Yaakov's Group | Ciberseguridad

Alerta (AA20-239A)

Comparte este post en tus redes sociales

FASTCash 2.0: BeagleBoyz de Corea del Norte robando bancos

Esta asesoría conjunta es el resultado de los esfuerzos analíticos entre la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), el Departamento del Tesoro (Tesoro), la Oficina Federal de Investigaciones (FBI) y el Comando Cibernético de los Estados Unidos (USCYBERCOM). Trabajando con socios del gobierno de EE. UU., CISA, el Tesoro, el FBI y USCYBERCOM identificaron malware e indicadores de compromiso (IOC) utilizados por el gobierno de Corea del Norte en un esquema de retiro de efectivo de cajeros automáticos (ATM), al que el gobierno de EE. UU. Se refiere como » FASTCash 2.0: BeagleBoyz de Corea del Norte robando bancos «.

CISA, Tesoro, FBI y USCYBERCOM destacan la amenaza cibernética que representa Corea del Norte, conocida formalmente como República Popular Democrática de Corea (RPDC), y brindan pasos recomendados para mitigar la amenaza.

Consulte los siguientes informes de análisis de malware para los IOC asociados: CROWDEDFLOUNDER, ECCENTRICBANDWAGON, ELECTRICFISH, FASTCash para Windows, HOPLIGHT y VIVACIOUSGIFT.

Detalles técnicos

El aparato de inteligencia de Corea del Norte controla un equipo de piratería dedicado a robar bancos a través del acceso remoto a Internet. Para diferenciar los métodos de otras actividades cibernéticas maliciosas de Corea del Norte, el gobierno de los EE. UU. Se refiere a este equipo como BeagleBoyz, que representa un subconjunto de la actividad COBRA OCULTA. Los BeagleBoyz se superponen en diversos grados con grupos rastreados por la industria de la ciberseguridad como Lazarus, Advanced Persistent Threat 38 (APT38), Bluenoroff y Stardust Chollima y son responsables de los retiros de efectivo de los cajeros automáticos FASTCash reportados en octubre de 2018, abuso fraudulento de bancos comprometidos Puntos finales del sistema SWIFT desde al menos 2015 y lucrativos robos de criptomonedas. Este comportamiento ilícito ha sido identificado por el Panel de Expertos de la RPDC de las Naciones Unidas (ONU) como una evasión de las resoluciones del Consejo de Seguridad de la ONU, ya que genera ingresos sustanciales para Corea del Norte. Corea del Norte puede utilizar estos fondos para sus programas de misiles balísticos y armas nucleares prohibidos por la ONU. Además, esta actividad presenta un riesgo operativo significativo para el sector de servicios financieros y erosiona la integridad del sistema financiero.

Los robos bancarios de BeagleBoyz plantean un grave riesgo operativo para las empresas individuales más allá del daño a la reputación y la pérdida financiera por robo y costos de recuperación. Los BeagleBoyz han intentado robar casi $ 2 mil millones desde al menos 2015, según estimaciones públicas. Igualmente preocupante, estos actores maliciosos han manipulado y, en ocasiones, han dejado inoperables sistemas informáticos críticos en bancos y otras instituciones financieras.

En 2018, un banco en África no pudo reanudar los servicios normales de cajeros automáticos o puntos de venta para sus clientes durante casi dos meses después de un intento de incidente de FASTCash.
El BeagleBoyz a menudo coloca herramientas destructivas anti-forenses en las redes informáticas de las instituciones víctimas. Además, en 2018, implementaron malware de limpiaparabrisas contra un banco en Chile que colapsó miles de computadoras y servidores para distraer la atención de los esfuerzos por enviar mensajes fraudulentos desde la terminal SWIFT comprometida del banco.
El esquema generalizado de robo de bancos internacional de Corea del Norte que explota los sistemas bancarios críticos puede erosionar la confianza en esos sistemas y presenta riesgos para las instituciones financieras de todo el mundo. Cualquier robo de BeagleBoyz dirigido a un banco implica a muchas otras empresas de servicios financieros tanto en el robo como en el flujo de fondos ilícitos de regreso a Corea del Norte. La actividad de BeagleBoyz se ajusta al patrón conocido de Corea del Norte de abusar del sistema financiero internacional con fines de lucro.

Los retiros de efectivo fraudulentos en cajeros automáticos han afectado a más de 30 países en un solo incidente. Los conspiradores han retirado efectivo de los cajeros automáticos operados por varios bancos involuntarios en varios países, incluso en los Estados Unidos.
Los BeagleBoyz también utilizan bancos involuntarios, incluidos bancos en los Estados Unidos, para su esquema de fraude SWIFT. Estos bancos son custodios de cuentas que pertenecen a los bancos víctimas o, sin saberlo, sirven como intermediarios del fraude. Más infamemente, el BeagleBoyz robó $ 81 millones del Banco de Bangladesh en 2016. El Banco de la Reserva Federal de Nueva York detuvo el resto de este intento de robo de $ 1 mil millones después de detectar anomalías en las instrucciones de transferencia que habían recibido.

Actualización FASTCash

Los BeagleBoyz de Corea del Norte son responsables de las sofisticadas campañas de retiro de efectivo en cajeros automáticos habilitadas para cibernética identificadas públicamente como «FASTCash» en octubre de 2018. Desde 2016, BeagleBoyz ha perpetrado el esquema FASTCash, dirigido a la infraestructura del sistema de pago minorista de los bancos (es decir, cambiar los servidores de aplicaciones procesamiento de mensajes de la Organización Internacional de Normalización [ISO] 8583, que es el estándar para la mensajería de transacciones financieras).

Desde la publicación del en octubre de 2018, ha habido dos desarrollos particularmente significativos en la campaña: (1) la capacidad de llevar a cabo el esquema FASTCash contra los bancos que alojan sus aplicaciones de cambio en servidores Windows, y (2) una expansión de la campaña FASTCash para apuntar a procesadores de pagos interbancarios.

En octubre de 2018, el gobierno de los EE. UU. Identificó el malware utilizado en el esquema FASTCash que tiene la capacidad de manipular los servidores AIX que ejecutan la aplicación de cambio de un banco para interceptar mensajes de solicitud financiera y responder con mensajes de respuesta afirmativa fraudulentos, pero de apariencia legítima, para permitir una gran cantidad de efectivo en cajeros automáticos. salidas. Desde entonces, el gobierno de EE. UU. Ha identificado malware funcionalmente equivalente para el sistema operativo Windows. Consulte la sección Análisis técnico a continuación para obtener más información sobre el malware ISO 8583 para Windows.
El BeagleBoyz inicialmente apuntó a aplicaciones de cambio en bancos individuales con malware FASTCash pero, más recientemente, se ha dirigido al menos a dos procesadores de pagos interbancarios regionales. Esto sugiere que BeagleBoyz está explorando oportunidades ascendentes en el ecosistema de pagos.

Perfil BEAGLEBOYZ

El BeagleBoyz, un elemento de la Oficina General de Reconocimiento del gobierno de Corea del Norte, probablemente ha estado activo desde al menos 2014. A diferencia del delito cibernético típico, es probable que el grupo lleve a cabo operaciones cibernéticas bien planificadas, disciplinadas y metódicas más parecidas a actividades de espionaje cuidadosas. Sus operaciones cibernéticas maliciosas han generado cientos de millones de dólares estadounidenses y probablemente sean una fuente importante de financiamiento para el régimen de Corea del Norte. El grupo siempre ha utilizado un enfoque calculado, que les permite afinar sus tácticas, técnicas y procedimientos mientras eluden la detección. Con el tiempo, sus operaciones se han vuelto cada vez más complejas y destructivas. Las herramientas y los implantes empleados por este grupo son consistentemente complejos y demuestran un fuerte enfoque en la eficacia y la seguridad operativa.

Identificadores de comunidad

El BeagleBoyz se superpone en diversos grados con grupos rastreados por la industria de la ciberseguridad como: APT38 (FireEye), Bluenoroff (Kaspersky), Lazarus Group (ESTSecurity) y Stardust Chollima (CrowdStrike).

Anatomía de un atraco al banco BeagleBoyz

La Figura 2 proporciona una representación gráfica de un atraco a un banco BeagleBoyz. La siguiente sección describe en detalle las acciones de extremo a extremo que toma BeagleBoyz para robar instituciones financieras con una operación cibernética maliciosa.

Análisis técnico

BeagleBoyz utiliza una variedad de herramientas y técnicas para obtener acceso a la red de una institución financiera, aprender la topología para descubrir sistemas clave y monetizar su acceso. El análisis técnico a continuación representa una amalgama de múltiples incidentes conocidos, en lugar de detalles de una sola operación. Estos hallazgos se presentan para resaltar la capacidad del grupo para adaptar sus técnicas a diferentes objetivos y adaptar sus métodos a lo largo del tiempo. En consecuencia, existe una necesidad de mitigaciones en capas para defenderse de manera efectiva contra esta actividad, ya que depender únicamente de la detección de firmas de red no protegerá suficientemente contra el BeagleBoyz de Corea del Norte.

Acceso inicial

Los BeagleBoyz han utilizado una variedad de técnicas, como el spearphishing y los abrevaderos, para permitir el acceso inicial a las instituciones financieras específicas. Hacia fines de 2018 hasta 2019 y principios de 2020, BeagleBoyz demostró el uso de tácticas de ingeniería social al llevar a cabo ataques de phishing temáticos de aplicaciones de empleo utilizando los siguientes archivos maliciosos disponibles públicamente.

El BeagleBoyz también puede estar trabajando o contratando a grupos de piratería criminal, como TA505, para el desarrollo del acceso inicial. El tercero generalmente usa malware básico para establecer el acceso inicial en la red de la víctima y luego cede el acceso al BeagleBoyz para su explotación posterior, lo que puede no ocurrir hasta meses después.

Los BeagleBoyz también han utilizado las siguientes técnicas para obtener un punto de apoyo inicial en una red informática específica (Acceso inicial [TA0001]).

Envíe por correo electrónico un archivo adjunto con software malicioso a una persona, empresa o industria específica (Phishing: Archivo adjunto de phishing [T1566.001])
Poner en peligro un sitio web visitado por usuarios en comunidades, industrias o regiones específicas (Compromiso de conducción [T1189])
Aprovechar una debilidad (un error, falla o vulnerabilidad de diseño) en un sistema informático orientado a Internet (como una base de datos o un servidor web) (Exploit Public Facing Application [T1190])
Robar las credenciales de un usuario específico o cuenta de servicio para evitar los controles de acceso y obtener mayores privilegios (Cuentas válidas [T1078])
Infringir organizaciones que tienen acceso a la organización de la víctima prevista y explotar su relación de confianza (Relación de confianza [T1199])
Utilizar servicios remotos para acceder inicialmente y permanecer dentro de la red de una víctima (Servicios remotos externos [T1133])

Ejecución

El BeagleBoyz explota selectivamente los sistemas informáticos de las víctimas después de comprometer inicialmente una computadora conectada a la red corporativa de una institución financiera. Después de obtener acceso inicial a la red corporativa de una institución financiera, los BeagleBoyz son selectivos en qué sistemas de víctimas explotan aún más. BeagleBoyz utiliza una variedad de técnicas para ejecutar su código en sistemas de víctimas locales y remotos [Ejecución [TA0002]).

Utilice interfaces de línea de comandos para interactuar con los sistemas y ejecutar otro software (Command and Scripting Interpreter [T1059])
Utilice scripts (p. Ej., VBScript y PowerShell) para acelerar las tareas operativas, reducir el tiempo necesario para obtener acceso a recursos críticos y evitar los mecanismos de supervisión de procesos al interactuar directamente con el sistema operativo (SO) en un nivel de interfaz de programación de aplicaciones (API) en lugar de llamar a otros programas (intérprete de comandos y secuencias de comandos: PowerShell [T1059.001], intérprete de comandos y secuencias de comandos: Visual Basic [T1059.005])
Confíe en acciones específicas del usuario, como abrir un archivo adjunto de correo electrónico malicioso (ejecución del usuario [T1204])
Aprovechar las vulnerabilidades del software para ejecutar código en un sistema (Explotación para la ejecución del cliente [T1203])
Cree nuevos servicios o modifique los servicios existentes para ejecutar ejecutables, comandos o scripts (Servicios del sistema: Ejecución de servicios [T1569.002])
Emplear el cargador de módulos de Windows para cargar bibliotecas de vínculos dinámicos (DLL) desde rutas locales arbitrarias o rutas de red arbitrarias de la Convención de nomenclatura universal (UNC) y ejecutar código arbitrario en un sistema (módulos compartidos [T1129])
Utilice la API de Windows para ejecutar código arbitrario en el sistema de la víctima (API nativa [T1106])
Utilice la interfaz gráfica de usuario (GUI) de un sistema para buscar información y ejecutar archivos (Servicios remotos [T1021])
Utilice el Programador de tareas para ejecutar programas al inicio del sistema o de forma programada para la persistencia, realizar la ejecución remota para el movimiento lateral, obtener privilegios del SISTEMA para la escalada de privilegios o ejecutar un proceso en el contexto de una cuenta específica (Tarea / Trabajo programado [T1053 ])
Abuso de archivos compilados de lenguaje de marcado de hipertexto (HTML) (.chm), comúnmente distribuidos como parte del sistema de ayuda HTML de Microsoft, para ocultar código malicioso (Ejecución de proxy binario firmado: archivo HTML compilado [T1218.001])
Abusar de Windows rundll32.exe para ejecutar binarios, scripts y archivos de elementos del panel de control (.CPL) y ejecutar código a través de proxy para evitar activar herramientas de seguridad (Ejecución de proxy binario firmado: Rundl32 [T1218.001])
Explote cron en Linux y ejecute en sistemas macOS para crear trabajos en segundo plano preprogramados y periódicos (Tarea / Trabajo programado: Cron [T1053.003], Tarea / Trabajo programado: Lanzado [T1053.004])

Persistencia

BeagleBoyz usa muchas técnicas para mantener el acceso en redes comprometidas mediante reinicios del sistema, cambio de credenciales y otras interrupciones que podrían afectar su acceso (Persistencia [TA0003]).

Agregue una entrada a las «claves de ejecución» en el Registro o un ejecutable a la carpeta de inicio para ejecutar malware cuando el usuario inicia sesión en el contexto de los niveles de permisos asociados del usuario (Ejecución de inicio automático de inicio o inicio de sesión: claves de ejecución del registro / carpeta de inicio [ T1547.001])
Instale un nuevo servicio que pueda configurarse para ejecutarse al inicio utilizando utilidades para interactuar con los servicios o modificando directamente el Registro (Crear o modificar el proceso del sistema: Servicio de Windows [T1543.003])
Comprometer un servidor web de acceso abierto con un script web (conocido como shell web) para usar el servidor web como una puerta de enlace a una red y servir como mecanismo de persistencia o acceso redundante (Componente de software del servidor: Shell web [T1505.003])
Manipular cuentas (p. Ej., Modificar permisos, modificar credenciales, agregar o cambiar grupos de permisos, modificar la configuración de la cuenta o modificar la forma en que se realiza la autenticación) para mantener el acceso a las credenciales y ciertos niveles de permisos dentro de un entorno (Manipulación de cuentas [T1098])
Robar las credenciales de un usuario específico o cuenta de servicio para evitar los controles de acceso y retener el acceso a sistemas remotos y servicios disponibles externamente (cuentas válidas [T1078])
Utilice el Programador de tareas para ejecutar programas al inicio del sistema o de forma programada para la persistencia, realizar la ejecución remota para el movimiento lateral, obtener privilegios del SISTEMA para la escalada de privilegios o ejecutar un proceso en el contexto de una cuenta específica (Tarea / Trabajo programado [T1053 ])
Abusar del orden de búsqueda de las DLL de Windows y de los programas que especifican de manera ambigua las DLL para obtener una escalada y persistencia de privilegios (Flujo de ejecución de secuestro: Secuestro de órdenes de búsqueda de DLL [T1056.004])
Explote el enlace para cargar y ejecutar código malicioso dentro del contexto de otro proceso para enmascarar la ejecución, permitir el acceso a la memoria del proceso y, posiblemente, obtener privilegios elevados (Captura de entrada: Enlace de API de credenciales [T1574.001])
Usar servicios remotos para persistir dentro de la red de una víctima (Servicios remotos externos [T1133])

Escalada de privilegios

BeagleBoyz a menudo busca acceso a los sistemas de las instituciones financieras que tienen cuentas de usuario y de sistema escalonadas con privilegios personalizados. BeagleBoyz debe superar estas restricciones para acceder a los sistemas necesarios, monitorear el comportamiento normal del usuario e instalar y ejecutar herramientas maliciosas adicionales. Para hacerlo, BeagleBoyz ha utilizado las siguientes técnicas para obtener permisos de nivel superior en un sistema o red (Privilege Escalation [TA0004]).

Inyecte código en los procesos para evadir las defensas basadas en procesos y elevar los privilegios (Process Injection [T1055])
Instale un nuevo servicio que pueda configurarse para ejecutarse al inicio utilizando utilidades para interactuar con los servicios o modificando directamente el Registro (Crear o modificar el proceso del sistema: Servicio de Windows [T1543.003])
Comprometer un servidor web de acceso abierto con shell web para usar el servidor web como puerta de enlace a una red (Componente de software del servidor: Shell web [T1505.003])
Use el Programador de tareas para ejecutar programas al inicio del sistema o de manera programada para la persistencia, realizar la ejecución remota como parte del movimiento lateral, obtener privilegios del SISTEMA para la escalada de privilegios o ejecutar un proceso en el contexto de una cuenta específica (Tarea / Trabajo programado [T1053])
Robar las credenciales de un usuario específico o cuenta de servicio para evitar los controles de acceso y otorgar mayores privilegios (Cuentas válidas [T1078])
Explote el enlace para cargar y ejecutar código malicioso dentro del contexto de otro proceso para enmascarar la ejecución, permitir el acceso a la memoria del proceso y, posiblemente, obtener privilegios elevados (Captura de entrada: Enlace de API de credenciales [T1574.001])
Realice el almacenamiento en caché de Sudo (a veces denominado «superusuario») o utilice el archivo Soudoers para elevar los privilegios en los sistemas Linux y macOS (Mecanismo de control de elevación de abuso: almacenamiento en caché de Sudo y Sudo [T1548.003])
Ejecute cargas útiles maliciosas secuestrando el orden de búsqueda utilizado para cargar DLL (Flujo de ejecución de secuestro: Secuestro de órdenes de búsqueda de DLL [T1574.001])

Evasión de defensa

A lo largo de su explotación de la red informática de una institución financiera, los BeagleBoyz han utilizado diferentes técnicas para evitar ser detectados por las características de seguridad del sistema operativo, el software de seguridad del sistema y de la red y las auditorías del sistema (Defense Evasion [TA0005]).

Explote los certificados de firma de código para enmascarar el malware y las herramientas como binarios legítimos y eludir las políticas de seguridad que permiten que solo se ejecuten los binarios firmados en un sistema (Subvert Trust Controls Signing [T1553.002])
Elimine malware, herramientas u otros archivos no nativos caídos o creados durante una intrusión para reducir su huella o como parte del proceso de limpieza posterior a la intrusión (Eliminación del indicador en el host: Eliminación de archivos [T1070.004])
Inyecte código en los procesos para evadir las defensas basadas en procesos (Process Injection [T1055])
Utilice scripts (como VBScript y PowerShell) para evitar los mecanismos de supervisión de procesos al interactuar directamente con el sistema operativo a nivel de API en lugar de llamar a otros programas (Command and Scripting Interpreter: PowerShell [T1059.001], Command and Scripting Interpreter: Visual Basic [ T1059.005])
Intente hacer que un archivo ejecutable o un archivo sea difícil de descubrir o analizar cifrando, codificando u ocultando su contenido en el sistema o en tránsito (Archivos o información ofuscados [T1027])
Utilice servicios web externos previamente comprometidos para transmitir comandos a un sistema de la víctima (Servicio web [T1102])
Utilice el empaquetado de software para cambiar la firma del archivo, omitir la detección basada en firmas y descomprimir el código ejecutable en la memoria (Credenciales no seguras: claves privadas [T1552.004])
Utilice archivos o información ofuscados para ocultar los artefactos de intrusión (Desofuscar / Decodificar archivos o información [T1140])
Modifique las marcas de tiempo de los datos (los campos de modificación, acceso, creación y cambio de horas) para imitar los archivos que se encuentran en la misma carpeta, haciendo que parezcan discretos para los analistas forenses o las herramientas de análisis de archivos (Eliminación del indicador en el host: Eliminar marca de tiempo [T1070.006 ])
Abusar de las utilidades de Windows para implementar comandos de ejecución arbitrarios y subvertir los controles de detección y mitigación (como la política de grupo) que limitan o impiden el uso de cmd.exe o extensiones de archivo comúnmente asociadas con cargas útiles maliciosas (ejecución de comando indirecto [T1202])
Utilice varios métodos para evitar que sus comandos aparezcan en los registros y borre el historial de comandos para eliminar los rastros de actividad (Eliminación del indicador en el host: Borrar el historial de comandos [T1070.003])
Desactive las herramientas de seguridad para evitar la posible detección de herramientas y eventos (Impedir defensas: Desactivar o modificar herramientas [T1562.001])
Robar las credenciales de un usuario específico o cuenta de servicio para evitar los controles de acceso y otorgar mayores privilegios (Cuentas válidas [T1078])
Elimine o modifique los artefactos generados en un sistema host, incluidos los registros y los archivos potencialmente capturados, para eliminar los rastros de actividad (Eliminación del indicador en el host: Eliminación de archivos [T1070.004])
Abusar de archivos HTML compilados (.chm), comúnmente distribuidos como parte del sistema de ayuda HTML de Microsoft, para ocultar código malicioso (Ejecución de proxy binario firmado: archivo HTML compilado [T1218.001])
Anteponer un espacio a todos los comandos de su terminal para operar sin dejar rastros en el entorno HISTCONTROL, que está configurado para ignorar los comandos que comienzan con un espacio (Defensas de deterioro: HISTCONTROL [T1562.003])
Modifique el malware para que tenga una firma diferente y reutilícelo en los casos en que el grupo determine que fue puesto en cuarentena (Archivos o información ofuscados: Eliminación del indicador de herramientas [T1027.005])
Intente bloquear indicadores o eventos capturados normalmente por sensores para que no se recopilen y analicen (Defensas de deterioro: Bloqueo de indicadores [T1562.006])
Utilice el orden de búsqueda de las DLL de Windows y los programas que especifican de manera ambigua las DLL para obtener una escalada y persistencia de privilegios (Flujo de ejecución de secuestro: Secuestro de órdenes de búsqueda de DLL [T1574.001])
Manipular o abusar de los atributos o la ubicación de un ejecutable (enmascaramiento) para integrarse mejor con el entorno y aumentar las posibilidades de engañar a un analista o producto de seguridad (enmascaramiento [T1036])
Explotar rootkits para ocultar programas, archivos, conexiones de red, servicios, controladores y otros componentes del sistema (Rootkit [T1014])
Abusar de Windows rundll32.exe para ejecutar binarios, scripts y archivos .CPL, y ejecutar código a través de proxy para evitar activar herramientas de seguridad (Ejecución de proxy binario firmado: Rundl32 [T1218.001])

Acceso a credenciales

BeagleBoyz puede utilizar malware como ECCENTRICBANDWAGON para registrar pulsaciones de teclas y realizar capturas de pantalla. El gobierno de EE. UU. Ha identificado algunas muestras de ECCENTRICBANDWAGON que tienen la capacidad de cifrar RC4 datos registrados, pero la herramienta no tiene funcionalidad de red. El implante utiliza un formato específico para los datos registrados y guarda el archivo localmente; otra herramienta obtiene los datos registrados. El implante tampoco contiene ningún mecanismo de persistencia o autocarga y espera que un archivo de configuración específico esté presente en el sistema. Un informe técnico completo para ECCENTRICBANDWAGON está disponible en https://us-cert.cisa.gov/northkorea.

Es posible que BeagleBoyz no siempre necesite usar registradores de teclas personalizados como ECCENTRICBANDWAGON u otras herramientas para obtener credenciales de un sistema comprometido. Dependiendo del entorno de la víctima, BeagleBoyz ha utilizado las siguientes técnicas para robar credenciales (Credential Access [TA0006]).

Capture la entrada del usuario, como el registro de teclas (el tipo más común de captura de entrada), para obtener credenciales para cuentas válidas y recopilación de información (captura de entrada [T1056])
Obtenga información de inicio de sesión y contraseña de la cuenta, generalmente en forma de un hash o una contraseña de texto sin cifrar, del sistema operativo y el software (OS Credential Dumping [T1056])
Reúna claves privadas de sistemas comprometidos para autenticarse en servicios remotos o descifrar otros archivos recopilados (Credenciales no aseguradas: claves privadas [T1552.004])
Manipule cuentas predeterminadas, de dominio, locales y en la nube para mantener el acceso a las credenciales y ciertos niveles de permisos dentro de un entorno (Manipulación de cuentas [T1098])
Abusar del enlace para cargar y ejecutar código malicioso dentro del contexto de otro proceso para enmascarar la ejecución, permitir el acceso a la memoria del proceso y, posiblemente, obtener privilegios elevados (Captura de entrada: Enlace de API de credenciales [T1056.004])
Utilice técnicas de fuerza bruta para intentar acceder a la cuenta cuando se desconozcan las contraseñas o cuando los hashes de contraseña no estén disponibles (Fuerza bruta [T1110])

Descubrimiento

Una vez dentro de la red de una institución financiera, el BeagleBoyz parece buscar dos sistemas específicos: el terminal SWIFT y el servidor que aloja la aplicación de cambio de pago de la institución. A medida que avanzan a través de una red, aprenden sobre los sistemas a los que han accedido para mapear la red y obtener acceso a los dos sistemas de objetivos. Para ello, BeagleBoyz ha utilizado las siguientes técnicas para adquirir conocimientos sobre los sistemas y la red interna (Discovery [TA0007]).

Intente obtener información detallada sobre el sistema operativo y el hardware, como la versión, los parches, las revisiones, los paquetes de servicio y la arquitectura (Descubrimiento de información del sistema [T1082])
Enumere archivos y directorios o busque en ubicaciones específicas de un host o un recurso compartido de red para obtener información particular dentro de un sistema de archivos (Detección de archivos y directorios [T1083])
Obtenga una lista de software de seguridad, configuraciones, herramientas defensivas y sensores instalados en el sistema (Detección de software: Detección de software de seguridad [T1518.001])
Obtener información sobre los procesos en ejecución en un sistema para comprender el software estándar que se ejecuta en sistemas de red (Descubrimiento de procesos [T1057])
Identificar los usuarios principales, los usuarios que han iniciado sesión actualmente, los conjuntos de usuarios que suelen utilizar un sistema o los usuarios activos o inactivos (Detección de usuarios / propietarios del sistema [T1033])
Enumere los marcadores del navegador para obtener más información sobre los hosts comprometidos, revelar información personal sobre los usuarios y exponer detalles sobre los recursos de la red interna (Detección de marcadores del navegador [T1217])
Busque información sobre la configuración de la red y la configuración del sistema en los sistemas comprometidos, o realice un descubrimiento de sistema remoto (Descubrimiento de la configuración de la red del sistema [T1016])
Interactúe con el Registro de Windows para recopilar información sobre el sistema, la configuración y el software instalado (Registro de consultas [T1012])
Obtenga una lista de las ventanas de aplicaciones abiertas para aprender cómo se usa el sistema o dar contexto a los datos recopilados (Descubrimiento de ventanas de aplicaciones [T1010])
Intente obtener una lista de las cuentas de dominio o sistema local en el sistema comprometido (Detección de cuentas [T1087])
Obtenga una lista de conexiones de red hacia y desde el sistema comprometido o el sistema remoto consultando información a través de la red (Descubrimiento de conexiones de red del sistema [T1049])

Movimiento lateral

Para acceder a la terminal SWIFT de una institución financiera comprometida y al servidor que aloja la aplicación de cambio de pago de la institución, BeagleBoyz aprovecha las credenciales recolectadas y aprovecha la accesibilidad de estos sistemas críticos desde otros sistemas en la red corporativa de la institución. Específicamente, se sabe que BeagleBoyz crea exenciones de firewall en puertos específicos, incluidos los puertos 443, 6443, 8443 y 9443. Dependiendo de la configuración de los sistemas comprometidos y el entorno de seguridad de la red informática de la víctima, BeagleBoyz ha utilizado las siguientes técnicas para ingresar y controlar sistemas remotos en una red comprometida (Movimiento Lateral [TA0008]).

Copie archivos de un sistema a otro para preparar herramientas del adversario u otros archivos a lo largo de una operación (Ingress Tool Transfer [T1105])
Utilice el Protocolo de escritorio remoto (RDP) para iniciar sesión en una sesión interactiva con una GUI de escritorio del sistema en un sistema remoto (Servicios remotos: Protocolo de escritorio remoto [T1021.001])
Emplee recursos compartidos de red ocultos, junto con cuentas válidas de nivel de administrador, para acceder de forma remota a un sistema en red a través de Server Message Block (SMB) para interactuar con sistemas mediante llamadas de procedimiento remoto (RPC), transferir archivos y ejecutar binarios transferidos a través de ejecución (Servicios remotos: recursos compartidos de administración de Windows / SMB [T1021.002])
Explotar cuentas válidas para iniciar sesión en un servicio diseñado específicamente para aceptar conexiones remotas y realizar acciones como el usuario que inició sesión (Servicios remotos [T1021])

Colección

Dependiendo de los diversos atributos ambientales que encuentre BeagleBoyz durante su explotación, pueden implementar una variedad de herramientas de reconocimiento o usar herramientas administrativas comúnmente disponibles para propósitos maliciosos.

El BeagleBoyz, al igual que otros ciber actores sofisticados, también parece utilizar herramientas administrativas legítimas residentes con fines de reconocimiento cuando están disponibles; esto se conoce comúnmente como «vivir de la tierra». PowerShell parece ser una herramienta popular y legítima que favorece BeagleBoyz para las actividades de reconocimiento. Por ejemplo, BeagleBoyz a menudo usa código disponible públicamente de PowerShell Empire con fines maliciosos.

Los BeagleBoyz han utilizado las siguientes técnicas para recopilar información de los sistemas explotados (Colección [TA0009]).

Utilice métodos automatizados, como secuencias de comandos, para recopilar datos (recopilación automatizada [T1119])
Capture la entrada del usuario para obtener credenciales y recopilar información (Captura de entrada [T1056])
Recopile datos de sistemas locales de un sistema comprometido (Datos del sistema local [T1005])
Tomar capturas de pantalla del escritorio (Captura de pantalla [T1113])
Recopile datos almacenados en el portapapeles de Windows de los usuarios (Datos del portapapeles [T1115])

Comando y control

Es probable que BeagleBoyz cambie las herramientas, como CROWDEDFLOUNDER y HOPLIGHT, con el tiempo para mantener el acceso remoto a las redes de las instituciones financieras y para interactuar con esos sistemas.

El análisis de las siguientes muestras de CROWDEDFLOUNDER se publicó por primera vez en octubre de 2018 como parte de la campaña FASTCash.
Los BeagleBoyz han utilizado CROWDEDFLOUNDER como un troyano de acceso remoto (RAT) desde al menos 2018. El implante está diseñado para operar en hosts de Microsoft Windows y puede cargar y descargar archivos, lanzar un shell de comando remoto, inyectar en los procesos de la víctima, obtener usuario y host. información y eliminar archivos de forma segura. El implante se puede empaquetar con Themida para degradar o prevenir la ingeniería inversa efectiva o evadir la detección en un host de Windows. Se puede configurar para que actúe en modo baliza o escucha, según los argumentos de la línea de comandos o las especificaciones de configuración. El implante ofusca las comunicaciones de red mediante un algoritmo de codificación simple. El modo de escucha de CROWDEDFLOUNDER facilita proxies como ELECTRICFISH (discutido a continuación) con tráfico de túnel en la red de una víctima.

Más recientemente, el gobierno de los EE. UU. Ha encontrado el malware HOPLIGHT en los sistemas de las víctimas, lo que sugiere que BeagleBoyz está utilizando HOPLIGHT para fines similares. HOPLIGHT tiene la misma funcionalidad básica RAT que el implante CROWDEDFLOUNDER. Además, HOPLIGHT tiene la capacidad de crear sesiones fraudulentas de Transport Layer Security (TLS) para ofuscar las conexiones de comando y control (C2), lo que dificulta la detección y el seguimiento de las comunicaciones del malware.

Los informes técnicos completos de CROWDEDFLOUNDER y HOPLIGHT están disponibles en https://us-cert.cisa.gov/northkorea.

BeagleBoyz utiliza herramientas de tunelización de proxy de red, que incluyen VIVACIOUSGIFT y ELECTRICFISH, para canalizar las comunicaciones desde sistemas que no están conectados a Internet, como un servidor de aplicaciones de conmutador ATM o una terminal SWIFT, a sistemas conectados a Internet. BeagleBoyz utiliza estas herramientas de túnel de proxy de red, probablemente ubicadas en o cerca del límite de la red de la víctima, para canalizar otros protocolos como RDP y Secure Shell u otro tráfico de implantes fuera de la red interna.

Parece que a medida que BeagleBoyz cambia las herramientas de proxy, existe cierta superposición entre el uso de malware más antiguo y más nuevo. Por ejemplo, los BeagleBoyz parecen haber comenzado a usar ELECTRICFISH cuando terminaron el uso de VIVACIOUSGIFT. Ha habido una disminución notable en el uso de ELECTRICFISH luego de la divulgación del mismo por parte del gobierno de EE. UU. En mayo de 2019.

Los informes técnicos completos de VIVACIOUSGIFT y ELECTRICFISH están disponibles en https://us-cert.cisa.gov/northkorea.

Además de estas herramientas, BeagleBoyz ha utilizado las siguientes técnicas para comunicarse con los sistemas de víctimas de las instituciones financieras bajo su control (Comando y Control [TA0011]).

Emplear algoritmos de cifrado conocidos para ocultar el tráfico C2 (canal cifrado [T1573])
Comuníquese a través de puertos y protocolos de capa de aplicación estándar de uso común para evitar la detección o inspección detallada y para combinar con el tráfico existente (Protocolo de capa de aplicación [T1071])
Codifique la información C2 utilizando sistemas de codificación de datos estándar como el Código estándar americano para el intercambio de información (ASCII), Unicode, Base64, Extensiones de correo de Internet multipropósito y sistemas de formato de transformación Unicode de 8 bits u otros sistemas de codificación de caracteres y binarios a texto ( Codificación de datos: codificación estándar [T1132.001])
Copie archivos entre sistemas para preparar herramientas adversarias u otros archivos (Herramienta de transferencia de ingreso [T1105])
Utilice servicios web externos previamente comprometidos para transmitir comandos a los sistemas de las víctimas (Servicio web [T1102])
Emplee un protocolo C2 personalizado que imite protocolos conocidos o desarrolle protocolos personalizados (incluidos sockets sin procesar) para complementar los protocolos proporcionados por otra pila de red estándar (Protocolo de capa sin aplicación [T1095])
Ofuscar las comunicaciones C2 (pero no necesariamente cifrarlas) para ocultar los comandos y hacer que el contenido sea menos llamativo y más difícil de descubrir o descifrar (Ofuscación de datos [T1101])
Emplear proxies de conexión para dirigir el tráfico de red entre sistemas, actuar como intermediario para las comunicaciones de red a un servidor C2 o evitar conexiones directas a su infraestructura (Proxy [T1090])
Aprovechar el soporte de escritorio legítimo y el software de acceso remoto para establecer un canal C2 interactivo para los sistemas de destino dentro de las redes (Software de acceso remoto [T1219])

Fuente CISA

Deja un comentario