TLP: Amber
NIVEL DE RIESGO – [Alto]
Acción Requerida: Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad de las organizaciones.
Vector de ataque: Correo electrónico.
Impacto: Filtración de información confidencial.

Descripción

Una firma de seguridad identificó una campaña maliciosa del troyano conocido como “Emotet” del cual se tienen antecedentes desde el 2014. En esta nueva campaña los países de Francia, Japón y Nueva Zelanda reportaron ataques relacionados con Emotet dirigidos a empresas y agencias gubernamentales de sus naciones.

Emotet fue utilizado por un grupo de ciberdelincuentes llamado “TA542”, compuesto por una red de 3 servidores (botnets) llamados Epoch1, Epoch2 y Epoch3, cada uno de estos dirigía sus ataques a diferentes países, pero su principal objetivo era Japón.

En esta nueva campaña, se intenta engañar a la víctima mediante el envío de mensajes de correo malspam relacionados con diferentes temas, como facturas fraudulentas, información de COVID-19, documentos financieros; estos con archivos de Word o enlaces maliciosos adjuntos.

Estos ataques tienen como objetivo filtrar información sensible y confidencial de equipos con sistema operativo Windows, por ejemplo credenciales de acceso, sin embargo, las capacidades de Emotet han evolucionado en los últimos años, permitiendo que también se pueda descargar y ejecutar algún programa malicioso adicional si así lo determina el ciberdelincuente, por ejemplo otro troyano bancario o algún ransomware.

Nivel de riesgo

  • [Alto]

Sistemas/tecnologías afectadas

  • Sistema Operativo Microsoft Windows

Indicadores de compromiso (IoCs)

A continuación, se listan los IoCs identificados hasta el momento, relacionados con la campaña reportada en esta alerta:

  • MD5:
    • dd4db7adf4150f68b6119db18954e481
    • c601ab8222684349e924e00050cbd5ca
    • 6049e8764cc4219940cb78eb15be05c4
    • 2749da7bc43b5894bf24676f9ad43488
    • 0fa153bc46fc1946999f9d8a4eb34a18
    • d7ba26ea8bd29963d49049ecd67f0f67
    • 3af0442bc04375cee69d01310bc84d86
    • b11a0ca1a7c2a8adc7946bca3cd43820
    • f87953ccd38281423614a0411315b229
    • 0572da8778cc0abf69592a50dd4e5000
    • 56e313335f584dbe38d0f80fc230fc0b
    • e2487390ef81808c3926e1464712a2ce
    • 5c29fb9c18f78cd20e409cc3ac8cf766
    • 4d446b7319e57c261ff64657543217dc
    • 92b9e5d54c8897992b865f2d19f6cc0b
    • 170dd0b3c796ac7f7a02c9ae2ae104db
    • 885a10ed8deb0e69f2189d21f62728b7
    • 138cf1ea3481de09875c7c940320df2a
    • 25ba6da0a217ce0b94c912eacc65909c
    • beaf879f478f13ae60b73e6e0951275b
    • e0af13ad5839306e5ba2a74c66e8d9f1
    • e369127eb69b8e51d984dec3cc919790
    • 581421b8eaaf7f9d7cc60d24c97c15bf
    • 0e4654bd1cda416b53df352cf5dff700
    • 92581412b28d4a9b45f2524c88b364c5
    • 4efad2aad6fba8840baa44461fb42819
    • 65aed2248702fa394d3b83599c886809
    • 02e6c08b57ce9f6050c3af9bf2cfd247
    • 551d5df5612090e5aa8b0bd63437dabc
    • d816f91584243e51c3b2973620130e95
    • 38236e38808621fcbbea88130dc2336d
    • ec7b329839f25d84b14684347509fe75
    • f5a3bcd9746498a3fd4b11dc5e1211b8
    • 26c8409255d42c9ecfecd477b9f170f0
    • 40894a73ed49809daad7783caf9f0f08
    • e62e4729eb73abe15f4519b106da88a6
    • 02348988690618f7f2e537e4966b9d34
    • 8ac3b9f09b9f64d130d54c7a33b88da7
    • 177a6a062ab60e564a464a3080d37260
    • 935e9ad18b1b18a23e3a559311a5267a
    • b24d04118b8ff8134c6a56be7ae76d01
    • af48c671f709f0688d73ce08543dd1f2
    • 7036b8ad959436020add988d62b7d398
  • SHA-1:
    • 85655980c209d2af09123cde1a2c4e89be2def1a
    • eb2fd592547234011a69f200a24611b7c9844e8a
    • aed1511cce2de26bd62499396caab4db7b40c360
    • 54f414dd3b5b793aad6c1abcf4b551a874e6a3d9
    • 7375c9110d50cbb8f745729c9dcf984b7fd6fa3a
    • f24e9c3b4ca055fdad417da5896aef2f5edfd1ef
    • 70d3bdd595e4c9f2b933ccaf739451ee73eb832c
    • f35149461a25996b70514bb0dfa2a11b595b7cae
    • ff8ab4285efa74c7d36c692ed6e11b682dbe54d1
    • 6439af2ff9e84522e05d59db1a89912e770e9dcf
    • e47b3dfc16f961f82bc6dcddbefcfa229003db2e
    • b8c848613559bd0d514958115180352c849588a9
    • f921e86b353b8227baac7f9d478fe1494fd3dbf1
    • 15240488f43fa59f3aa853466fc7cb1fc59bba07
    • 4548cfcbebbc09149fb8473322e401712171417f
    • 25462b0338ef30cb5a43b3e282ede0668f8cd068
    • 8f1df0108556278b7b7c9859baacf239e8bcb10b
    • 4c5c62abcbfdca09b799980adfdfd656c4cada7c
    • b5ab469ebb231c57dc1be41db1cfb31f63ec2f3d
    • 191975fcd91941b285dc1aa92991a331a8a24d73
    • dadc5d5d04cdda4700b6c12b5b2bde6503df1069
    • 93667cf926a88447c22507c356ce98634bf79fa4
    • d54e6473d55329247e24fb9042aca20102a7f14c
    • 676b76103c8f52a84afe8c87bf01237f0a4aae53
    • 6098ebeb3c359f61b4ba704f114fd3290d9e00a0
    • 1fe7a2f0772b9edf284dec0d9f8c317604e82c5f
    • 261dfae1ca38a1595a476f704b338d2cec0ddfa5
    • b10407353aa8ff58e63b6db510734e1ec9c84d18
    • 1c5679bb00326368e251ed41182a588c63b79555
    • 2701a07b42692125c3fcd4cc26a63f098ed74991
    • b15caf3d7a559ed30b6f0b44eecff56abc016ab1
    • 1e2a6c41baff836e3636cc83002aa10b21f1ade7
    • d683ebc23958df0fbaba9f9a23fc5f41d245631d
    • 5d33aea099e8d0efb30a900b799fd0ed184b13c9
    • e2cf3b0d734674534829e581e6a0cd195fb094c1
    • 4be480a09605a51722f850789c86de06e78f1a46
    • 248ee971f8c7c7ba28a4413a00d0f488ce7aec51
    • c181e22bf3a9e3e1236032c0b43fb95908f6cc5d
    • 2a484036787d874ebf99b9f38274294dbf6776b6
    • 1e8b4ea12b48fef4f9e365e7cce0b9346e8a5138
    • 34f2e5a06d2e33fbb88242f6dafb4d6eead90101
    • 6b163a5f1a4f81ea72ef2eea309ae027fd577cd5
    • a485a41564c0f5a01d4bbf13c7e3f32e91d1f3c5
  • SHA-256:
    • 3f2d92ec6f3a38b2f09302bdb02ea21f7f83b5e327fb2028cf7641f24a862803
    • 613a8fadb39af04031390abea260e5ff91d88deee47960143b1199d1bd94b30a
    • f7a452ce1ec1843db66db83833bf586c9cd5805b4c88bf47b8ffe027a59909e4
    • bd79a18e6bb049f274781d9ddb78c7ef174ebc19cf181ec3436bf4c23361119b
    • caace2115fc0be46841795b79bf5b36be9fa2ee1e11c6af361e470bf9187c844
    • 3e151e21c1bdc3d5b5e1fbe38838744cf247d0287f9922206d6657a330172dfd
    • 04b5d875a74a14393a039eba7b02201184b18daab1791ae424eb283cfcdd441e
    • 2306245e52dcdb5a2b5eaf34a550327186af47f594eb9bf947883eec31cd95dc
    • b046e46b7fd321d6339a454133fd288b6c688d4d3d13d7e04fa0051628e1e194
    • feee7559a92f645fa96a61b25762db008418cafaf8d2ce8b48e83b0f1b093922
    • 66a8dfebe9235a8ed3e327079f96bb064f505abcbdd4083bd54511b0b3ff840d
    • 49db784bdfba531403bf7aad08fa794de0d28219b42c4ed5f60999aba8e50fd7
    • 529beb4096db014cefa7fe801bd4a68e16d780a7255ef6736185300aede99122
    • a0e0f2a2c94ec02d528925d99f657eccb1cd53721c23d04a5c2fdb9c8dec4d61
    • 6dd46b2f2a5dd45de49ea0bc4253f204f91e5d4b49f559a140622989a48c389c
    • 2373f369c8328d53718660b113dcb94a2bb0299666be62a19774231969d6fac5
    • 6c832b427d22e7401f1339ab8ffdcdd03dca00d6bf35de79afda1eb0fb4351eb
    • 07dec20f4c744b3c30cd50838264c53f033f6fffd83c10f63271c2bdff87589a
    • b567ee7d880f6d26ad3f1723e478ce9677f3b3b85a515ca6694b0f8b0ee194c7
    • cbad8fb23050524557a98a087fe1e8f7a6246b2e1bb25b5a34e1b215ae8a41c3
    • e0e223a4487beefcd9fa9081a6e6d64e9f9b0be00b032ad4fe55f005ed8df045
    • 9a30dde25adfa4841fc9387b2a18bba610525b74db4a9131567f82f0c478ed9d
    • b85f5697ce52b3ba7f88f0a638db49cc57e9c7c15e41c7df1d250aacc75ff9cd
    • 88e68b5f39c9b7c27e11683fd87fb26ffd47fa674ac4330539b7ac153cfc8f3f
    • c814ee8f5608a0397d347a4ef115154e321ce3f0f4d3c0523045c1c8874b2edf
    • c4ddf25969293a0b68d125b079fff9a3325f0b56e85180a8162ad38e80ff7ae3
    • 20099f71af72fdb3d3eeb91a47d73c3df77613307ae84474454339f4a737beaa
    • e9fb9206f07ce6413598f3ca659f92a91bfbbc7d398bfefa2b6d3db67bebd05d
    • ab68638dbfee0b989a678ab2865660e98086f4248fa76f2509688d6c79678c1c
    • e12a50fbf5d084935097e9afcdb91a1e7f9e83d2cf40b75bcd23d627bc81dc8b
    • 8c2defc2c4d9429e02878b8bdac5aad7919c49305259863fd3b1d94d0605838d
    • 14182acd92b14356972957d5387a09b23522bcb25254eafd3ab4ecf0dca06bc0
    • ee7a6d2f590aa63acf7f61d0a9675eb73991a1eec26908cc32b94b4ff4a5a3e4
    • d962a0a7202d3219062c096cd080b89b8ff92158b181c16a943a721a4918e225
    • 1b8b4abfbd9c475a983071b1ad854e595db15e5449b79a0b158c3866136b1ca7
    • 9d395e5a24791abdf6965c0c81331949d5ebb7909e9c65283eed69c0ca568091
    • 44e04e1ee8a581bef98eef50581f6d609830bab8015acb7094c122b4d7b56271
    • 89660099e43edded1fca29bebeb88565300c51b7f12137044d10fef95ee9f231
    • 57c1628ef6b608dd76ca6f9fa48db619d271d8f6ae2cf9a623ef77dd11bb723c
    • a268aa389dbeafc6bf1cd86c2ad545e3dbdfec68c775986ce743a07ea907fe4b
    • fa410d677be7bf9a3f52d4ad62e6ee2e6c35101a5fd29640b41df55d31bbd63b
    • 9185d47d50237807bc4f3e52e8d082d8d49666eb0bdc4f83df15763074f05480
    • c32efc8bed8d3f946f3973fddc0d79245ecd44fc017a1b300ad788fa76a7e1f4
    • dedf7fbe6143dd1b1b6ac9be63a9dd683b5910a599a3cc3c13e38870621eb99a
    • 788d161ab85efc77d696513c3f88941f0cd3bb2d80157eb8a74c48ac14140537
    • bc1e09a632198b25f07bcb9a084a6b6c2c0ea09799aa86b0976283d6423eae3b
    • 72f542fb4c919f420c7c8f266883e9d377668e2e8ee74b277363f59537b65512
    • 889d379738374c263200e83f9e3f10c29ab0431df9ec327bee86a7e72edc2d80
    • 3d1521b715764714c3661ec58470e7c9bac5b00fd295c8732ce9908e760e48f3
    • 08cf0ea5b3c652988de30c9cef8b837aa90e0617e5a0d1f48ab738b3658ef55f
    • 7a3ccb3e2ad8cc0735e151eeabbbec3aa6ec13adeaacbc0e677ea57c2fa1f764
    • a6a261b756e9383dd1201e33ce0bf80b5a48ab38e72296d17123ce2578cc71cc
    • 3b8a8fb3529654bdb02419347528eb040f63848a6d1e5916682ae394b808d5b7
    • 8dc5386d1718b8085d6974e8832692e079ffe81ed947bb0090a08ce934917efd
    • ffd3c0e399ec09972e56db1065c7753b58878424eccbb8df8381f7f5b3e7c759
    • 4ad032763982d4f4271c148bf56fd03e4a13282ecccbe6d9df21d8d53f288746
    • d99a3764a748fda8c06addcd1a73e7283af688491a7e03567c88c94a350c9cec
    • 8811dc6619a7179a187fdd6ee7d64b65e1026defea667d027084273cec5db885
  • URL:
    • hxxp://vasumadhi[.]com/cgi-bin/L1DCI/

Medidas de contención

  • Implementar los indicadores de compromiso compartidos en los dispositivos de seguridad que lo permitan considerando dispositivos como IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, etc.
  • Implementar dispositivos de seguridad que permitan identificar y bloquear peticiones maliciosas hacia o desde los equipos de su infraestructura (IDS, IPS, gestores de contenido, AV, EndPoint, firewall, DLP, por mencionar algunos).
  • Generar listas negras que eviten las comunicaciones hacia los indicadores notificados.
  • Monitorear el tráfico de la red para detectar actividad inusual en la red.
  • Mantener las firmas de los antivirus actualizadas para prevenir una posible infección.
  • Verificar el remitente de cada mensaje de correo electrónico antes de realizar la descarga y acceso de cualquier documento adjunto
  • Realizar campañas de concientización a los usuarios sobre el uso correcto del correo electrónico.

Referencias