Actualidad desde nuestro Centro Experto de Ciberseguridad
Te traemos las últimas noticias y alertas detectadas de Ciberseguridad.
Conecta con nosotros a través de siainfo@sia.es
Compartir en:
Noticias destacadas de ciberseguridad
Vulnerabilidades
Google revela detalles de la vulnerabilidad de ejecución remota de código en Windows (CVE-2021-24093)
Los actores de amenazas pueden publicar Skills de Alexa dejando a los usuarios vulnerables a los ataques
Malware
Los atacantes buscan servidores VMware vulnerables después del lanzamiento del exploit PoC
El grupo Lazarus Group se ha dirigido a la industria de defensa de Corea del Sur usando el malware ThreatNeedle
Ciberseguridad
Detectada una brecha de seguridad que expone más de 8 millones de resultados de pruebas COVID debido a una mala implementación del sistema
Detectada una oleada de intentos de extorsión dirigidos a organizaciones que utilizan Accellion File Transfer Appliance
Últimas amenazas detectadas
Grupo APT Gamaredon ofreciendo servicios a otras APT
25/2/2021
Resumen ejecutivo
El grupo APT conocido como Gamaredon o Primitive Bear ha continuado sus actividades desde su aparición en 2013. Algunas nuevas evidencias detectadas en campañas más recientes, indican que está ofreciendo sus servicios a otras bandas cibercriminales.
Datos
Tipo:
TLP:
Objetivos:
Activos afectados:
Vector de ataque:
Tags:
Malware
White
Robos de credenciales
Credenciales
Spear-phishing
APT, Gamaredon, Malware, PrimitiveBear, spear-phishing
Descripción
El APT Gamaredon se encuentra activo desde al menos 2013, estando asociado con actividades pro-Rusia, aunque este grupo se dirige a víctimas de todo el mundo con fines de espionaje.
A pesar de haber sido expuesto varias veces en el pasado, Gamaredon ha continuado con sus operaciones sin obstáculos, pudiendo recopilar información sobre los objetivos y compartiéndolo con otras unidades, probablemente, grupos de amenaza más avanzados.
Gamaredon controla más de 600 dominios que son utilizados como servidores Command and control (C&C), lo cual es una gran infraestructura y ha estado activa durante mucho tiempo.
Gamaredon tiene especial cuidado en no infectar a determinadas víctimas en sus campañas. Gamaredon tiene una lista de direcciones IP en una black list cuyos dispositivos no seran infectados, habiendo aproximadamente 1.700 direcciones de 43 países diferentes.
Por toda esta información, Gamaredon es considerado un APT de segundo nivel, que brinda servicios a otros actores de amenazas y además, carece de la sofisticación de actores de primer nivel.
Detalle técnico
Este actor, hace uso de técnicas de phishing dirigido (spear-phishing) contra sus víctimas. Por ejemplo, en una de sus campañas se enviaba un documento Word adjunto con el nombre “НУЖНА ПОМОЩЬ.doc” cuya traducción sería “Necesito ayuda”, el cual está escrito en ruso, afirmando que un pariente ha sido arrestado por una acusación de terrorismo.
Gamaredon utiliza la inyección de plantillas en documentos de Word como vector de ataque inicial, por lo que, si el usuario abre dicha plantilla, el archivo se cargará desde el servidor C&C.
Este archivo malicioso contiene una macro embebida en VisualBasic que descifrará varias cadenas en base64, generando un script en VisualBasic que se ejecutará posteriormente como primera etapa del malware.
Después, comprueba si la segunda etapa se está ejecutando, y si es así, termina todos los procesos relacionados con la segunda etapa.
La primera solicitud contiene detalles sobre el host de la víctima. Si esta primera petición falla, el malware hará un ping al servidor C&C y realizará una segunda petición. Finalmente, el script realizará un “sleep” aleatorio entre 95 y 154 segundos antes de volver a contactar con el servidor C&C de la primera etapa, que responderá con un nuevo binario de la segunda etapa o con cero bytes.
Aunque la víctima haya detectado la infección en la segunda etapa, ya se habrá robado mucha información durante la fase de reconocimiento.
Las campañas relacionadas con Gamaredon en las que se evitaba infectar ciertas direcciones IP fueron detectadas a partir del 2018, pero siguen activas a día de hoy debido a que hacen uso de dominios dinámicos.
Técnicas utilizadas
Initial access
Phishing: Spearphishing Attachment T1566.001
Execution
- Command and Scripting Interpreter: Visual Basic T1059.005
- Command and Scripting Interpreter: Windows Command Shell T1059.003
- Inter-Process Communication: Component Object Model T1559.001
- Scheduled Task/Job: Scheduled Task T1053.005
- User Execution: Malicious File T1204.002
Persistence
- Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder T1547.001
- Office Application Startup T1137
- Scheduled Task/Job: Scheduled Task T1053.005
Privilege escalation
- Boot or Logon Autostart Execution: Registry Run Keys / Startup Folder T1547.001
- Scheduled Task/Job: Scheduled Task T1053.005
Defense evation
- Modify Registry T1112
- Obfuscated Files or Information: Binary Padding T1027.001
- Obfuscated Files or Information: Compile After Delivery T1027.004
- Signed Binary Proxy Execution: Rundll32 T1218.011
- Template Injection T1221
- Deobfuscate/Decode Files or Information T1140
- Impair Defenses: Disable or Modify Tools T1562.001
- Indicator Removal on Host: File Deletion T1070.004
Discovery
- File and Directory Discovery T1083
- Peripheral Device Discovery T1120
- System Information Discovery T1082
- System Owner/User Discovery T1033
Lateral movement
- Internal Spearphishing T1534
- Taint Shared Content T1080
Collection
- Automated Collection T1119
- Data from Local System T1005
- Data from Network Shared Drive T1039
- Data from Removable Media T1025
- Screen Capture T1113
Command and control
- Application Layer Protocol: Web Protocols T1071.001
- Ingress Tool Transfer T1105
Recomendaciones
Detección
- Analizar las cabeceras de los correos electrónicos para determinar la procedencia y legitimidad de los mismos
- Analizar los correos que contengan el mismo asunto y diferentes destinatarios
- Analizar y recopilar todos los eventos reseñables de los sistemas de detección (Antivirus, IDS…)
- Revisar las entradas del archivo host (Windows: C:\Windows\System32\drivers\etc\hosts y Linux: etc/hosts)
- Proceder a eliminar todas las muestras de malware y sus puntos de persistencia
Mitigación
- La concienciación de los empleados es clave en la mitigación de este tipo de amenazas
- Realizar un análisis forense en los equipos sospechosos para determinar que datos han podido ser filtrados
- En caso de revelación de contraseñas, proceder lo antes posible a su restauración
- Proceder a aislar los equipos de infectados para evitar la propagación del malware en la red
Protección
- Actualizar el sistema operativo y todas las soluciones de seguridad, así como tener el cortafuegos personal habilitado
- Activar la visualización de las extensiones de los ficheros para evitar ejecución de código dañino camuflado como ficheros legítimos no ejecutables
- Deshabilitar las macros en los documentos de Microsoft Office y otras aplicaciones similares
- No confiar en ningún correo con remitente desconocido
- No acceder a los enlaces ni descargar archivos adjuntos que provengan de correos sospechosos
- No contestar a este tipo de correos, ni llamar a los números de teléfono que puedan incluir
- Eliminar todo correo sospechoso
- Utilizar herramientas de análisis (Antivirus, IDS…) que detecten comportamiento sospechoso
- Tener una correcta segregación en la arquitectura de redes
- Contar con un inventariado actualizado con todos los activos
- Realizar continuas auditorias de seguridad en los sistemas para detectar vulnerabilidades
- Cambiar el programa determinado por defecto para los ficheros con extensión .js, .vbs, .vbe,.hta,.wsf,.wsc… para evitar su ejecución directamente al hacer doble clic.
Impulsa la transformación de los negocios y la sociedad mediante soluciones y servicios innovadores, poniendo a las personas en el centro.
Indra es una de las principales compañías globales de tecnología y consultoría: el socio tecnológico para las operaciones clave de los negocios de clientes en todo el mundo.