TLP: Amber
NIVEL DE RIESGO [Medio]
Acción Requerida: Aplicar los indicadores de compromiso descritos en esta alerta en los dispositivos de seguridad de las organizaciones.
Vector de ataque: Remoto.
Impacto: Minería de criptomonedas en dispositivos de la red.

Descripción

Investigadores de una firma de seguridad han descubierto nueva actividad maliciosa relacionada con la botnet conocida como “LemonDuck” dedicada a la criptominería de la cual se tiene conocimiento desde el 2018. Este programa malicioso es considerado como una de las botnets más sofisticadas, debido a que los ciberdelincuentes mantienen el código actualizado con nuevos vectores de ataque y técnicas de ofuscación para evadir herramientas de seguridad.

A finales del mes de agosto se detectó nueva actividad de esta botnet identificando nuevos vectores de ataque para comprometer a sistemas operativos Windows y Linux.

En esta nueva campaña maliciosa están utilizando correos electrónicos phishing relacionados a temas de COVID-19 con archivos maliciosos adjuntos, utilizando la automatización de Outlook para poder infectar a otros contactos del usuario afectado.

De acuerdo con los expertos, los atacantes también aprovechan la vulnerabilidad “BlueKeep” (CVE-2019-0708 CVSS v3.0: 9.8 [Critico]) en equipos Windows, y realizan ataques de fuerza bruta de contraseñas al protocolo Server Message Block (SMB). Además, según las investigaciones, los atacantes también hacen uso de otras vulnerabilidades conocidas como SMBGshost (CVE-2020-0796 CVSS v3.1: 10.0 [Critico]) y CVE-2017-0144 (CVSS v3.0: 8.1 [Alto]), vulnerabilidad que es aprovechada por el programa malicioso “Eternal Blue”, que afectó a millones de organizaciones en el 2017.

Cabe mencionar que esta botnet es modular y se comunica a través de un servidor de comando y control (C&C) por medio del protocolo HTTP, además tiene como principal objetivo minar criptomonedas en el dispositivo afectado, eliminar otros mineros instalados y propagarse a otros dispositivos para ejecutar esta botnet y comprometer más equipos.

Nivel de riesgo

  • Medio

Sistemas/tecnologías afectadas:

  • Sistemas operativos Microsoft Windows.
  • Sistemas operativos Linux.

Indicadores de compromiso (IoCs)

A continuación, se listan los IoCs identificados hasta el momento, relacionados con la campaña reportada en esta alerta:

  • MD5
    • 9c63b50f1b93518d9b7f8ef3244965b0
    • 15d2b962c160092a5e14dda946739a8b
    • 3a89724c07cf5763f70fbab8cf695936
    • 1da8e7c92c86fc8dbab5287bdca91ca1
    • 383d20de8f94d12a6ded1e03f53c1e16
    • ca4fa0aed2dd216a3dfa4ab18bae23cd
    • 92a6ced29ef1ee9df775c1c69261da82
    • ef3a4697773f84850fe1a086db8edfe0
    • dcd9144d509e7c6e1e63ecdd7e50e935
    • 9c6de4ebb298f145f7f0d1de8ce615f1
    • caa76a79725c5de4973668a965d1ba97
    • b204ead0dcc9ca1053a1f26628725850
    • e49367b9e942cf2b891f60e53083c938
  • SHA-1
    • fd7198d81dab29167007f9728d41b97f13ec6b7a
    • 05d73b1ccd1a426b647bac7d5faed8b7b213f21e
    • e225de12620dce0e6ed10125f696496dbaad227a
    • 151187b840c9daf509d5c59734d4ba843fdb8f4e
    • 215ac6ed6913afcdd6ad0f37b0410655acabf313
    • 772c1c5495b9a49216d87c494c75808e2063ee4f
    • a6ef0ab562141febdde7d6ca5fae34755b6ad628
    • 6a4c477ba19a7bb888540d02acdd9be0d5d3fd02
    • 026983cf7472e0c4a1152d9460ec17359551c732
    • 2a918fedc532be97d2d1fee9cbec0b565101e9a0
    • 5bad1f8e6754fc0fee2d09e9bb6d5d95550e1fa1
    • 09461551deae97b570597ba5b20493626330986b
    • b6ce0876bcc046b40e415e9aab52cfb876141f45
  • SHA-256
    • 605ac25ebe8ab41ba291b467281e4f361e87df26fb0085636060d4972725958d
    • e783b5235868d8f32f8656218f89ee24138a52e13d91ab5d5950cce1fa25f673
    • df154c314609c61ab33eea7f5d3d959fe3dacee35c8575741e96dfe27b2bd55e
    • e72b656b15dca5b2dde4784bb113ca7c9768eeb731264fe10d057fc7909ef9c4
    • 38ffc65ba9896583ba8c8f98dd36c0b391ee590e2011be7f715351965b7bed8c
    • 5dd1c44610d038e0e8e3f572964f4be09ee3e7718d73bcd4c8684c3efea8ff2b
    • 27040edd4917b6963f89d1d80073d20713dcea439a5b0f9a0cdaca655c1b4322
    • d7d0f18071899c81ee90a7f8b266bd2cf22e988da7d0e991213f5fb4c8864e77
    • b660aa7aca644ba880fdee75f0f98b2db3b9b55978cc47a26b3f42e7d0869fff
    • ce4ba5d544e566a4a83b5edd7e42e6783c2b03187f834913cdd185b3d453fb10
    • 9e0c65e28bf2539966364468a5fba8bf8bbcbc76b84aa37348b3bad19047c73a
    • 7850f7ccba97d37bb89447f04dac93757b96d7270d1ee9797c12034f22363038
    • 7de4497ed46e9e96f66ad0135c018d006a85bbd0c0202da6f0f1bd2030932a30
    • aea17e712d9a25e37d0ce3af6adff733e89edd6416b5c4a6a9b95dd5faf13612
    • 1d6153f93539fbc7bdd2389120c9f8967197ea81fffaf3df28417bdf2fe1252b
    • 5beb8128b269067186c5ce002423e1de33fd52986bf0696d5664ac278eae1993
    • 80eb16604550f9a115470acfa300b95d62ae856245666637afa00f8fb9e4808d
    • 27e94c3f27539d0ed5c5267914860ff97a438acd1ace560e0a746a6d04b39718
  • Dominios
    • w[.]zz3r0[.]com
    • info[.]amynx[.]com
    • info[.]ackng[.]com
    • info[.]zz3r0[.]com
    • p[.]awcna[.]com
    • t[.]zer2[.]com
    • t[.]tr2q[.]com
  • Direcciones IP:
    • 172[.]104[.]7[.]85
    • 66[.]42[.]43[.]37
    • 207[.]154[.]225[.]82
    • 161[.]35[.]107[.]193
    • 167[.]99[.]154[.]202
    • 139[.]162[.]80[.]221
    • 128[.]199[.]183[.]160
    • 128[.]199[.]188[.]255
    • 167[.]71[.]158[.]207

Medidas de contención

  • Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
  • Monitorear el tráfico de la red para detectar actividad inusual en la red.
  • Prestar atención cuando los procesos legítimos de la red se estén haciendo lentos por un consumo excesivo de los recursos de procesamiento.
  • Mantener actualizados los sistemas operativos de los dispositivos, así como las firmas de los antivirus.
  • Evitar descargar archivos adjuntos de correos electrónicos provenientes de remitentes desconocidos o sospechosos.

Referencias