TLP: White
NIVEL DE RIESGO: [Medio]
Acción Requerida: plicar los indicadores de compromiso descritos en los dispositivos de seguridad de las organizaciones.
Vector de ataque: Red, correo spam.
Impacto: Robo de información de la organización.

Descripción

En febrero y mayo del presente año, se ha observado cuatro documentos maliciosos de Microsoft Word basados en macros alojados en sitios Web de recién registro de nombre de dominio de nivel superior “.space” y “.xyz”. Se le atribuye esta actividad maliciosa al mismo actor de amenaza debido a las tácticas, técnicas y procedimientos TTP similares utilizados para desplegar la carga útil final.

La carga útil final implementada en .NET, no se había observado antes, tiene una sección de código que se superpone con QuasarRAT, a este programa malicioso se le ha denominado como “ShellReset RAT” debido a las cadenas únicas que se encuentran dentro de la carga útil final.

El proceso de infección involucra técnicas como compilar la carga útil en tiempo de ejecución, uso de servicios confiables de Microsoft Windows para evadir los mecanismos de seguridad del sistema operativo y descargar código fuente ofuscado desde el servidor malicioso para ejecutar las siguientes fases.

Al realizar el análisis de uno de los documentos, el cual está basado en macros, cuando se busca abrirlo, muestra un mensaje donde le pide al usuario que habilite la “smacros” para ver el contenido. Cuando las macros están habilitadas, se llama a la subrutina “Auto_Open()”, que mostrará la imagen correspondiente al tema del documento.

Las funciones principales que realiza este código macro son:

  • Establece el directorio de trabajo y el nombre del archivo descartado en ServiceHostV1000.
  • Contiene el código C # completo incrustado dentro de la macro, que se escribirá en tiempo de ejecución en el archivo: ServiceHostV1000.cs en el directorio de trabajo. El código C # se ofusca en el nivel de origen. La ofuscación es simple. Solo se ofuscan los nombres de variables, clases y métodos.
  • Establece el directorio del compilador en la ubicación del archivo, csc.exe, en la máquina. Csc.exe es el compilador de línea de comandos para el código C # y se instala de manera predeterminada con Microsoft .NET Framework. La macro busca las versiones 3.5 y 4.0.x en la máquina. Establece el directorio del compilador de acuerdo con la versión de .NET Framework instalada en la máquina.

ShellReset RAT recopila las siguientes propiedades del equipo de cómputo afectado:

  • ID de bot: un identificador único para la máquina.
  • Nombre de la CPU: detalles del procesador.
  • RAM: la cantidad total de RAM instalada en la máquina.
  • Nombre de usuario
  • Nombre del host
  • Nombre de unidad del sistema
  • Ruta del directorio del sistema
  • Tiempo de actividad
  • Tipo de sistema operativo.

Nivel de riesgo

  • [Medio]

Sistemas/tecnologías afectadas

  • Sistemas Operativos Microsoft Windows

Indicadores de compromiso (IoCs)

  • MD5-HASH
    • 93f913f3b9e0ef3f5cedd196eae3f2ae
    • b34b74effbd8647c4f5dc61358e1555f
    • 7bebf686b6e1d3fa537e8a0c2e5a4bdc
    • 1d94b086996c99785f78bf484295027a
  • Archivo
    • 5G Expo.doc
    • FutureBuild.doc
    • Get%20Stared.doc
  • URL
    • hxxps://documentsharing[.]space/files/5G%20Expo.doc?clientEmail=
    • hxxps://documentsharing[.]space/files/FutureBuild.doc?clientEmail=
    • hxxps://misrmarket[.]xyz/files/Get%20Stared.doc?clientEmail=
    • hxxps://consumerspost[.]xyz/files/Swissin-Voucher.doc
    • hxxps://misrmarket[.]xyz/files/app-provider/getApp
    • hxxps://misrmarket[.]xyz/files/app-provider/getLatestVersion
    • hxxps://centeralfiles[.]xyz/files/app-provider/getApp
    • hxxps://centeralfiles[.]xyz/files/app-provider/ getLatestVersion
    • theashyggdrasil[.]xyz
  • API
    • /api/cmd/onCmdRun
    • /api/clients/identifyClient
    • /api/assets/onCreated
    • /api/assets/getAwsUploadUrl
    • /api/files/onGetDirRun
    • /api/orders/getOrders/

Medidas de contención

  • Aplicar los indicadores de compromiso en la infraestructura que así lo permita.
  • Deshabilitar la ejecución automática de macros en documentos Microsoft Office.
  • Concientización del personal.
  • Definir listas de control de acceso, permitiendo únicamente conexiones autorizadas entrantes y salientes desde las plataformas tecnológicas.
  • Identificar equipos internos que hayan podido realizar algún tipo de comunicación con los indicadores notificados.

Referencias