Actualidad desde nuestro Centro Experto de Ciberseguridad

 

 

Te traemos las últimas noticias y alertas detectadas de Ciberseguridad.

Conecta con nosotros a través de siainfo@sia.es

  •  

      Compartir en:

Noticias destacadas de ciberseguridad

Vulnerabilidades

Google revela detalles de la vulnerabilidad de ejecución remota de código en Windows (CVE-2021-24093)

 

securityweek.com

 

Los actores de amenazas pueden publicar Skills de Alexa dejando a los usuarios vulnerables a los ataques

 

  informationsecuritybuzz.com

Malware

Los atacantes buscan servidores VMware vulnerables después del lanzamiento del exploit PoC

 

  bleepingcomputer.com

 

El grupo Lazarus Group se ha dirigido a la industria de defensa de Corea del Sur usando el malware ThreatNeedle

 

  bleepingcomputer.com

 

Ciberseguridad

Detectada una brecha de seguridad que expone más de 8 millones de resultados de pruebas COVID debido a una mala implementación del sistema

 

  bleepingcomputer.com

 

Detectada una oleada de intentos de extorsión dirigidos a organizaciones que utilizan Accellion File Transfer Appliance

 

  bleepingcomputer.com

Últimas amenazas detectadas

Grupo APT Gamaredon ofreciendo servicios a otras APT

25/2/2021

Resumen ejecutivo

 

El grupo APT conocido como Gamaredon o Primitive Bear ha continuado sus actividades desde su aparición en 2013. Algunas nuevas evidencias detectadas en campañas más recientes, indican que está ofreciendo sus servicios a otras bandas cibercriminales.

Datos

 

Tipo:

 

TLP:

 

Objetivos:

 

Activos afectados:

 

Vector de ataque:

 

Tags:

 

Malware

 

White

 

Robos de credenciales

 

Credenciales

 

Spear-phishing

 

APT, Gamaredon, Malware, PrimitiveBear, spear-phishing

Descripción

 

El APT Gamaredon se encuentra activo desde al menos 2013, estando asociado con actividades pro-Rusia, aunque este grupo se dirige a víctimas de todo el mundo con fines de espionaje.

 

A pesar de haber sido expuesto varias veces en el pasado, Gamaredon ha continuado con sus operaciones sin obstáculos, pudiendo recopilar información sobre los objetivos y compartiéndolo con otras unidades, probablemente, grupos de amenaza más avanzados.

 

Gamaredon controla más de 600 dominios que son utilizados como servidores Command and control (C&C), lo cual es una gran infraestructura y ha estado activa durante mucho tiempo.

 

Gamaredon tiene especial cuidado en no infectar a determinadas víctimas en sus campañas. Gamaredon tiene una lista de direcciones IP en una black list cuyos dispositivos no seran infectados, habiendo aproximadamente 1.700 direcciones de 43 países diferentes.

 

Por toda esta información, Gamaredon es considerado un APT de segundo nivel, que brinda servicios a otros actores de amenazas y además, carece de la sofisticación de actores de primer nivel.

 

Detalle técnico

 

Este actor, hace uso de técnicas de phishing dirigido (spear-phishing) contra sus víctimas. Por ejemplo, en una de sus campañas se enviaba un documento Word adjunto con el nombre “НУЖНА ПОМОЩЬ.doc” cuya traducción sería “Necesito ayuda”, el cual está escrito en ruso, afirmando que un pariente ha sido arrestado por una acusación de terrorismo.

 

Gamaredon utiliza la inyección de plantillas en documentos de Word como vector de ataque inicial, por lo que, si el usuario abre dicha plantilla, el archivo se cargará desde el servidor C&C.

 

Este archivo malicioso contiene una macro embebida en VisualBasic que descifrará varias cadenas en base64, generando un script en VisualBasic que se ejecutará posteriormente como primera etapa del malware.

 

Después, comprueba si la segunda etapa se está ejecutando, y si es así, termina todos los procesos relacionados con la segunda etapa.

 

La primera solicitud contiene detalles sobre el host de la víctima. Si esta primera petición falla, el malware hará un ping al servidor C&C y realizará una segunda petición. Finalmente, el script realizará un “sleep” aleatorio entre 95 y 154 segundos antes de volver a contactar con el servidor C&C de la primera etapa, que responderá con un nuevo binario de la segunda etapa o con cero bytes.

 

Aunque la víctima haya detectado la infección en la segunda etapa, ya se habrá robado mucha información durante la fase de reconocimiento.

 

Las campañas relacionadas con Gamaredon en las que se evitaba infectar ciertas direcciones IP fueron detectadas a partir del 2018, pero siguen activas a día de hoy debido a que hacen uso de dominios dinámicos.

 

Técnicas utilizadas

 

Initial access

 

Phishing: Spearphishing Attachment T1566.001

 

Execution

 

  • Command and Scripting Interpreter: Visual Basic T1059.005
  • Command and Scripting Interpreter: Windows Command Shell T1059.003
  • Inter-Process Communication: Component Object Model T1559.001
  • Scheduled Task/Job: Scheduled Task T1053.005
  • User Execution: Malicious File T1204.002

 

Persistence

 

  • Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder T1547.001
  • Office Application Startup T1137
  • Scheduled Task/Job: Scheduled Task T1053.005

 

Privilege escalation

 

  • Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder T1547.001
  • Scheduled Task/Job: Scheduled Task T1053.005

 

Defense evation

 

  • Modify Registry T1112
  • Obfuscated Files or Information: Binary Padding T1027.001
  • Obfuscated Files or Information: Compile After Delivery T1027.004
  • Signed Binary Proxy Execution: Rundll32 T1218.011
  • Template Injection T1221
  • Deobfuscate/Decode Files or Information T1140
  • Impair Defenses: Disable or Modify Tools T1562.001
  • Indicator Removal on Host: File Deletion T1070.004

 

Discovery

 

  • File and Directory Discovery T1083
  • Peripheral Device Discovery T1120
  • System Information Discovery T1082
  • System Owner/User Discovery T1033

 

Lateral movement

 

  • Internal Spearphishing T1534
  • Taint Shared Content T1080

 

Collection

 

  • Automated Collection T1119
  • Data from Local System T1005
  • Data from Network Shared Drive T1039
  • Data from Removable Media T1025
  • Screen Capture T1113

 

Command and control

 

  • Application Layer Protocol: Web Protocols T1071.001
  • Ingress Tool Transfer T1105

 

 

Recomendaciones

Detección

 

  • Analizar las cabeceras de los correos electrónicos para determinar la procedencia y legitimidad de los mismos
  • Analizar los correos que contengan el mismo asunto y diferentes destinatarios
  • Analizar y recopilar todos los eventos reseñables de los sistemas de detección (Antivirus, IDS…)
  • Revisar las entradas del archivo host (Windows: C:\Windows\System32\drivers\etc\hosts y  Linux: etc/hosts)
  • Proceder a eliminar todas las muestras de malware y sus puntos de persistencia

 

Mitigación

 

  • La concienciación de los empleados es clave en la mitigación de este tipo de amenazas
  • Realizar un análisis forense en los equipos sospechosos para determinar que datos han podido ser filtrados
  • En caso de revelación de contraseñas, proceder lo antes posible a su restauración
  • Proceder a aislar los equipos de infectados para evitar la propagación del malware en la red

 

Protección

 

  • Actualizar el sistema operativo y todas las soluciones de seguridad, así como tener el cortafuegos personal habilitado
  • Activar la visualización de las extensiones de los ficheros para evitar ejecución de código dañino camuflado como ficheros legítimos no ejecutables
  • Deshabilitar las macros en los documentos de Microsoft Office y otras aplicaciones similares
  • No confiar en ningún correo con remitente desconocido
  • No acceder a los enlaces ni descargar archivos adjuntos que provengan de correos sospechosos
  • No contestar a este tipo de correos, ni llamar a los números de teléfono que puedan incluir
  • Eliminar todo correo sospechoso
  • Utilizar herramientas de análisis (Antivirus, IDS…) que detecten comportamiento sospechoso
  • Tener una correcta segregación en la arquitectura de redes
  • Contar con un inventariado actualizado con todos los activos
  • Realizar continuas auditorias de seguridad en los sistemas para detectar vulnerabilidades
  • Cambiar el programa determinado por defecto para los ficheros con extensión .js, .vbs, .vbe,.hta,.wsf,.wsc… para evitar su ejecución directamente al hacer doble clic.

 

Impulsa la transformación de los negocios y la sociedad mediante soluciones y servicios innovadores, poniendo a las personas en el centro.

 

 

minsait.com

Indra es una de las principales compañías globales de tecnología y consultoría: el socio tecnológico para las operaciones clave de los negocios de clientes en todo el mundo.

 

indracompany.com

Impulsa la transformación de los negocios y la sociedad mediante soluciones y servicios innovadores, poniendo a las personas en el centro.

 

minsait.com

Indra es una de las principales compañías globales de tecnología y consultoría: el socio tecnológico para las operaciones clave de los negocios de clientes en todo el mundo.

 

indracompany.com