Actualidad desde nuestro Centro Experto de Ciberseguridad
Te traemos las últimas noticias y alertas detectadas de Ciberseguridad.
Conecta con nosotros a través de siainfo@sia.es
Noticias destacadas de ciberseguridad
Vulnerabilidades
Google revela detalles de la vulnerabilidad de ejecución remota de código en Windows (CVE-2021-24093)
Los actores de amenazas pueden publicar Skills de Alexa dejando a los usuarios vulnerables a los ataques
Malware
Los atacantes buscan servidores VMware vulnerables después del lanzamiento del exploit PoC
El grupo Lazarus Group se ha dirigido a la industria de defensa de Corea del Sur usando el malware ThreatNeedle
Ciberseguridad
Detectada una brecha de seguridad que expone más de 8 millones de resultados de pruebas COVID debido a una mala implementación del sistema
Detectada una oleada de intentos de extorsión dirigidos a organizaciones que utilizan Accellion File Transfer Appliance
Últimas amenazas detectadas
Grupo APT Gamaredon ofreciendo servicios a otras APT
25/2/2021
Resumen ejecutivo
El grupo APT conocido como Gamaredon o Primitive Bear ha continuado sus actividades desde su aparición en 2013. Algunas nuevas evidencias detectadas en campañas más recientes, indican que está ofreciendo sus servicios a otras bandas cibercriminales.
Datos
Tipo:
TLP:
Objetivos:
Activos afectados:
Vector de ataque:
Tags:
Malware
White
Robos de credenciales
Credenciales
Spear-phishing
APT, Gamaredon, Malware, PrimitiveBear, spear-phishing
Descripción
El APT Gamaredon se encuentra activo desde al menos 2013, estando asociado con actividades pro-Rusia, aunque este grupo se dirige a víctimas de todo el mundo con fines de espionaje.
A pesar de haber sido expuesto varias veces en el pasado, Gamaredon ha continuado con sus operaciones sin obstáculos, pudiendo recopilar información sobre los objetivos y compartiéndolo con otras unidades, probablemente, grupos de amenaza más avanzados.
Gamaredon controla más de 600 dominios que son utilizados como servidores Command and control (C&C), lo cual es una gran infraestructura y ha estado activa durante mucho tiempo.
Gamaredon tiene especial cuidado en no infectar a determinadas víctimas en sus campañas. Gamaredon tiene una lista de direcciones IP en una black list cuyos dispositivos no seran infectados, habiendo aproximadamente 1.700 direcciones de 43 países diferentes.
Por toda esta información, Gamaredon es considerado un APT de segundo nivel, que brinda servicios a otros actores de amenazas y además, carece de la sofisticación de actores de primer nivel.
Detalle técnico
Este actor, hace uso de técnicas de phishing dirigido (spear-phishing) contra sus víctimas. Por ejemplo, en una de sus campañas se enviaba un documento Word adjunto con el nombre “НУЖНА ПОМОЩЬ.doc” cuya traducción sería “Necesito ayuda”, el cual está escrito en ruso, afirmando que un pariente ha sido arrestado por una acusación de terrorismo.
Gamaredon utiliza la inyección de plantillas en documentos de Word como vector de ataque inicial, por lo que, si el usuario abre dicha plantilla, el archivo se cargará desde el servidor C&C.
Este archivo malicioso contiene una macro embebida en VisualBasic que descifrará varias cadenas en base64, generando un script en VisualBasic que se ejecutará posteriormente como primera etapa del malware.
Después, comprueba si la segunda etapa se está ejecutando, y si es así, termina todos los procesos relacionados con la segunda etapa.
La primera solicitud contiene detalles sobre el host de la víctima. Si esta primera petición falla, el malware hará un ping al servidor C&C y realizará una segunda petición. Finalmente, el script realizará un “sleep” aleatorio entre 95 y 154 segundos antes de volver a contactar con el servidor C&C de la primera etapa, que responderá con un nuevo binario de la segunda etapa o con cero bytes.
Aunque la víctima haya detectado la infección en la segunda etapa, ya se habrá robado mucha información durante la fase de reconocimiento.
Las campañas relacionadas con Gamaredon en las que se evitaba infectar ciertas direcciones IP fueron detectadas a partir del 2018, pero siguen activas a día de hoy debido a que hacen uso de dominios dinámicos.
Técnicas utilizadas
Initial access
Phishing: Spearphishing Attachment T1566.001
Execution
Persistence
Privilege escalation
Defense evation
Discovery
Lateral movement
Collection
Command and control
Recomendaciones
Detección
Mitigación
Protección
Impulsa la transformación de los negocios y la sociedad mediante soluciones y servicios innovadores, poniendo a las personas en el centro.
Indra es una de las principales compañías globales de tecnología y consultoría: el socio tecnológico para las operaciones clave de los negocios de clientes en todo el mundo.
Tel.: +34 91 307 79 97
Impulsa la transformación de los negocios y la sociedad mediante soluciones y servicios innovadores, poniendo a las personas en el centro.
Indra es una de las principales compañías globales de tecnología y consultoría: el socio tecnológico para las operaciones clave de los negocios de clientes en todo el mundo.