TLP: White
NIVEL DE RIESGO – [Alto]
Acción Requerida: Aplicar las medidas de contención e IoCs especificados en este aviso.
Vector de ataque: Remoto.
Impacto: Acceso no autorizado y configuración no autorizada del sistema operativo afectado.

Descripción

Investigadores de ciberseguridad identificaron que un archivo se está descargando a través de una puerta trasera en el software de contabilidad fiscal “Aisino Intelligent Tax”. El objetivo de esta actividad es distribuir un desinstalador que elimina la puerta trasera que implementa el programa malicioso “GoldenSpy” y cualquier rastro de su presencia en el equipo infectado, incluyendo la eliminación de entradas de registro, todos los archivos y directorios, y finalmente el desinstalador mismo en un aparente intento de encubrir las actividades ilícitas de los operadores de dicho malware.

El software de impuestos Aisino Intelligent Tax, puede ejecutar el instalador mediante un comando para actualizar o instalar un nuevo software. Normalmente, se descarga el módulo de instalación “SVMinstaller” para implantar “GoldenSpy” en el equipo objetivo, pero desde el 28 de junio se ha identificado un nuevo flujo que descarga y ejecuta un desinstalador llamado “AWX.exe”.

Según un informe realizado por la firma de ciberseguridad Trustwave, se ha observado una segunda versión del desinstalador llamada “BWXT.exe” la cual presenta nuevas funcionalidades para ofuscar sus variables con codificación “Base64”, posiblemente para evadir las soluciones antivirus implementadas.

A continuación, se muestra el flujo del proceso de la actividad identificada:

  • El comando “PROTOCOL_00” solicitará cualquier actualización de software.
  • Recibe el comando para instalar “AWX.exe”.
  • El comando “PROTOCOL_99” descarga y ejecuta “AWX.exe” desde http: //223.112.21 [.2: 8090] /download/AWX.exe.

Nivel de riesgo

  • [Alto]

Sistemas/tecnologías afectadas

  • Sistemas operativos Microsoft Windows.

Indicadores de compromiso IoCs

A continuación, se listan los IoCs identificados hasta el momento, relacionados con la campaña maliciosa reportada:

Identificadores para AWX.exe:

  • SHA-256
    • 7F5ED71F18937ECC6DB9520CA9A9D16E3C113609C7A9A99A29BA74687F1349D2
  • SHA1
    • 4755B68996B53AD3F734127FE46723B60681856E
  • URL
    • http://223[.]112[.]21[.2:8090]/download/AWX[.]exe

Identificadores para BWXT.exe:

  • SHA-256
    • 7D48F65FF9E904AC98E0F41B94F04723CE907FC221EFFFBBF83545CA167FE921
  • SHA1
    • 3DFF337E2B3E1D3DC995A4B6965AE09C1BF5B137
  • MD5
    • F2A7363CF43B5900BB872B0D4C627A48
  • URL
    • http://223[.]112[.]21[.2:8090]/download/BWXT[.]exe

Medidas de contención

  • Asegurar el entorno de red implementando un sistema de prevención de intrusiones (IPS) y el filtrado web para proporcionar visibilidad y observar el tráfico interno y externo.
  • Asegurar la vía de administración remota implementando un esquema de control de acceso completo y consistente e instalar controles de punto final sólidos.
  • Adherirse a las mejores prácticas recomendadas.
  • Utilizar herramientas de seguridad para escanear y asegurar contenedores.
  • Seguir algunas de recomendaciones como; suspender y eliminar los procesos svm.exe y svmm.exe y eliminar los archivos relacionados situados en el directorio SVM.

Referencias