blog.scilabs.mx
Open in
urlscan Pro
66.22.15.150
Public Scan
URL:
https://blog.scilabs.mx/malware-campaign-attributed-to-apt-c-36-context-and-iocs-update-june-2022/
Submission: On June 30 via manual from NL — Scanned from NL
Submission: On June 30 via manual from NL — Scanned from NL
Form analysis
2 forms found in the DOMGET https://blog.scilabs.mx/
<form role="search" method="get" action="https://blog.scilabs.mx/" class="wp-block-search__button-outside wp-block-search__text-button wp-block-search"><label for="wp-block-search__input-1" class="wp-block-search__label">Búsqueda</label>
<div class="wp-block-search__inside-wrapper"><input type="search" id="wp-block-search__input-1" class="wp-block-search__input" name="s" value="" placeholder="" required=""><button type="submit" class="wp-block-search__button ">Buscar</button></div>
</form>
GET https://blog.scilabs.mx/
<form role="search" method="get" action="https://blog.scilabs.mx/" class="wp-block-search__button-outside wp-block-search__text-button wp-block-search"><label for="wp-block-search__input-2" class="wp-block-search__label">Search</label>
<div class="wp-block-search__inside-wrapper"><input type="search" id="wp-block-search__input-2" class="wp-block-search__input" name="s" value="" placeholder="" required=""><button type="submit" class="wp-block-search__button ">Search</button></div>
</form>
Text Content
Skip to content * Home * Contacto * English Uncategorized CAMPAÑA DE MALWARE ATRIBUIDA A APT-C-36, CONTEXTO Y IOCS July 20, 2022 SCILabs LATAM, Malware, Trojan VISIÓN GENERAL El siguiente informe proporciona los TTPs y IOCs identificados en una campaña de malware que suplanta a la “Fiscalía General de la Nación” de Colombia. Nuestro equipo de investigación identificó esta campaña a través de procesos de threat hunting en fuentes públicas. El grupo detrás de esta campaña es APT-C-36 también conocido como Blind Eagle. Muchos de los TTPs coinciden con los encontrados en campañas previas atribuidas a este grupo cibercriminal en investigaciones públicas. SCILabs no pudo identificar el vector inicial de ataque, sin embargo, determinamos con un alto nivel de confianza que al igual que en campañas previas, los atacantes distribuyen el malware a través de correos electrónicos de phishing con un documento PDF adjunto. Realizamos esta hipótesis basados en los TTPs que se observaron en campañas previas de este grupo de amenazas. Al igual que en campañas previas, los cibercriminales continúan utilizando njRAT. Cómo es sabido, este tipo de troyanos tiene capacidades similares, como, el robo de contraseñas almacenadas en buscadores, apertura de procesos de reverse shell, carga y descarga de archivos, así como un ladrón de contraseñas y un keylogger entre otros. Basados en las capacidades y TTPs identificados en el malware utilizado por los atacantes, el objetivo de esta campaña es el robo de información de usuarios en Colombia. ¿CÓMO PUEDE AFECTAR A UNA ORGANIZACIÓN? El principal objetivo del atacante son usuarios en Colombia, su finalidad es implantar un backdoor para controlar la computadora victima y dar las bases para moverse lateralmente a otro tipo de ataques relacionados al robo de información sensible, la cual puede causar pérdidas financiera y de reputación en las empresas afectadas. ANÁLISIS CONTEXTO DE LA AMENAZA SCILabs recuperó un archivo PDF a través de procesos de threat hunting en fuentes públicas; el archivo incluye un hipervínculo a los servidores de OneDrive, lo que lleva a la descarga de un archivo comprimido de tipo BZ2 protegido por una contraseña con un archivo .vbs en su interior. La contraseña está dentro del archivo PDF. El archivo .vbs descarga un archivo de texto que contiene codificado un script de PowerShell para llevar a cabo las siguientes operaciones: * Decodificar la librería FunWithAMSI para evadir Microsoft AMSI (Windows Antimalware Scan Interface) * Guarda el payload de njRAT en el registro de Windows * Genera los archivos necesarios para generar persistencia * Ejecuta el ultimo archivo para completar la infección inyectando el troyano njRAT en el ejecutable aspnet_compiler.exe FLUJO DE ATAQUE A continuación, se muestra el flujo de ataque observado durante la investigación. RESUMEN TÉCNICO Comúnmente el método de acceso inicial de APT-C-36 son correos de phishing suplantando varias organizaciones principalmente de Colombia. SCILabs pudo recuperar únicamente el archivo PDF adjunto al correo de phishing suplantando a la “Fiscalía General de la Nación” de Colombia. El archivo PDF contiene una URL que conduce a la descarga de un archivo comprimido de tipo BZ2 protegido por una contraseña y descargado desde servidores legítimos de OneDrive. El archivo .bz2 contiene un script de Visual Basic. El atacante usa una técnica de fileless utilizando el script .vbs para descargar desde servidores de Discord un archivo de texto que contiene instrucciones de PowerShell codificadas en base64 para realizar las siguientes acciones: * Decodifica la librería FunWithAMSI para evadir Microsoft AMSI (Windows Antimalware Scan Interface) * Guarda el payload de njRAT en el registro de Windows con el valor default en HKCU:\software\wow6432node\Microsoft\WindowsUpdate * Genera los siguientes archivos para establecer persistencia y terminar la cadena de infección: * SystemLogin.bat: Archivo batch codificado para ejecutar la última etapa de la infección a través de la técnica de Ejecución de Proxy Binario con la utilidad mshta y comandos de PowerShell. Este archivo se coloca en la carpeta %AppData%\Roaming * Login1.vbs: Script de Visual Basic colocado en el directorio de inicio de Windows para generar persistencia y ejecutar el archivo SystemLogin.bat * myScript.ps1: Script de PowerShell colocado en la carpeta de Windows %PUBLIC% para generar persistencia y ejecutar el archivo SystemLogin.bat. Este archivo contiene un inyector de njRAT, la DLL codificada FunWithAMSI, la librería AES Everywhere para decodificar el payload de njRAT, y las instrucciones para inyectar el troyano en el ejecutable legítimo aspnet_compiler.exe. Finalmente, el ejecutable aspnet_compiler.exe localizado en el directorio C:\Windows\Microsoft.NET\Framework\v4.0.30319 es utilizado para inyectar el troyano njRAT y establecer la comunicación con el dominio C2 (1204abril[.]duckdns[.]org[:]2001). Es importante mencionar que, en general, los TTPs observados en investigaciones previas hechas por SCILabs se mantienen, sin embargo, se identificó que el adversario está utilizando scripts de Visual Basic como principal dropper en lugar de archivos de JavaScript. MODELO DIAMANTE A continuación, se muestra el modelo diamante observado durante la investigación. COMPARACIONES ENTRE CAMPAÑAS PREVIAS DE APT-C-36 Y LA CAMPAÑA ACTUAL (PRINCIPALES INDICADORES) Para determinar que el adversario de las campañas previas y la actual es el mismo, SCILabs uso la “regla del 2” la cual indica que para determinar que dos amenazas son iguales, debe haber traslapes en al menos dos vértices del modelo diamante. El siguiente es el resultado de aplicar esta regla: Modelo Diamante Indicadores Clave (Datos de Intrusión) & Superposiciones Contexto Adversario Campañas previas de APT-C-36 / Campaña actual de APT-C-36 Archivo comprimido y protegido para distribuir el dropper principal. TTP T1566.001 – Phishing: Spearphishing Attachment Infraestructura Archivo comprimido protegido con contraseña Víctima Usuarios y organizaciones colombianas Adversario Campañas previas de APT-C-36 / Campaña actual de APT-C-36 Archivo PDF dirigido a la víctima, para la descarga de la primera fase de la cadena de infección. De acuerdo con algunas investigaciones públicas se han encontrado correos electrónicos relacionados, utilizados para atacar al gobierno colombiano, instituciones financieras y grandes empresas en Colombia. TTP T1566.001 – Phishing: Spearphishing Attachment Infraestructura Archivo PDF o documento malicioso suplantando a la “Fiscalía General de la Nación. Víctima Campañas previas: Usuarios y organizaciones colombianas Campaña actual: Usuarios en Colombia Adversario Campañas previas de APT-C-36 / Campaña actual de APT-C-36 Basados en investigaciones públicas y en los TTPs observados por SCILabs, el adversario utiliza JavaScript, Visual Basic Script, y PowerShell para las diferentes etapas de la infección. TTP T1059 – Command and Scripting Interpreter Infraestructura Desarrollo de artefactos utilizando lenguajes de scripting como, Visual Basic Script, PowerShell y JavaScript. Adicionalmente, el uso de RATs, como, njRAT Víctima Campañas previas: Usuarios y organizaciones colombianas Campaña actual: Usuarios en Colombia Adversario Campañas previas de APT-C-36 / Campaña actual de APT-C-36 Los atacantes a menudo descargan archivos de texto encriptados de sistemas externos que contienen artefactos embebidos, como, RATs de productos básicos o inyectores DLL para implementar el malware TTP T1105 – Ingress Tool Transfer Infraestructura njRAT versión 0.7NC Inyector DLL genérico Parametros de Malware Víctima Campañas previas: Usuarios y organizaciones colombianas Campaña actual: Usuarios en Colombia Adversario Campañas previas de APT-C-36 / Campaña actual de APT-C-36 Los atacantes utilizan puertos poco usuales para sus servidores C2. TTP T1571 – Non-Standard Port Infraestructura Puertos de campañas previas: 57831, 2050, 57831 Puertos de la campaña actual: 2001 Víctima Campañas previas: Usuarios y organizaciones colombianas Campaña actual: Usuarios en Colombia Adversario Campañas previas de APT-C-36 / Campaña actual de APT-C-36 Los adversarios utilizan código ofuscado a través de la cadena de infección, haciendo uso de archivos de texto plano como medio principal para almacenar payloads y comandos. A menudo utilizan algoritmos base64 y reemplazan letras o caracteres especiales en sus payloads ofuscados. TTP T1027 – Obfuscated Files or Information Infraestructura algoritmos de BASE64 Reemplazando letras y caracteres especiales Funciones propias para ofuscar datos Víctima Campañas previas: Usuarios y organizaciones colombianas Campaña actual: Usuarios en Colombia Adversario Campañas previas de APT-C-36 / Campaña actual de APT-C-36 Los atacantes han usado commodity RAT njRAT. TTP T1588.002 – Obtain Capabilities Tool Infraestructura njRAT Víctima Campañas previas: Usuarios y organizaciones colombianas Campaña actual: Usuarios en Colombia Adversario Campañas previas de APT-C-36 / Campaña actual de APT-C-36 Los atacantes utilizan un script .vbs en el directorio de inicio de Windows para generar persistencia. TTP T1547.001 Boot or Logon Auto start Execution: Registry Run Keys / Startup Folder Infraestructura script VBS en el folder de inicio de Windows para generar persistencia Víctima Campañas previas: Usuarios y organizaciones colombianas Campaña actual: Usuarios en Colombia Adversario Campañas previas de APT-C-36 / Campaña actual de APT-C-36 En campañas recientes, los adversarios han hecho uso de servicios de dominio como, Duckdns y el protocolo HTTP para comunicarse con el servidor C2. TTP T1071.001 – Application Layer Protocol: Web Protocols Infraestructura Dominios Duckdns Víctima Campañas previas: Usuarios y organizaciones colombianas Campaña actual: Usuarios en Colombia En el resultado de este ejercicio se pueden observar las superposiciones entre los vértices de la infraestructura y capacidades/TTPs, cumpliendo con la regla del 2 y sustentando que el adversario detrás de esta campaña es probablemente APT-C-36. SCILabs continuara continuara con el monitoreo de campañas para obtener más elementos que permitan incrementar el nivel de certeza de la atribución. TTPS OBSERVADOS, ALINEADOS CON EL MARCO ATT&CK DE MITRE CONCLUSIONES El grupo de amenaza APT-C-36 se caracteriza por el uso de commodity RATs como njRAT, SCILabs ha identificado que los artefactos utilizados durante la cadena de infección tienen un bajo nivel de detección por soluciones antivirus comerciales. Adicionalmente, ellos actualizan constantemente sus artefactos, por ejemplo, actualmente utilizan archivos .vbs en lugar de archivos JavaScript y utilizan diferentes plantillas PDF o diferentes pretextos en sus correos electrónicos para evadir las protecciones anti-spam. Este adversario emplea las técnicas fileless y living off the land, y usa servicios de almacenamiento en la nube como los de OneDrive o Discord para alojar sus artefactos maliciosos y varios algoritmos de ofuscación y encriptación. Esto puede complicar el análisis de comportamiento por parte de las soluciones de seguridad, por esta razón es importante que las organizaciones realicen búsquedas de amenazas dentro de sus endpoints y workstations considerando directorios, llaves de registro y ejecutables como los mencionados en este reporte. Estas características hacen de este adversario un foco de atención ya que SCILabs considera que los atacantes podrían en el futuro atacar víctimas en otros países, como, México a todo tipo de organizaciones. Por ello para SCILabs es importante que las organizaciones estén informadas y actualizadas sobre los TTP que utiliza este adversario y que podrían ser replicados por otros grupos de ciberdelincuentes para realizar ataques más destructivos. Creemos que las víctimas ideales de este tipo de campañas son las organizaciones que nos prestan especial atención a los indicadores de comportamiento y no conocen a detalle las fases de la cadena de infección de este tipo de ataques. SCILabs creé que este adversario continuara con el uso de commodity RATs y teniendo como objetivo a LATAM, sin embargo, basados en nuestra telemetría, los cibercriminales continuarán modificando sus artefactos para incrementar su efectividad. IOCS 386CEAFDE6870930B4C0C0FAF3274A7A C86433C0F61D1DF61208B2CFCA02543F F967C869142E3242BFCA0E9C38CDD6FD 324DB54A7DF625B2CBF6B75E9EFEC140 2BB9168601ED09F975041B3E5593A764 889BDEAF65D152BEC9512A768B73CB5A 08FBA67E620C5AF2C4738EAB767A78D5 HXXPS[:]//ONEDRIVE[.]LIVE[.]COM/DOWNLOAD?CID=7F3ACF9F2D72D5A5&RESID=7F3ACF9F2D72D5A5%21827&AUTHKEY=AMZ2CWHP91GKHCI HXXPS[:]//CDN[.]DISCORDAPP[.]COM/ATTACHMENTS/911673301896691753/976527856819646504/MIO18MAYOMIO[.]TXT 1204ABRIL[.]DUCKDNS[.]ORG[:]2001 ABRIL[.]DUCKDNS[.]ORG HKCU:\SOFTWARE\bf02403cd3e34e50a6f HKCU:\SOFTWARE \wow6432node\Microsoft\WindowsUpdate * ← Cuidado con Emotet * Campaña de malware BumbleBee dirigida a México → Búsqueda Buscar * Red Mongoose Daemon: nuevo Troyano bancario observado en mayo de 2024 * Threat Profile: Red Akodon, un nuevo actor de amenazas distribuyendo RATs dirigidos a Colombia * Panorama general de los CryptoMiners en LATAM * Threat Profile: Red BerryMiner * Threat Profile: Ransomhouse Search Search RECENT POSTS * Red Mongoose Daemon: nuevo Troyano bancario observado en mayo de 2024 * Threat Profile: Red Akodon, un nuevo actor de amenazas distribuyendo RATs dirigidos a Colombia * Panorama general de los CryptoMiners en LATAM * Threat Profile: Red BerryMiner * Threat Profile: Ransomhouse ARCHIVES * June 2024 * May 2024 * December 2023 * October 2023 * May 2023 * February 2023 * December 2022 * August 2022 * July 2022 * May 2022 * March 2022 * February 2022 * January 2022 * December 2021 CATEGORIES * Cyberactors * Malware * Ransomware * Recomendations * Threat Actor * Uncategorized (55) 9150-7400 Reporta una Vulnerabilidad * * * Copyright © 2024 . All rights reserved. Theme: ColorMag by ThemeGrill. Powered by WordPress.