Yaakov's Group | Ciberseguridad

Puerta trasera Bisonal actualizada del grupo CactusPete APT

Comparte este post en tus redes sociales

La puerta trasera se utilizó para atacar organizaciones financieras y militares en Europa del Este.

CactusPete (también conocido como Karma Panda o Tonto Team) es un grupo de APT que se conoce públicamente desde al menos 2013. Algunas de las actividades del grupo han sido previamente descritas en público por múltiples fuentes. También hemos estado investigando e informando de forma privada sobre la actividad de este grupo durante años. Históricamente, su actividad se ha centrado en objetivos militares, diplomáticos y de infraestructura en Asia y Europa del Este.

Esto también se aplica a las últimas actividades del grupo.

Una nueva campaña de CactusPete, descubierta a fines de febrero de 2020 por Kaspersky, muestra que los tipos de objetivos favoritos del grupo siguen siendo los mismos. Las víctimas de la nueva variante de la puerta trasera Bisonal, según nuestra telemetría, procedían de los sectores financiero y militar ubicados en Europa del Este. Nuestra investigación comenzó con una sola muestra, pero al utilizar Kaspersky Threat Attribution Engine (KTAE) encontramos más de 300 muestras casi idénticas. Todos aparecieron entre marzo de 2019 y abril de 2020. Esto subraya la velocidad del desarrollo de CactusPete: más de 20 muestras por mes. La ubicación de destino obligó al grupo a utilizar una página de códigos cirílica codificada durante las manipulaciones de cadenas. Esto es importante, por ejemplo, durante la funcionalidad de shell remoto, para manejar correctamente la salida cirílica de los comandos ejecutados.

El método de distribución de malware para la nueva campaña sigue siendo desconocido, pero las campañas anteriores indican que es su forma habitual de distribuir malware. La forma preferida de los atacantes para enviar malware son los mensajes de suplantación de identidad con archivos adjuntos «mágicos». Los archivos adjuntos nunca contienen exploits de día cero, pero sí incluyen vulnerabilidades recientemente descubiertas y parcheadas, o cualquier otro enfoque ingenioso que pueda ayudarlos a entregar la carga útil. Ejecutar estos archivos adjuntos conduce a una infección.

Una vez que se inicia el malware, intenta alcanzar un C2 codificado. La comunicación se lleva a cabo utilizando el protocolo basado en HTTP sin modificar, el cuerpo de la solicitud y la respuesta están cifrados con RC4 y la clave de cifrado también está codificada en la muestra. Como el resultado del cifrado RC4 puede contener datos binarios, el malware los codifica además en BASE64 para que coincida con la especificación HTTP.

El protocolo de enlace consta de varios pasos: solicitud inicial, detalles de la red de la víctima y una solicitud de información de la víctima más detallada. Esta es la lista completa de información específica de la víctima que se envía al C2 durante los pasos del protocolo de enlace:

Nombre de host, dirección IP y MAC;
Versión de Windows;
Hora establecida en el host infectado;
Banderas que indican si el malware se ejecutó en un entorno VMware;
Indicador de uso de proxy;
Identificador de página de código predeterminado del sistema;
Una vez que se ha completado el protocolo de enlace, la puerta trasera espera un comando y periódicamente envía un ping al servidor C2. El cuerpo de respuesta del ping C2 puede contener el comando y los parámetros (opcionalmente). La versión actualizada de la puerta trasera de Bisonal mantiene una funcionalidad similar a las puertas traseras anteriores creadas a partir de la misma base de código:

Ejecute un shell remoto;
Iniciar silenciosamente un programa en un host víctima;
Recupere una lista de procesos del host de la víctima;
Terminar cualquier proceso;
Cargar / Descargar / Eliminar archivos hacia / desde el host de la víctima;
Recupere una lista de unidades disponibles del host de la víctima;
Recupere una lista de archivos de una carpeta específica del host de la víctima;

Este conjunto de comandos remotos ayuda a los atacantes a estudiar el entorno de la víctima para el movimiento lateral y un acceso más profundo a la organización objetivo. El grupo continúa impulsando varias variantes personalizadas de Mimikatz y registradores de pulsaciones de teclas para fines de recolección de credenciales, junto con malware de escalada de privilegios.

¿Qué están buscando?
Dado que el malware contiene principalmente funciones de recopilación de información, lo más probable es que piratee organizaciones para obtener acceso a los datos confidenciales de las víctimas. Si recordamos que CactusPete apunta a organizaciones militares, diplomáticas y de infraestructura, la información podría ser muy sensible.

Sugerimos las siguientes contramedidas para prevenir tales amenazas:

Monitoreo de la red, incluida la detección de comportamientos inusuales;
Software actualizado para evitar la explotación de vulnerabilidades;
Soluciones antivirus actualizadas;
Capacitar a los empleados para que reconozcan los ataques basados en correo electrónico (ingeniería social);

Actividad de CactusPete
CactusPete es un grupo APT de ciberespionaje de habla china que utiliza capacidades técnicas de nivel medio, y las personas detrás de él han mejorado su juego. Parece que han recibido apoyo y tienen acceso a un código más complejo como ShadowPad, que CactusPete implementó en 2020. La actividad del grupo se ha registrado desde al menos 2013, aunque los recursos públicos coreanos marcan una fecha aún más temprana: 2009. Históricamente, CactusPete apunta a organizaciones dentro de una gama limitada de países: Corea del Sur, Japón, EE. UU. UU. y Taiwán. Las campañas del año pasado mostraron que el grupo se ha desplazado hacia otras organizaciones de Asia y Europa del Este.

A continuación, se ofrece una descripción general de la actividad de CactusPete en los últimos años, basada en los resultados de la investigación de Kaspersky:

Mayo de 2018: una nueva ola de ataques dirigidos que abusan de CVE-2018-8174 (este exploit se ha asociado con el grupo DarkHotel APT, como se describe en Securelist), con objetivos diplomáticos, de defensa, de fabricación, militares y gubernamentales en Asia y Europa del Este;
Diciembre de 2018 y principios de 2019: modificación de puerta trasera de Bisonal con un conjunto de cargas útiles de espionaje en una campaña dirigida a organizaciones dentro de objetivos de investigación de minería, defensa, gobierno y tecnología en Europa del Este y Asia;
Septiembre y octubre de 2019: una campaña de puerta trasera de DoubleT, dirigida a víctimas desconocidas y relacionadas con el ejército;
Marzo de 2019 a abril de 2020: Modificación de puerta trasera de Bisonal en una campaña dirigida a organizaciones en instituciones financieras y militares en Europa del Este;
Diciembre de 2019 a abril de 2020: una campaña de puerta trasera de DoubleT modificada, dirigida a organizaciones gubernamentales y de telecomunicaciones y otras víctimas en Asia y Europa del Este;
Finales de 2019 y 2020: CactusPete comenzó a implementar el malware ShadowPad con víctimas, incluidas organizaciones gubernamentales, organismos de energía, minería y defensa y telecomunicaciones ubicadas en Asia y Europa del Este;

En el final…
Llamamos a CatusPete un grupo de amenazas persistentes avanzadas (APT), pero el código Bisonal que analizamos no es tan avanzado. Sin embargo, curiosamente, el grupo de APT de CactusPete ha tenido éxito sin técnicas avanzadas, utilizando código simple sin ofuscación complicada y mensajes de spear-phishing con adjuntos «mágicos» como método de distribución preferido. Por supuesto, el grupo modifica continuamente el código de carga útil, estudia a la víctima sugerida para crear un correo electrónico de phishing confiable, lo envía a una dirección de correo electrónico existente en la empresa objetivo y hace uso de nuevas vulnerabilidades y otros métodos para entregar la carga útil de manera discreta. una vez que se ha abierto un archivo adjunto. La infección se produce, no por las tecnologías avanzadas utilizadas durante el ataque, sino por aquellos que ven los correos electrónicos de phishing y abren los archivos adjuntos. Las empresas deben impartir a los empleados formación sobre concientización sobre el phishing con el fin de mejorar sus conocimientos sobre seguridad informática.

Fuente: Secure List

Deja un comentario