bandook le permite al usuario malicioso modificar y descargar archivos, tomar capturas de pantalla y ejecutar código en el dispositivo afectado, permitiendo que se realicen diferentes actividades maliciosas.

Hasta la fecha, Bandook ha afectado a sectores financieros, gubernamentales, energéticos, sanitarios, educativos, informáticos, jurídicos y de alimentos, en países como Singapur, Chipre, Chile, Italia, Estados Unidos, Turquía, Suiza, Indonesia y Alemania.

Nivel de riesgo

  • [Alto]

Sistemas/tecnologías afectadas

  • Sistemas Operativo Microsoft Windows.

Indicadores de compromiso (IoCs)

A continuación, se listan los IoCs identificados hasta el momento, relacionados con la campaña reportada en esta alerta:

  • MD5
    • 1a3889ded73044f8ba0a00c2f089a3bd
    • 70ff19341dee7973ea6dd8e15c6ba86f
    • d6e524514e0d112015c841b62377d648
    • 3f310215a70d748f9335c767e61a2ab4
    • bca04d74261fedfbd191ffd5e7cf6214
    • d1600f45005aa8b8fcbb446f34f7b9f5
    • 4d7e67ed02713c789336f8804231b1ca
    • 9bcf889b14968c61df95961a161719ba
    • 54ad403349831b175a98a429f818f02a
    • 83311c960609418d5f0a5160324ceb1d
    • 96f09c5c56f59c733d1a9b01fea0cfb4
    • b5138c77983dba10c4976c411161bbf9
    • 53b7bdd75776f342bf5f5395d4c46520
    • 07111aff7afc052a81f267ea2e83dcef
    • eb402e8dd2cae58476acc8e697ee7171
    • cfea49c577ef865de659d5b8025db3f9
    • 17fe9611ea566887b3ef42284f96de03
    • d1600f45005aa8b8fcbb446f34f7b9f5
    • 4d7e67ed02713c789336f8804231b1ca
    • 9bcf889b14968c61df95961a161719ba
    • 54ad403349831b175a98a429f818f02a
    • 83311c960609418d5f0a5160324ceb1d
    • 96f09c5c56f59c733d1a9b01fea0cfb4
    • b5138c77983dba10c4976c411161bbf9
    • 53b7bdd75776f342bf5f5395d4c46520
    • 07111aff7afc052a81f267ea2e83dcef
    • eb402e8dd2cae58476acc8e697ee7171
    • cfea49c577ef865de659d5b8025db3f9
    • 17fe9611ea566887b3ef42284f96de03
  • SHA-1
    • 03508cbeec86346d6658da8c9d34638c57dad920
    • 9e33cbc25a8ad9987f88d5e1d181098142579f54
    • a31296f1eed15262f070abb3e89acf1a3917746a
    • 47b8d74725f353dad8177c478ffa77d424e9a34e
    • f6b1b3fc532b516366de6b3452b5c23441386e17
    • 816b2442c17585396b73b54fbc87be624d55276c
    • 424e3570f36fdb541e9b49f9d6824949ccf96ea6
    • b1604a158cdd24182d8d4198fb17f4d348b92601
    • 8c4d5618c3ab2d2411ede54f443560891a78986b
    • 7f534338d1399221bb2134d917a1e3eef8b309e5
    • 7e9fcbd7f31c3a4ddb3221351e8d04ecdce69474
    • 57c9411b444ce4fddf6ddf210dd7dfd008c156ac
    • 8971b585f8bf7d9f086d97d2d640ed4ce7f6b178
    • e98700d562edb0ed29e429d0263ec448daf8a5f2
    • 55d1a679ae7e812d5c91ef78bec4095a2048427c
    • 99e724a6941c65eed20ac13c4940e325fd323082
    • aad7ec556d8d6e4333552d23588734d339373ab8
    • 816b2442c17585396b73b54fbc87be624d55276c
    • 424e3570f36fdb541e9b49f9d6824949ccf96ea6
    • b1604a158cdd24182d8d4198fb17f4d348b92601
    • 8c4d5618c3ab2d2411ede54f443560891a78986b
    • 7f534338d1399221bb2134d917a1e3eef8b309e5
    • 7e9fcbd7f31c3a4ddb3221351e8d04ecdce69474
    • 57c9411b444ce4fddf6ddf210dd7dfd008c156ac
    • 8971b585f8bf7d9f086d97d2d640ed4ce7f6b178
    • e98700d562edb0ed29e429d0263ec448daf8a5f2
    • 55d1a679ae7e812d5c91ef78bec4095a2048427c
    • 99e724a6941c65eed20ac13c4940e325fd323082
    • aad7ec556d8d6e4333552d23588734d339373ab8
  • SHA-256
    • 1ad83e9d06428dd87203ab8fcc6142014a9c05f3eb9afd61347834f39082d72a
    • 74feaf3aa116a88ef3b10453e77feadefbe4e53dd7a71dd3b8309cc9d76cdec9
    • 034d8ec8d510033c387bb87cac35d240b7b8daa3b5167732118c755c5e6c1d48
    • 072c103759968253b7b25837b43eec546c625ae9c04edd52321d848cf6078b87
    • 0750c7cdc538d79d9ffed0d37f5d9a083902b49ec02d75ee88028db9f3668b59
    • 40cc5933e608f7a2a5c13af1066257c9e41528bb85e434e2bc3d1f4802dec24d
    • 5900abb869c61928f0ef931d6f9d8b62183b2bab9a69b0ef886551005d6c9622
    • 8cb1f713761a6b31c9c25dd2c7ae11e575a634c9f052cfd598ada35a61783230
    • 2ee74ae5b202c8aab288ca167c630e9ee3569240958e984474b960cd560bbe95
    • d217288a046e2739159d0081608a44c2e79d41de12c57ebe88a8591693fa15d5
    • a9a8b0aa5f137e7353db62dc1609da3c709ca30287a5605c73aafaf4968d1e8d
    • 6287fc617ff6881169990e6b877c16d8ca3c199f7e453241a0b18a7907c67ab0
    • 9de287f9af63f02c51c69d9c8480fee2bd4d4bd3c818f2ba81324b1f8ce495c0
    • 306238a63896fa8b79b4c9a6d25fd906bb9e4919bc698608ab970677d15b0694
    • 1b0d2d096c5f7fff02a5a4ce623b71b862f63e306a0760722f710c425b4e16ec
    • 9a0ee2430f7c77942d544dad6787ca8a94470f6555f1cb08baa9d099c92f8447
    • 766917fe9b543bf218bd824d55967d63f94b28456f1d4919bc990d8262dc608d
    • d4cf5c5c60e972cc19782d1f37ec9d47dd1e81cdf481b64dab62f96bac846bb4
    • 6af6fe3eafd4cf2c82738d45a6a95577d970f3fbbe094afd24d1d4a0bb5ad1b4
    • 9a19522b23acfc6705e4fac65640527a8adbbc9719dab436f28101b6cbc140c6
    • 97ea91fb673f4994da491433751c4fca011993ba10191f09c70ca6c8d2b4f944
    • 06ed3daccfbb30c68a33583a761fc20cc3e21adb8dd64a42d922e6da2a01c0dd
    • 27c6341554a04bdc792ffbc5cda26511cbcfcc66334fb6ebbc24a14969b4e498
    • 3fda0a5da313886b0339eee65c69c779ed620b303ba079ee0864ca4a1496b0b4
    • 408c11caf548048732ac21e88a54e80d47a05b9619c1c16b65fa850e0172f428
    • 41ccf6de0d51bd29d35be12ae24f04b2f88ec2b202b239424f90c666d25473e8
    • 66c86f29afb1152aad8e426ebb6569ad03ce7b69ea3c8a5cc40011c2a3ab973b
    • aa868d007c4dfd825104faafb3798b9ab745b29794a57365bef41ec3f6019eea
    • add9f9dca97c3b6d52efe7d48ecd3d349a70411eaa3d4aeff6e6215b77f42b90
    • aed7ab5d0de01c3724c917c034e26a5e9eed3f7fbf4082b024576a41725d66cf
    • ba153e449ee926c019b548997c32d0579b9c6f350b1590a025d5d9a216ddbffd
    • ce8ad96819c814dd1735e621639a8845ae7132375879cc5b5d5f6877cb909a68
    • ea4792353e0f97968e7c69ffba81c144f22f54382af4e61a1347edd0ae15830f
    • 06ed3daccfbb30c68a33583a761fc20cc3e21adb8dd64a42d922e6da2a01c0dd
    • 27c6341554a04bdc792ffbc5cda26511cbcfcc66334fb6ebbc24a14969b4e498
    • 3fda0a5da313886b0339eee65c69c779ed620b303ba079ee0864ca4a1496b0b4
    • 408c11caf548048732ac21e88a54e80d47a05b9619c1c16b65fa850e0172f428
    • 41ccf6de0d51bd29d35be12ae24f04b2f88ec2b202b239424f90c666d25473e8
    • 66c86f29afb1152aad8e426ebb6569ad03ce7b69ea3c8a5cc40011c2a3ab973b
    • aa868d007c4dfd825104faafb3798b9ab745b29794a57365bef41ec3f6019eea
    • add9f9dca97c3b6d52efe7d48ecd3d349a70411eaa3d4aeff6e6215b77f42b90
    • aed7ab5d0de01c3724c917c034e26a5e9eed3f7fbf4082b024576a41725d66cf
    • ba153e449ee926c019b548997c32d0579b9c6f350b1590a025d5d9a216ddbffd
    • ce8ad96819c814dd1735e621639a8845ae7132375879cc5b5d5f6877cb909a68
    • ea4792353e0f97968e7c69ffba81c144f22f54382af4e61a1347edd0ae15830f
  • Dominios
    • ntsclouds[.]com
    • jtoolbox[.]org
    • idcmht[.]com
    • htname[.]info
    • vdscloud[.]net
    • mainsrv[.]top
    • olex[.]live
    • branchesv[.]com
    • s1[.]megawoc[.]com
    • s2[.]megawoc[.]com
    • s3[.]megawoc[.]com
    • s1[.]fikofiko[.]top
    • s2[.]fikofiko[.]top
    • s3[.]fikofiko[.]top
    • d1[.]p2020[.]club
    • d2[.]p2020[.]club
    • pronews[.]icu
    • p2020[.]xyz
    • 2ndprog[.]monster
    • ercuc[.]com
    • tancredis[.]com
    • ec2[.]mbcde[.]net
    • nopejohn[.]com
    • horizongb[.]com
    • styleco[.]me
    • ewsdocs[.]com
    • raysdoor[.]com
    • vsimperial[.]com
    • mxtms[.]com

Medidas de contención

  • Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
  • Implementar dispositivos de seguridad que permitan identificar y bloquear peticiones maliciosas hacia o desde los equipos de su infraestructura (IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, por mencionar algunos).
  • Generar listas negras que eviten las comunicaciones hacia los indicadores notificados.
  • Monitorear el tráfico de la red para detectar actividad inusual en la red.
  • Evitar descargar archivos adjuntos de correos electrónicos provenientes de remitentes desconocidos o sospechosos.
  • Mantener las firmas de los antivirus actualizadas para prevenir una posible infección.

Referencias