Yaakov's Group | Ciberseguridad

CISA emite una directiva de emergencia y alerta sobre las vulnerabilidades de Microsoft Exchange

vulnerabilidad

CISA ha emitido la Directiva de emergencia (ED) 21-02 y la Alerta AA21-062A que abordan las vulnerabilidades críticas en los productos de Microsoft Exchange. La explotación exitosa de estas vulnerabilidades permite que un atacante acceda a los servidores de Exchange locales, lo que les permite obtener acceso persistente al sistema y control de una red empresarial.

CISA recomienda encarecidamente a las organizaciones que examinen sus sistemas para detectar cualquier actividad maliciosa detallada en la Alerta AA21-062A. Revise los siguientes recursos para obtener más información:

Fuente: CISA

Es probable que los hackers de Fancy Bear de Rusia hayan penetrado en una agencia federal de EE. UU.

Nuevas pistas indican que APT28 puede estar detrás de una misteriosa intrusión que los funcionarios estadounidenses revelaron la semana pasada.

Una advertencia de que piratas informáticos no identificados irrumpieron en una agencia del gobierno federal de los EE. UU. Y robaron sus datos es suficientemente preocupante. Pero se vuelve aún más perturbador cuando se identifica a esos intrusos no identificados, y parece probable que formen parte de un notorio equipo de ciberespías que trabajan al servicio de la agencia de inteligencia militar de Rusia, la GRU.

La semana pasada, la Agencia de Seguridad de Infraestructura y Ciberseguridad publicó un aviso de que piratas informáticos habían penetrado en una agencia federal de EE. UU. No identificó ni a los atacantes ni a la agencia, pero detalló los métodos de los piratas informáticos y su uso de una forma nueva y única de malware en una operación que robó con éxito los datos del objetivo. Ahora, las pistas descubiertas por un investigador de la firma de ciberseguridad Dragos y una notificación del FBI a las víctimas de piratería obtenida por WIRED en julio sugieren una respuesta probable al misterio de quién estaba detrás de la intrusión: parecen ser Fancy Bear, un equipo de piratas informáticos que trabaja para GRU de Rusia. También conocido como APT28, el grupo ha sido responsable de todo, desde operaciones de piratería y filtración dirigidas a las elecciones presidenciales estadounidenses de 2016 hasta una amplia campaña de intentos de intrusión dirigida a partidos políticos, consultorías y campañas este año.

«Son un actor formidable y aún son capaces de acceder a áreas sensibles».

JOHN HULTQUIST, FIREEYE

Las pistas que apuntan a APT28 se basan en parte en una notificación que el FBI envió a los objetivos de una campaña de piratería en mayo de este año, que WIRED obtuvo. La notificación advirtió que APT28 estaba apuntando ampliamente a redes estadounidenses, incluidas agencias gubernamentales e instituciones educativas, y enumeró varias direcciones IP que estaban utilizando en sus operaciones. El investigador de Dragos, Joe Slowik, notó que una dirección IP que identificaba un servidor en Hungría que se utilizó en esa campaña APT28 coincidía con una dirección IP que figura en el aviso de CISA. Eso sugeriría que APT28 utilizó el mismo servidor húngaro en la intrusión descrita por CISA y que al menos uno de los intentos de intrusión descritos por el FBI tuvo éxito.

«Según la superposición de infraestructura, la serie de comportamientos asociados con el evento y el calendario general y la orientación del gobierno de EE. UU., Esto parece ser algo muy similar, si no es parte de, la campaña vinculada a APT28 a principios de este año. «, dice Slowik, ex director del Equipo de Respuesta a Emergencias Informáticas de Los Alamos National Labs.

Aparte de esa notificación del FBI, Slowik también encontró una segunda conexión de infraestructura. Un informe del año pasado del Departamento de Energía advirtió que APT28 había sondeado la red de una organización del gobierno de Estados Unidos desde un servidor en Letonia, enumerando la dirección IP de ese servidor. Y esa dirección IP de Letonia también reapareció en la operación de piratería descrita en el aviso de CISA. Juntos, esas IP coincidentes crean una red de infraestructura compartida que une las operaciones. «Hay superposiciones uno a uno en los dos casos», dice Slowik.

De manera confusa, algunas de las direcciones IP enumeradas en los documentos del FBI, DOE y CISA también parecen superponerse con operaciones ciberdelincuentes conocidas, señala Slowik, como los foros de fraude rusos y los servidores utilizados por los troyanos bancarios. Pero sugiere que eso significa que los piratas informáticos patrocinados por el estado de Rusia probablemente estén reutilizando la infraestructura de los ciberdelincuentes, tal vez para crear negación. WIRED se comunicó con CISA, así como con el FBI y el DOE, pero ninguno respondió a nuestra solicitud de comentarios.

Aunque no nombra APT28, el aviso de CISA detalla paso a paso cómo los piratas informáticos llevaron a cabo su intrusión dentro de una agencia federal no identificada. De alguna manera, los piratas informáticos habían obtenido nombres de usuario y contraseñas funcionales para varios empleados, que utilizaron para ingresar a la red. CISA admite que no sabe cómo se obtuvieron esas credenciales, pero el informe especula que los atacantes pueden haber utilizado una vulnerabilidad conocida en Pulse Secure VPN que, según CISA, ha sido ampliamente explotada en todo el gobierno federal.

Luego, los intrusos utilizaron herramientas de línea de comandos para moverse entre las máquinas de la agencia, antes de descargar un malware personalizado. Luego usaron ese malware para acceder al servidor de archivos de la agencia y mover colecciones de archivos a las máquinas que controlaban los piratas informáticos, comprimiéndolos en archivos .zip que podrían robar más fácilmente.

Si bien CISA no puso a disposición de los investigadores una muestra del troyano personalizado de los piratas informáticos, el investigador de seguridad Costin Raiu dice que los atributos del malware coincidieron con otra muestra cargada en el repositorio de investigación de malware VirusTotal desde algún lugar de los Emiratos Árabes Unidos. Al analizar esa muestra, Raiu descubrió que parece ser una creación única construida a partir de una combinación de las herramientas de piratería comunes Meterpreter y Cobalt Strike, pero sin vínculos obvios con piratas informáticos conocidos y ofuscada con múltiples capas de cifrado. «Ese envoltorio lo hace algo interesante», dice Raiu, director del equipo de análisis e investigación global de Kaspersky. «Es algo inusual y raro en el sentido de que no pudimos encontrar conexiones con nada más».

Incluso aparte de sus violaciones en 2016 del Comité Nacional Demócrata y la campaña de Clinton, los piratas informáticos APT28 de Rusia se ciernen sobre las elecciones de 2020. A principios de este mes, Microsoft advirtió que el grupo ha estado aplicando técnicas relativamente simples a gran escala para violar las organizaciones y campañas relacionadas con las elecciones en ambos lados del pasillo político. Según Microsoft, el grupo ha utilizado una combinación de rociado de contraseñas que intenta contraseñas comunes en las cuentas de muchos usuarios y la fuerza bruta de contraseñas que prueba muchas contraseñas en una sola cuenta.

Pero si APT28 es de hecho el grupo de piratas informáticos descrito en el aviso de CISA, es un recordatorio de que también son capaces de realizar operaciones de espionaje más sofisticadas y específicas, dice John Hultquist, director de inteligencia de la firma de seguridad FireEye, que no confirmó de forma independiente Los hallazgos de Slowik vinculan el informe CISA con APT28. «Son un actor formidable y todavía son capaces de acceder a áreas sensibles», dice Hultquist.

APT28, antes de sus operaciones más recientes de pirateo y fuga de los últimos años, tiene una larga historia de operaciones de espionaje que se han dirigido a objetivos militares y gubernamentales de EE. UU., La OTAN y Europa del Este. El aviso de CISA, junto con los hallazgos del DOE y el FBI que rastrean las campañas de piratería APT28 relacionadas, sugieren que esas operaciones de espionaje continúan hoy.

«Ciertamente no es sorprendente que la inteligencia rusa esté tratando de penetrar en el gobierno de Estados Unidos. Eso es lo que hacen», dice Slowik. «Pero vale la pena identificar que esa actividad no solo continúa, sino que ha tenido éxito».

Para evitar ataques externos Yaakov´s Group te puede asesorar ¡Contáctanos! #Laexperienciaentecnología #cybersecurity #digitaltransformation  #Appsec #devops #devsecops.

Fuente: wired

Agencia federal comprometida por actor cibernético malicioso

Informe de análisis (AR20-268A)
Agencia federal comprometida por actor cibernético malicioso

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) respondió al reciente ciberataque de un actor de amenazas en la red empresarial de una agencia federal. Al aprovechar las credenciales comprometidas, el actor de la amenaza cibernética implantó malware sofisticado, incluido el malware de varias etapas que eludió la protección antimalware de la agencia afectada, y obtuvo acceso persistente a través de dos proxies Socket Secure (SOCKS) inversos que explotaban las debilidades del firewall de la agencia.

Descripción
CISA se dio cuenta, a través de EINSTEIN, el sistema de detección de intrusos de CISA que monitorea las redes civiles federales, de un potencial compromiso de la red de una agencia federal. En coordinación con la agencia afectada, CISA llevó a cabo un compromiso de respuesta a incidentes, confirmando la actividad maliciosa. La siguiente información se deriva exclusivamente del compromiso de respuesta a incidentes y proporciona las tácticas, técnicas y procedimientos del actor de amenazas, así como indicadores de compromiso que CISA observó como parte del compromiso.

Actividad del actor de amenazas
El actor de la amenaza cibernética tenía credenciales de acceso válidas para cuentas de administrador de dominio y cuentas de Microsoft Office 365 (O365) de varios usuarios, que aprovecharon para el acceso inicial [TA0001] a la red de la agencia (cuentas válidas [T1078]). Primero, el actor de amenazas inició sesión en la cuenta O365 de un usuario desde la dirección de Protocolo de Internet (IP) 91.219.236 [.] 166 y luego buscó páginas en un sitio de SharePoint y descargó un archivo (Datos de repositorios de información: SharePoint [T1213.002]). El actor de la amenaza cibernética se conectó varias veces mediante el Protocolo de control de transmisión (TCP) desde la dirección IP 185.86.151 [.] 223 al servidor de red privada virtual (VPN) de la organización víctima (Exploit Public-Facing Application [T1190]).

Los analistas de CISA no pudieron determinar cómo el actor de amenazas cibernéticas obtuvo inicialmente las credenciales. Es posible que el actor cibernético haya obtenido las credenciales de un servidor VPN de agencia sin parches al explotar una vulnerabilidad conocida — CVE-2019-11510 — en Pulse Secure (Explotación para acceso de credenciales [T1212]). En abril de 2019, Pulse Secure lanzó parches para varias vulnerabilidades críticas, incluida CVE-2019-11510, que permite la recuperación remota y no autenticada de archivos, incluidas las contraseñas. [1] CISA ha observado una amplia explotación de CVE-2019-11510 en todo el gobierno federal. [2]

Después del acceso inicial, el actor de amenazas realizó Discovery [TA0007] iniciando sesión en una cuenta de correo electrónico de O365 de la agencia desde 91.219.236 [.] 166 y viendo y descargando archivos adjuntos de correo electrónico de la mesa de ayuda con «Acceso a la intranet» y «Contraseñas de VPN» en la línea de asunto. , a pesar de tener acceso privilegiado (Colección de correo electrónico [T1114], Credenciales no seguras: Credenciales en archivos [T1552.001]). (Nota: estos correos electrónicos no contenían contraseñas). El actor inició sesión en la misma cuenta de correo electrónico a través del Protocolo de escritorio remoto (RDP) desde la dirección IP 207.220.1 [.] 3 (Servicios remotos externos [T1133]). El actor enumeró la clave de la directiva de grupo y de Active Directory y cambió una clave de registro para la directiva de grupo (manipulación de cuentas [T1098]). Inmediatamente después, el actor de amenazas usó procesos comunes de línea de comandos de Microsoft Windows (conhost, ipconfig, net, query, netstat, ping y whoami, plink.exe) para enumerar el sistema y la red comprometidos (Command and Scripting Interpreter [T1059], System Descubrimiento de configuración de red [T1016]).

El actor de la amenaza cibernética intentó varias veces conectarse al servidor privado virtual (VPS) IP 185.86.151 [.] 223 a través de un cliente de Windows Server Message Block (SMB). Aunque se conectaron y desconectaron varias veces, las conexiones finalmente tuvieron éxito. Durante el mismo período, el actor utilizó un alias de cuenta de identificador seguro que había creado previamente para iniciar sesión en VPS 185.86.151 [.] 223 a través de un recurso compartido SMB. El atacante luego ejecutó plink.exe en un servidor de archivos de la víctima (Command and Scripting Interpreter [T1059]). (plink.exe es una versión de línea de comandos de PuTTy que se utiliza para la administración remota).

El actor de amenazas cibernéticas estableció Persistencia [TA0003] y Comando y Control [TA0011] en la red de la víctima al (1) crear un túnel / proxy SOCKS inverso de Secure Socket Shell (SSH) persistente, (2) ejecutar inetinfo.exe (un único, malware de varias etapas utilizado para eliminar archivos) y (3) configurar un recurso compartido remoto montado localmente en la dirección IP 78.27.70 [.] 237 (Proxy [T1090]). El recurso compartido de archivos montado permitió al actor moverse libremente durante sus operaciones y dejar menos artefactos para el análisis forense. Consulte la sección Malware de actor de amenazas para obtener más información sobre el túnel SSH / proxy SOCKS inverso e inetinfo.exe.

El actor de ciberamenazas creó una cuenta local, que utilizó para la recopilación de datos [TA0009], la filtración [TA0010], la persistencia [TA0003] y el comando y control [TA0011] (Crear cuenta [T1136]). El actor de la ciberamenaza utilizó la cuenta local para:

Busque directorios en un servidor de archivos de la víctima (Datos de la unidad de red compartida [T1039]).
Copie un archivo desde el directorio de inicio de un usuario a su recurso compartido remoto montado localmente (Data Staged [T1074]).
Los analistas de CISA detectaron que el actor de amenazas cibernéticas interactuaba con otros archivos en los directorios de inicio de los usuarios, pero no pudieron confirmar si fueron exfiltrados.
Cree un proxy SMB SOCKS inverso que permitiera la conexión entre un VPS controlado por un actor de amenazas cibernéticas y el servidor de archivos de la organización víctima (consulte la sección Malware del actor de amenazas para obtener más información) (Proxy [T1090]).
Interactúe con el módulo de PowerShell Invoke-TmpDavFS.psm (consulte la sección Malware de actor de amenazas para obtener más información).
Extraiga datos de un directorio de cuentas y un directorio de servidor de archivos usando tsclient (tsclient es un cliente de Microsoft Windows Terminal Services) (datos del sistema local [T1005], datos de la unidad compartida de red [T1039]).
Cree dos archivos Zip comprimidos con varios archivos y directorios (Archivar datos recopilados [T1560]); Es probable que el actor de la amenaza cibernética haya exfiltrado estos archivos Zip, pero esto no se puede confirmar porque el actor enmascaró su actividad.

Malware de actor de amenazas
Túnel SSH persistente / proxy SOCKS inverso
Mientras estaba conectado como «Administrador», el actor de la amenaza cibernética creó dos tareas programadas (consulte la tabla 1) que funcionaron en conjunto para establecer un túnel SSH persistente y un proxy SOCKS inverso. El proxy permitía conexiones entre un servidor remoto controlado por un atacante y uno de los servidores de archivos de la organización víctima (Tarea / Trabajo programado [T1053], Proxy [T1090]). El proxy SOCKS inverso se comunicó a través del puerto 8100 (puerto no estándar [T1571]). Este puerto normalmente está cerrado, pero el malware del atacante lo abrió.

Dropper Malware: inetinfo.exe
El actor de amenazas creó una Tarea programada para ejecutar inetinfo.exe (Tarea programada / Trabajo [T1053]). inetinfo.exe es un malware único de varias etapas que se utiliza para eliminar archivos (figura 2). Eliminó los archivos system.dll y 363691858 y una segunda instancia de inetinfo.exe. El system.dll de la segunda instancia de inetinfo.exe descifró 363691858 como binario de la primera instancia de inetinfo.exe. El binario 363691858 descifrado se inyectó en la segunda instancia de inetinfo.exe para crear y conectarse a un túnel con nombre local. El binario inyectado luego ejecutó el código de shell en la memoria que se conectó a la dirección IP 185.142.236 [.] 198, lo que resultó en la descarga y ejecución de una carga útil.

El actor de la amenaza cibernética pudo superar la protección antimalware de la agencia e inetinfo.exe escapó de la cuarentena. Los analistas de CISA determinaron que el actor de la amenaza cibernética accedió a la clave de licencia del software y la guía de instalación del producto anti-malware y luego visitó un directorio utilizado por el producto para el análisis de archivos temporales. Después de acceder a este directorio, el actor de amenazas cibernéticas pudo ejecutar inetinfo.exe (Impedir defensas: Desactivar o modificar herramientas [T1562.001]).

Proxy inverso SMB SOCKS
La secuencia de comandos de PowerShell HardwareEnumeration.ps1 creó un proxy SMB SOCKS inverso que permitió la conexión entre el VPS IP 185.193.127 [.] 18 controlado por el atacante y el servidor de archivos de la organización víctima a través del puerto 443 (Intérprete de comandos y secuencias de comandos: Power Shell [T1059.001], Proxy [T1090]). El script de PowerShell HardwareEnumeration.ps1 se ejecutó diariamente a través de una Tarea programada (Tarea programada / Trabajo [T1053]).

HardwareEnumeration.ps1 es una copia de Invoke-SocksProxy.ps1, una herramienta gratuita creada y distribuida por un investigador de seguridad en GitHub. [3] Invoke-SocksProxy.ps1 crea un proxy inverso desde la máquina local a la infraestructura del atacante a través del puerto SMB TCP 445 (puerto no estándar [T1571]). Es probable que el guión se haya modificado con las necesidades de configuración del actor de amenazas cibernéticas.

Módulo de PowerShell: invoke-TmpDavFS.psm
invoke-TmpDavFS.psm es un módulo de PowerShell que crea un servidor Web Distributed Authoring and Versioning (WebDAV) que se puede montar como un sistema de archivos y se comunica a través del puerto TCP 443 y el puerto TCP 80. invoke-TmpDavFS.psm se distribuye en GitHub.

Solución
Indicadores de compromiso
Los analistas de CISA identificaron varias direcciones IP involucradas en las múltiples etapas del ataque descrito.

185.86.151 [.] 223 – Mando y Control (C2)
91.219.236 [.] 166 – C2
207.220.1 [.] 3 – C2
78.27.70 [.] 237 – Exfiltración de datos
185.193.127 [.] 18 – Persistencia
Supervisar el tráfico de red para detectar actividad inusual
CISA recomienda que las organizaciones monitoreen el tráfico de la red para detectar la siguiente actividad inusual.

Puertos abiertos inusuales (por ejemplo, puerto 8100)
Grandes archivos salientes
Protocolos inesperados y no aprobados, especialmente salientes a Internet (por ejemplo, SSH, SMB, RDP)
Si los defensores de la red notan alguna de las actividades anteriores, deben investigar.

Prevención
CISA recomienda que las organizaciones implementen las siguientes recomendaciones para protegerse contra la actividad identificada en este informe.

Implementar un firewall empresarial
Las organizaciones deben implementar un firewall empresarial para controlar lo que está permitido dentro y fuera de su red.

Si la organización elige no implementar un firewall empresarial, debe trabajar con su proveedor de servicios de Internet para asegurarse de que el firewall esté configurado correctamente.

Bloquear puertos no utilizados
Las organizaciones deben realizar una encuesta del tráfico dentro y fuera de su empresa para determinar los puertos necesarios para las funciones organizativas. Luego deben configurar su firewall para bloquear puertos innecesarios. La organización debe desarrollar un proceso de control de cambios para realizar cambios de control en esas reglas. Cabe destacar que los puertos SMB, SSH y FTP que no se utilicen deben bloquearse.

Recomendaciones adicionales
CISA recomienda que las organizaciones implementen las siguientes mejores prácticas.

Implemente la autenticación de múltiples factores, especialmente para cuentas privilegiadas.
Utilice cuentas administrativas independientes en estaciones de trabajo de administración independientes.
Implementar el principio de privilegio mínimo en el acceso a los datos.
Asegure RDP y otras soluciones de acceso remoto utilizando autenticación multifactor y «cajas de salto» para el acceso.
Implemente y mantenga herramientas de defensa de endpoints en todos los endpoints.
Mantenga el software actualizado.

Fuente: CISA

 

Exploit para la vulnerabilidad del protocolo remoto de Netlogon, CVE-2020-1472

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) tiene conocimiento del código de explotación disponible públicamente para CVE-2020-1472, una vulnerabilidad de elevación de privilegios en Netlogon de Microsoft. Aunque Microsoft proporcionó parches para CVE-2020-1472 en agosto de 2020, los sistemas sin parches serán un objetivo atractivo para los actores maliciosos. Los atacantes podrían aprovechar esta vulnerabilidad para obtener acceso de administrador de dominio.

CISA anima a los usuarios y administradores a revisar el Aviso de seguridad de agosto de Microsoft para CVE-2020-1472 y el artículo para obtener más información y aplicar las actualizaciones necesarias.

Ataques DoS y DDoS contra múltiples sectores

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) conoce los informes de código abierto de ataques de denegación de servicio (DoS) y de denegación de servicio distribuida (DDoS) dirigidos contra organizaciones financieras y comerciales de todo el mundo. Un ataque DoS se logra inundando el host o la red objetivo con tráfico hasta que el objetivo no puede responder o simplemente se bloquea, lo que impide el acceso de usuarios legítimos. En un ataque DDoS, el tráfico entrante se origina en muchas fuentes diferentes, lo que hace imposible detener el ataque bloqueando una sola fuente. Estos ataques pueden costarle a una organización tiempo y dinero mientras sus recursos y servicios son inaccesibles.

Si cree que usted o su empresa están experimentando un ataque DoS o DDoS, es importante que se comunique con los profesionales técnicos adecuados para obtener ayuda.

Comuníquese con su administrador de red para confirmar si la interrupción del servicio se debe al mantenimiento oa un problema de la red interna. Los administradores de red también pueden monitorear el tráfico de la red para confirmar la presencia de un ataque, identificar el origen y mitigar la situación aplicando reglas de firewall y posiblemente redireccionando el tráfico a través de un servicio de protección DoS.
Comuníquese con su proveedor de servicios de Internet para preguntar si hay una interrupción en su extremo o si su red es el objetivo de un ataque y usted es una víctima indirecta. Es posible que puedan asesorarlo sobre un curso de acción apropiado.

Para obtener más información, consulte el Consejo de CISA sobre cómo comprender los ataques de denegación de servicio.

Fuente: CISA

Cisco lanza actualizaciones de seguridad

Cisco ha publicado actualizaciones de seguridad para abordar las vulnerabilidades de los productos Cisco. Un atacante podría aprovechar algunas de estas vulnerabilidades para tomar el control de un sistema afectado. Para obtener actualizaciones que abordan vulnerabilidades de menor gravedad, consulte la pagina Cisco Security Advisories

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) alienta a los usuarios y administradores a revisar los siguientes avisos de Cisco y aplicar las actualizaciones necesarias:

Fuente: CISA

Alerta (AA20-239A)

FASTCash 2.0: BeagleBoyz de Corea del Norte robando bancos

Esta asesoría conjunta es el resultado de los esfuerzos analíticos entre la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), el Departamento del Tesoro (Tesoro), la Oficina Federal de Investigaciones (FBI) y el Comando Cibernético de los Estados Unidos (USCYBERCOM). Trabajando con socios del gobierno de EE. UU., CISA, el Tesoro, el FBI y USCYBERCOM identificaron malware e indicadores de compromiso (IOC) utilizados por el gobierno de Corea del Norte en un esquema de retiro de efectivo de cajeros automáticos (ATM), al que el gobierno de EE. UU. Se refiere como » FASTCash 2.0: BeagleBoyz de Corea del Norte robando bancos «.

CISA, Tesoro, FBI y USCYBERCOM destacan la amenaza cibernética que representa Corea del Norte, conocida formalmente como República Popular Democrática de Corea (RPDC), y brindan pasos recomendados para mitigar la amenaza.

Consulte los siguientes informes de análisis de malware para los IOC asociados: CROWDEDFLOUNDER, ECCENTRICBANDWAGON, ELECTRICFISH, FASTCash para Windows, HOPLIGHT y VIVACIOUSGIFT.

Detalles técnicos

El aparato de inteligencia de Corea del Norte controla un equipo de piratería dedicado a robar bancos a través del acceso remoto a Internet. Para diferenciar los métodos de otras actividades cibernéticas maliciosas de Corea del Norte, el gobierno de los EE. UU. Se refiere a este equipo como BeagleBoyz, que representa un subconjunto de la actividad COBRA OCULTA. Los BeagleBoyz se superponen en diversos grados con grupos rastreados por la industria de la ciberseguridad como Lazarus, Advanced Persistent Threat 38 (APT38), Bluenoroff y Stardust Chollima y son responsables de los retiros de efectivo de los cajeros automáticos FASTCash reportados en octubre de 2018, abuso fraudulento de bancos comprometidos Puntos finales del sistema SWIFT desde al menos 2015 y lucrativos robos de criptomonedas. Este comportamiento ilícito ha sido identificado por el Panel de Expertos de la RPDC de las Naciones Unidas (ONU) como una evasión de las resoluciones del Consejo de Seguridad de la ONU, ya que genera ingresos sustanciales para Corea del Norte. Corea del Norte puede utilizar estos fondos para sus programas de misiles balísticos y armas nucleares prohibidos por la ONU. Además, esta actividad presenta un riesgo operativo significativo para el sector de servicios financieros y erosiona la integridad del sistema financiero.

Los robos bancarios de BeagleBoyz plantean un grave riesgo operativo para las empresas individuales más allá del daño a la reputación y la pérdida financiera por robo y costos de recuperación. Los BeagleBoyz han intentado robar casi $ 2 mil millones desde al menos 2015, según estimaciones públicas. Igualmente preocupante, estos actores maliciosos han manipulado y, en ocasiones, han dejado inoperables sistemas informáticos críticos en bancos y otras instituciones financieras.

En 2018, un banco en África no pudo reanudar los servicios normales de cajeros automáticos o puntos de venta para sus clientes durante casi dos meses después de un intento de incidente de FASTCash.
El BeagleBoyz a menudo coloca herramientas destructivas anti-forenses en las redes informáticas de las instituciones víctimas. Además, en 2018, implementaron malware de limpiaparabrisas contra un banco en Chile que colapsó miles de computadoras y servidores para distraer la atención de los esfuerzos por enviar mensajes fraudulentos desde la terminal SWIFT comprometida del banco.
El esquema generalizado de robo de bancos internacional de Corea del Norte que explota los sistemas bancarios críticos puede erosionar la confianza en esos sistemas y presenta riesgos para las instituciones financieras de todo el mundo. Cualquier robo de BeagleBoyz dirigido a un banco implica a muchas otras empresas de servicios financieros tanto en el robo como en el flujo de fondos ilícitos de regreso a Corea del Norte. La actividad de BeagleBoyz se ajusta al patrón conocido de Corea del Norte de abusar del sistema financiero internacional con fines de lucro.

Los retiros de efectivo fraudulentos en cajeros automáticos han afectado a más de 30 países en un solo incidente. Los conspiradores han retirado efectivo de los cajeros automáticos operados por varios bancos involuntarios en varios países, incluso en los Estados Unidos.
Los BeagleBoyz también utilizan bancos involuntarios, incluidos bancos en los Estados Unidos, para su esquema de fraude SWIFT. Estos bancos son custodios de cuentas que pertenecen a los bancos víctimas o, sin saberlo, sirven como intermediarios del fraude. Más infamemente, el BeagleBoyz robó $ 81 millones del Banco de Bangladesh en 2016. El Banco de la Reserva Federal de Nueva York detuvo el resto de este intento de robo de $ 1 mil millones después de detectar anomalías en las instrucciones de transferencia que habían recibido.

Actualización FASTCash

Los BeagleBoyz de Corea del Norte son responsables de las sofisticadas campañas de retiro de efectivo en cajeros automáticos habilitadas para cibernética identificadas públicamente como «FASTCash» en octubre de 2018. Desde 2016, BeagleBoyz ha perpetrado el esquema FASTCash, dirigido a la infraestructura del sistema de pago minorista de los bancos (es decir, cambiar los servidores de aplicaciones procesamiento de mensajes de la Organización Internacional de Normalización [ISO] 8583, que es el estándar para la mensajería de transacciones financieras).

Desde la publicación del en octubre de 2018, ha habido dos desarrollos particularmente significativos en la campaña: (1) la capacidad de llevar a cabo el esquema FASTCash contra los bancos que alojan sus aplicaciones de cambio en servidores Windows, y (2) una expansión de la campaña FASTCash para apuntar a procesadores de pagos interbancarios.

En octubre de 2018, el gobierno de los EE. UU. Identificó el malware utilizado en el esquema FASTCash que tiene la capacidad de manipular los servidores AIX que ejecutan la aplicación de cambio de un banco para interceptar mensajes de solicitud financiera y responder con mensajes de respuesta afirmativa fraudulentos, pero de apariencia legítima, para permitir una gran cantidad de efectivo en cajeros automáticos. salidas. Desde entonces, el gobierno de EE. UU. Ha identificado malware funcionalmente equivalente para el sistema operativo Windows. Consulte la sección Análisis técnico a continuación para obtener más información sobre el malware ISO 8583 para Windows.
El BeagleBoyz inicialmente apuntó a aplicaciones de cambio en bancos individuales con malware FASTCash pero, más recientemente, se ha dirigido al menos a dos procesadores de pagos interbancarios regionales. Esto sugiere que BeagleBoyz está explorando oportunidades ascendentes en el ecosistema de pagos.

Perfil BEAGLEBOYZ

El BeagleBoyz, un elemento de la Oficina General de Reconocimiento del gobierno de Corea del Norte, probablemente ha estado activo desde al menos 2014. A diferencia del delito cibernético típico, es probable que el grupo lleve a cabo operaciones cibernéticas bien planificadas, disciplinadas y metódicas más parecidas a actividades de espionaje cuidadosas. Sus operaciones cibernéticas maliciosas han generado cientos de millones de dólares estadounidenses y probablemente sean una fuente importante de financiamiento para el régimen de Corea del Norte. El grupo siempre ha utilizado un enfoque calculado, que les permite afinar sus tácticas, técnicas y procedimientos mientras eluden la detección. Con el tiempo, sus operaciones se han vuelto cada vez más complejas y destructivas. Las herramientas y los implantes empleados por este grupo son consistentemente complejos y demuestran un fuerte enfoque en la eficacia y la seguridad operativa.

Identificadores de comunidad

El BeagleBoyz se superpone en diversos grados con grupos rastreados por la industria de la ciberseguridad como: APT38 (FireEye), Bluenoroff (Kaspersky), Lazarus Group (ESTSecurity) y Stardust Chollima (CrowdStrike).

Anatomía de un atraco al banco BeagleBoyz

La Figura 2 proporciona una representación gráfica de un atraco a un banco BeagleBoyz. La siguiente sección describe en detalle las acciones de extremo a extremo que toma BeagleBoyz para robar instituciones financieras con una operación cibernética maliciosa.

Análisis técnico

BeagleBoyz utiliza una variedad de herramientas y técnicas para obtener acceso a la red de una institución financiera, aprender la topología para descubrir sistemas clave y monetizar su acceso. El análisis técnico a continuación representa una amalgama de múltiples incidentes conocidos, en lugar de detalles de una sola operación. Estos hallazgos se presentan para resaltar la capacidad del grupo para adaptar sus técnicas a diferentes objetivos y adaptar sus métodos a lo largo del tiempo. En consecuencia, existe una necesidad de mitigaciones en capas para defenderse de manera efectiva contra esta actividad, ya que depender únicamente de la detección de firmas de red no protegerá suficientemente contra el BeagleBoyz de Corea del Norte.

Acceso inicial

Los BeagleBoyz han utilizado una variedad de técnicas, como el spearphishing y los abrevaderos, para permitir el acceso inicial a las instituciones financieras específicas. Hacia fines de 2018 hasta 2019 y principios de 2020, BeagleBoyz demostró el uso de tácticas de ingeniería social al llevar a cabo ataques de phishing temáticos de aplicaciones de empleo utilizando los siguientes archivos maliciosos disponibles públicamente.

El BeagleBoyz también puede estar trabajando o contratando a grupos de piratería criminal, como TA505, para el desarrollo del acceso inicial. El tercero generalmente usa malware básico para establecer el acceso inicial en la red de la víctima y luego cede el acceso al BeagleBoyz para su explotación posterior, lo que puede no ocurrir hasta meses después.

Los BeagleBoyz también han utilizado las siguientes técnicas para obtener un punto de apoyo inicial en una red informática específica (Acceso inicial [TA0001]).

Envíe por correo electrónico un archivo adjunto con software malicioso a una persona, empresa o industria específica (Phishing: Archivo adjunto de phishing [T1566.001])
Poner en peligro un sitio web visitado por usuarios en comunidades, industrias o regiones específicas (Compromiso de conducción [T1189])
Aprovechar una debilidad (un error, falla o vulnerabilidad de diseño) en un sistema informático orientado a Internet (como una base de datos o un servidor web) (Exploit Public Facing Application [T1190])
Robar las credenciales de un usuario específico o cuenta de servicio para evitar los controles de acceso y obtener mayores privilegios (Cuentas válidas [T1078])
Infringir organizaciones que tienen acceso a la organización de la víctima prevista y explotar su relación de confianza (Relación de confianza [T1199])
Utilizar servicios remotos para acceder inicialmente y permanecer dentro de la red de una víctima (Servicios remotos externos [T1133])

Ejecución

El BeagleBoyz explota selectivamente los sistemas informáticos de las víctimas después de comprometer inicialmente una computadora conectada a la red corporativa de una institución financiera. Después de obtener acceso inicial a la red corporativa de una institución financiera, los BeagleBoyz son selectivos en qué sistemas de víctimas explotan aún más. BeagleBoyz utiliza una variedad de técnicas para ejecutar su código en sistemas de víctimas locales y remotos [Ejecución [TA0002]).

Utilice interfaces de línea de comandos para interactuar con los sistemas y ejecutar otro software (Command and Scripting Interpreter [T1059])
Utilice scripts (p. Ej., VBScript y PowerShell) para acelerar las tareas operativas, reducir el tiempo necesario para obtener acceso a recursos críticos y evitar los mecanismos de supervisión de procesos al interactuar directamente con el sistema operativo (SO) en un nivel de interfaz de programación de aplicaciones (API) en lugar de llamar a otros programas (intérprete de comandos y secuencias de comandos: PowerShell [T1059.001], intérprete de comandos y secuencias de comandos: Visual Basic [T1059.005])
Confíe en acciones específicas del usuario, como abrir un archivo adjunto de correo electrónico malicioso (ejecución del usuario [T1204])
Aprovechar las vulnerabilidades del software para ejecutar código en un sistema (Explotación para la ejecución del cliente [T1203])
Cree nuevos servicios o modifique los servicios existentes para ejecutar ejecutables, comandos o scripts (Servicios del sistema: Ejecución de servicios [T1569.002])
Emplear el cargador de módulos de Windows para cargar bibliotecas de vínculos dinámicos (DLL) desde rutas locales arbitrarias o rutas de red arbitrarias de la Convención de nomenclatura universal (UNC) y ejecutar código arbitrario en un sistema (módulos compartidos [T1129])
Utilice la API de Windows para ejecutar código arbitrario en el sistema de la víctima (API nativa [T1106])
Utilice la interfaz gráfica de usuario (GUI) de un sistema para buscar información y ejecutar archivos (Servicios remotos [T1021])
Utilice el Programador de tareas para ejecutar programas al inicio del sistema o de forma programada para la persistencia, realizar la ejecución remota para el movimiento lateral, obtener privilegios del SISTEMA para la escalada de privilegios o ejecutar un proceso en el contexto de una cuenta específica (Tarea / Trabajo programado [T1053 ])
Abuso de archivos compilados de lenguaje de marcado de hipertexto (HTML) (.chm), comúnmente distribuidos como parte del sistema de ayuda HTML de Microsoft, para ocultar código malicioso (Ejecución de proxy binario firmado: archivo HTML compilado [T1218.001])
Abusar de Windows rundll32.exe para ejecutar binarios, scripts y archivos de elementos del panel de control (.CPL) y ejecutar código a través de proxy para evitar activar herramientas de seguridad (Ejecución de proxy binario firmado: Rundl32 [T1218.001])
Explote cron en Linux y ejecute en sistemas macOS para crear trabajos en segundo plano preprogramados y periódicos (Tarea / Trabajo programado: Cron [T1053.003], Tarea / Trabajo programado: Lanzado [T1053.004])

Persistencia

BeagleBoyz usa muchas técnicas para mantener el acceso en redes comprometidas mediante reinicios del sistema, cambio de credenciales y otras interrupciones que podrían afectar su acceso (Persistencia [TA0003]).

Agregue una entrada a las «claves de ejecución» en el Registro o un ejecutable a la carpeta de inicio para ejecutar malware cuando el usuario inicia sesión en el contexto de los niveles de permisos asociados del usuario (Ejecución de inicio automático de inicio o inicio de sesión: claves de ejecución del registro / carpeta de inicio [ T1547.001])
Instale un nuevo servicio que pueda configurarse para ejecutarse al inicio utilizando utilidades para interactuar con los servicios o modificando directamente el Registro (Crear o modificar el proceso del sistema: Servicio de Windows [T1543.003])
Comprometer un servidor web de acceso abierto con un script web (conocido como shell web) para usar el servidor web como una puerta de enlace a una red y servir como mecanismo de persistencia o acceso redundante (Componente de software del servidor: Shell web [T1505.003])
Manipular cuentas (p. Ej., Modificar permisos, modificar credenciales, agregar o cambiar grupos de permisos, modificar la configuración de la cuenta o modificar la forma en que se realiza la autenticación) para mantener el acceso a las credenciales y ciertos niveles de permisos dentro de un entorno (Manipulación de cuentas [T1098])
Robar las credenciales de un usuario específico o cuenta de servicio para evitar los controles de acceso y retener el acceso a sistemas remotos y servicios disponibles externamente (cuentas válidas [T1078])
Utilice el Programador de tareas para ejecutar programas al inicio del sistema o de forma programada para la persistencia, realizar la ejecución remota para el movimiento lateral, obtener privilegios del SISTEMA para la escalada de privilegios o ejecutar un proceso en el contexto de una cuenta específica (Tarea / Trabajo programado [T1053 ])
Abusar del orden de búsqueda de las DLL de Windows y de los programas que especifican de manera ambigua las DLL para obtener una escalada y persistencia de privilegios (Flujo de ejecución de secuestro: Secuestro de órdenes de búsqueda de DLL [T1056.004])
Explote el enlace para cargar y ejecutar código malicioso dentro del contexto de otro proceso para enmascarar la ejecución, permitir el acceso a la memoria del proceso y, posiblemente, obtener privilegios elevados (Captura de entrada: Enlace de API de credenciales [T1574.001])
Usar servicios remotos para persistir dentro de la red de una víctima (Servicios remotos externos [T1133])

Escalada de privilegios

BeagleBoyz a menudo busca acceso a los sistemas de las instituciones financieras que tienen cuentas de usuario y de sistema escalonadas con privilegios personalizados. BeagleBoyz debe superar estas restricciones para acceder a los sistemas necesarios, monitorear el comportamiento normal del usuario e instalar y ejecutar herramientas maliciosas adicionales. Para hacerlo, BeagleBoyz ha utilizado las siguientes técnicas para obtener permisos de nivel superior en un sistema o red (Privilege Escalation [TA0004]).

Inyecte código en los procesos para evadir las defensas basadas en procesos y elevar los privilegios (Process Injection [T1055])
Instale un nuevo servicio que pueda configurarse para ejecutarse al inicio utilizando utilidades para interactuar con los servicios o modificando directamente el Registro (Crear o modificar el proceso del sistema: Servicio de Windows [T1543.003])
Comprometer un servidor web de acceso abierto con shell web para usar el servidor web como puerta de enlace a una red (Componente de software del servidor: Shell web [T1505.003])
Use el Programador de tareas para ejecutar programas al inicio del sistema o de manera programada para la persistencia, realizar la ejecución remota como parte del movimiento lateral, obtener privilegios del SISTEMA para la escalada de privilegios o ejecutar un proceso en el contexto de una cuenta específica (Tarea / Trabajo programado [T1053])
Robar las credenciales de un usuario específico o cuenta de servicio para evitar los controles de acceso y otorgar mayores privilegios (Cuentas válidas [T1078])
Explote el enlace para cargar y ejecutar código malicioso dentro del contexto de otro proceso para enmascarar la ejecución, permitir el acceso a la memoria del proceso y, posiblemente, obtener privilegios elevados (Captura de entrada: Enlace de API de credenciales [T1574.001])
Realice el almacenamiento en caché de Sudo (a veces denominado «superusuario») o utilice el archivo Soudoers para elevar los privilegios en los sistemas Linux y macOS (Mecanismo de control de elevación de abuso: almacenamiento en caché de Sudo y Sudo [T1548.003])
Ejecute cargas útiles maliciosas secuestrando el orden de búsqueda utilizado para cargar DLL (Flujo de ejecución de secuestro: Secuestro de órdenes de búsqueda de DLL [T1574.001])

Evasión de defensa

A lo largo de su explotación de la red informática de una institución financiera, los BeagleBoyz han utilizado diferentes técnicas para evitar ser detectados por las características de seguridad del sistema operativo, el software de seguridad del sistema y de la red y las auditorías del sistema (Defense Evasion [TA0005]).

Explote los certificados de firma de código para enmascarar el malware y las herramientas como binarios legítimos y eludir las políticas de seguridad que permiten que solo se ejecuten los binarios firmados en un sistema (Subvert Trust Controls Signing [T1553.002])
Elimine malware, herramientas u otros archivos no nativos caídos o creados durante una intrusión para reducir su huella o como parte del proceso de limpieza posterior a la intrusión (Eliminación del indicador en el host: Eliminación de archivos [T1070.004])
Inyecte código en los procesos para evadir las defensas basadas en procesos (Process Injection [T1055])
Utilice scripts (como VBScript y PowerShell) para evitar los mecanismos de supervisión de procesos al interactuar directamente con el sistema operativo a nivel de API en lugar de llamar a otros programas (Command and Scripting Interpreter: PowerShell [T1059.001], Command and Scripting Interpreter: Visual Basic [ T1059.005])
Intente hacer que un archivo ejecutable o un archivo sea difícil de descubrir o analizar cifrando, codificando u ocultando su contenido en el sistema o en tránsito (Archivos o información ofuscados [T1027])
Utilice servicios web externos previamente comprometidos para transmitir comandos a un sistema de la víctima (Servicio web [T1102])
Utilice el empaquetado de software para cambiar la firma del archivo, omitir la detección basada en firmas y descomprimir el código ejecutable en la memoria (Credenciales no seguras: claves privadas [T1552.004])
Utilice archivos o información ofuscados para ocultar los artefactos de intrusión (Desofuscar / Decodificar archivos o información [T1140])
Modifique las marcas de tiempo de los datos (los campos de modificación, acceso, creación y cambio de horas) para imitar los archivos que se encuentran en la misma carpeta, haciendo que parezcan discretos para los analistas forenses o las herramientas de análisis de archivos (Eliminación del indicador en el host: Eliminar marca de tiempo [T1070.006 ])
Abusar de las utilidades de Windows para implementar comandos de ejecución arbitrarios y subvertir los controles de detección y mitigación (como la política de grupo) que limitan o impiden el uso de cmd.exe o extensiones de archivo comúnmente asociadas con cargas útiles maliciosas (ejecución de comando indirecto [T1202])
Utilice varios métodos para evitar que sus comandos aparezcan en los registros y borre el historial de comandos para eliminar los rastros de actividad (Eliminación del indicador en el host: Borrar el historial de comandos [T1070.003])
Desactive las herramientas de seguridad para evitar la posible detección de herramientas y eventos (Impedir defensas: Desactivar o modificar herramientas [T1562.001])
Robar las credenciales de un usuario específico o cuenta de servicio para evitar los controles de acceso y otorgar mayores privilegios (Cuentas válidas [T1078])
Elimine o modifique los artefactos generados en un sistema host, incluidos los registros y los archivos potencialmente capturados, para eliminar los rastros de actividad (Eliminación del indicador en el host: Eliminación de archivos [T1070.004])
Abusar de archivos HTML compilados (.chm), comúnmente distribuidos como parte del sistema de ayuda HTML de Microsoft, para ocultar código malicioso (Ejecución de proxy binario firmado: archivo HTML compilado [T1218.001])
Anteponer un espacio a todos los comandos de su terminal para operar sin dejar rastros en el entorno HISTCONTROL, que está configurado para ignorar los comandos que comienzan con un espacio (Defensas de deterioro: HISTCONTROL [T1562.003])
Modifique el malware para que tenga una firma diferente y reutilícelo en los casos en que el grupo determine que fue puesto en cuarentena (Archivos o información ofuscados: Eliminación del indicador de herramientas [T1027.005])
Intente bloquear indicadores o eventos capturados normalmente por sensores para que no se recopilen y analicen (Defensas de deterioro: Bloqueo de indicadores [T1562.006])
Utilice el orden de búsqueda de las DLL de Windows y los programas que especifican de manera ambigua las DLL para obtener una escalada y persistencia de privilegios (Flujo de ejecución de secuestro: Secuestro de órdenes de búsqueda de DLL [T1574.001])
Manipular o abusar de los atributos o la ubicación de un ejecutable (enmascaramiento) para integrarse mejor con el entorno y aumentar las posibilidades de engañar a un analista o producto de seguridad (enmascaramiento [T1036])
Explotar rootkits para ocultar programas, archivos, conexiones de red, servicios, controladores y otros componentes del sistema (Rootkit [T1014])
Abusar de Windows rundll32.exe para ejecutar binarios, scripts y archivos .CPL, y ejecutar código a través de proxy para evitar activar herramientas de seguridad (Ejecución de proxy binario firmado: Rundl32 [T1218.001])

Acceso a credenciales

BeagleBoyz puede utilizar malware como ECCENTRICBANDWAGON para registrar pulsaciones de teclas y realizar capturas de pantalla. El gobierno de EE. UU. Ha identificado algunas muestras de ECCENTRICBANDWAGON que tienen la capacidad de cifrar RC4 datos registrados, pero la herramienta no tiene funcionalidad de red. El implante utiliza un formato específico para los datos registrados y guarda el archivo localmente; otra herramienta obtiene los datos registrados. El implante tampoco contiene ningún mecanismo de persistencia o autocarga y espera que un archivo de configuración específico esté presente en el sistema. Un informe técnico completo para ECCENTRICBANDWAGON está disponible en https://us-cert.cisa.gov/northkorea.

Es posible que BeagleBoyz no siempre necesite usar registradores de teclas personalizados como ECCENTRICBANDWAGON u otras herramientas para obtener credenciales de un sistema comprometido. Dependiendo del entorno de la víctima, BeagleBoyz ha utilizado las siguientes técnicas para robar credenciales (Credential Access [TA0006]).

Capture la entrada del usuario, como el registro de teclas (el tipo más común de captura de entrada), para obtener credenciales para cuentas válidas y recopilación de información (captura de entrada [T1056])
Obtenga información de inicio de sesión y contraseña de la cuenta, generalmente en forma de un hash o una contraseña de texto sin cifrar, del sistema operativo y el software (OS Credential Dumping [T1056])
Reúna claves privadas de sistemas comprometidos para autenticarse en servicios remotos o descifrar otros archivos recopilados (Credenciales no aseguradas: claves privadas [T1552.004])
Manipule cuentas predeterminadas, de dominio, locales y en la nube para mantener el acceso a las credenciales y ciertos niveles de permisos dentro de un entorno (Manipulación de cuentas [T1098])
Abusar del enlace para cargar y ejecutar código malicioso dentro del contexto de otro proceso para enmascarar la ejecución, permitir el acceso a la memoria del proceso y, posiblemente, obtener privilegios elevados (Captura de entrada: Enlace de API de credenciales [T1056.004])
Utilice técnicas de fuerza bruta para intentar acceder a la cuenta cuando se desconozcan las contraseñas o cuando los hashes de contraseña no estén disponibles (Fuerza bruta [T1110])

Descubrimiento

Una vez dentro de la red de una institución financiera, el BeagleBoyz parece buscar dos sistemas específicos: el terminal SWIFT y el servidor que aloja la aplicación de cambio de pago de la institución. A medida que avanzan a través de una red, aprenden sobre los sistemas a los que han accedido para mapear la red y obtener acceso a los dos sistemas de objetivos. Para ello, BeagleBoyz ha utilizado las siguientes técnicas para adquirir conocimientos sobre los sistemas y la red interna (Discovery [TA0007]).

Intente obtener información detallada sobre el sistema operativo y el hardware, como la versión, los parches, las revisiones, los paquetes de servicio y la arquitectura (Descubrimiento de información del sistema [T1082])
Enumere archivos y directorios o busque en ubicaciones específicas de un host o un recurso compartido de red para obtener información particular dentro de un sistema de archivos (Detección de archivos y directorios [T1083])
Obtenga una lista de software de seguridad, configuraciones, herramientas defensivas y sensores instalados en el sistema (Detección de software: Detección de software de seguridad [T1518.001])
Obtener información sobre los procesos en ejecución en un sistema para comprender el software estándar que se ejecuta en sistemas de red (Descubrimiento de procesos [T1057])
Identificar los usuarios principales, los usuarios que han iniciado sesión actualmente, los conjuntos de usuarios que suelen utilizar un sistema o los usuarios activos o inactivos (Detección de usuarios / propietarios del sistema [T1033])
Enumere los marcadores del navegador para obtener más información sobre los hosts comprometidos, revelar información personal sobre los usuarios y exponer detalles sobre los recursos de la red interna (Detección de marcadores del navegador [T1217])
Busque información sobre la configuración de la red y la configuración del sistema en los sistemas comprometidos, o realice un descubrimiento de sistema remoto (Descubrimiento de la configuración de la red del sistema [T1016])
Interactúe con el Registro de Windows para recopilar información sobre el sistema, la configuración y el software instalado (Registro de consultas [T1012])
Obtenga una lista de las ventanas de aplicaciones abiertas para aprender cómo se usa el sistema o dar contexto a los datos recopilados (Descubrimiento de ventanas de aplicaciones [T1010])
Intente obtener una lista de las cuentas de dominio o sistema local en el sistema comprometido (Detección de cuentas [T1087])
Obtenga una lista de conexiones de red hacia y desde el sistema comprometido o el sistema remoto consultando información a través de la red (Descubrimiento de conexiones de red del sistema [T1049])

Movimiento lateral

Para acceder a la terminal SWIFT de una institución financiera comprometida y al servidor que aloja la aplicación de cambio de pago de la institución, BeagleBoyz aprovecha las credenciales recolectadas y aprovecha la accesibilidad de estos sistemas críticos desde otros sistemas en la red corporativa de la institución. Específicamente, se sabe que BeagleBoyz crea exenciones de firewall en puertos específicos, incluidos los puertos 443, 6443, 8443 y 9443. Dependiendo de la configuración de los sistemas comprometidos y el entorno de seguridad de la red informática de la víctima, BeagleBoyz ha utilizado las siguientes técnicas para ingresar y controlar sistemas remotos en una red comprometida (Movimiento Lateral [TA0008]).

Copie archivos de un sistema a otro para preparar herramientas del adversario u otros archivos a lo largo de una operación (Ingress Tool Transfer [T1105])
Utilice el Protocolo de escritorio remoto (RDP) para iniciar sesión en una sesión interactiva con una GUI de escritorio del sistema en un sistema remoto (Servicios remotos: Protocolo de escritorio remoto [T1021.001])
Emplee recursos compartidos de red ocultos, junto con cuentas válidas de nivel de administrador, para acceder de forma remota a un sistema en red a través de Server Message Block (SMB) para interactuar con sistemas mediante llamadas de procedimiento remoto (RPC), transferir archivos y ejecutar binarios transferidos a través de ejecución (Servicios remotos: recursos compartidos de administración de Windows / SMB [T1021.002])
Explotar cuentas válidas para iniciar sesión en un servicio diseñado específicamente para aceptar conexiones remotas y realizar acciones como el usuario que inició sesión (Servicios remotos [T1021])

Colección

Dependiendo de los diversos atributos ambientales que encuentre BeagleBoyz durante su explotación, pueden implementar una variedad de herramientas de reconocimiento o usar herramientas administrativas comúnmente disponibles para propósitos maliciosos.

El BeagleBoyz, al igual que otros ciber actores sofisticados, también parece utilizar herramientas administrativas legítimas residentes con fines de reconocimiento cuando están disponibles; esto se conoce comúnmente como «vivir de la tierra». PowerShell parece ser una herramienta popular y legítima que favorece BeagleBoyz para las actividades de reconocimiento. Por ejemplo, BeagleBoyz a menudo usa código disponible públicamente de PowerShell Empire con fines maliciosos.

Los BeagleBoyz han utilizado las siguientes técnicas para recopilar información de los sistemas explotados (Colección [TA0009]).

Utilice métodos automatizados, como secuencias de comandos, para recopilar datos (recopilación automatizada [T1119])
Capture la entrada del usuario para obtener credenciales y recopilar información (Captura de entrada [T1056])
Recopile datos de sistemas locales de un sistema comprometido (Datos del sistema local [T1005])
Tomar capturas de pantalla del escritorio (Captura de pantalla [T1113])
Recopile datos almacenados en el portapapeles de Windows de los usuarios (Datos del portapapeles [T1115])

Comando y control

Es probable que BeagleBoyz cambie las herramientas, como CROWDEDFLOUNDER y HOPLIGHT, con el tiempo para mantener el acceso remoto a las redes de las instituciones financieras y para interactuar con esos sistemas.

El análisis de las siguientes muestras de CROWDEDFLOUNDER se publicó por primera vez en octubre de 2018 como parte de la campaña FASTCash.
Los BeagleBoyz han utilizado CROWDEDFLOUNDER como un troyano de acceso remoto (RAT) desde al menos 2018. El implante está diseñado para operar en hosts de Microsoft Windows y puede cargar y descargar archivos, lanzar un shell de comando remoto, inyectar en los procesos de la víctima, obtener usuario y host. información y eliminar archivos de forma segura. El implante se puede empaquetar con Themida para degradar o prevenir la ingeniería inversa efectiva o evadir la detección en un host de Windows. Se puede configurar para que actúe en modo baliza o escucha, según los argumentos de la línea de comandos o las especificaciones de configuración. El implante ofusca las comunicaciones de red mediante un algoritmo de codificación simple. El modo de escucha de CROWDEDFLOUNDER facilita proxies como ELECTRICFISH (discutido a continuación) con tráfico de túnel en la red de una víctima.

Más recientemente, el gobierno de los EE. UU. Ha encontrado el malware HOPLIGHT en los sistemas de las víctimas, lo que sugiere que BeagleBoyz está utilizando HOPLIGHT para fines similares. HOPLIGHT tiene la misma funcionalidad básica RAT que el implante CROWDEDFLOUNDER. Además, HOPLIGHT tiene la capacidad de crear sesiones fraudulentas de Transport Layer Security (TLS) para ofuscar las conexiones de comando y control (C2), lo que dificulta la detección y el seguimiento de las comunicaciones del malware.

Los informes técnicos completos de CROWDEDFLOUNDER y HOPLIGHT están disponibles en https://us-cert.cisa.gov/northkorea.

BeagleBoyz utiliza herramientas de tunelización de proxy de red, que incluyen VIVACIOUSGIFT y ELECTRICFISH, para canalizar las comunicaciones desde sistemas que no están conectados a Internet, como un servidor de aplicaciones de conmutador ATM o una terminal SWIFT, a sistemas conectados a Internet. BeagleBoyz utiliza estas herramientas de túnel de proxy de red, probablemente ubicadas en o cerca del límite de la red de la víctima, para canalizar otros protocolos como RDP y Secure Shell u otro tráfico de implantes fuera de la red interna.

Parece que a medida que BeagleBoyz cambia las herramientas de proxy, existe cierta superposición entre el uso de malware más antiguo y más nuevo. Por ejemplo, los BeagleBoyz parecen haber comenzado a usar ELECTRICFISH cuando terminaron el uso de VIVACIOUSGIFT. Ha habido una disminución notable en el uso de ELECTRICFISH luego de la divulgación del mismo por parte del gobierno de EE. UU. En mayo de 2019.

Los informes técnicos completos de VIVACIOUSGIFT y ELECTRICFISH están disponibles en https://us-cert.cisa.gov/northkorea.

Además de estas herramientas, BeagleBoyz ha utilizado las siguientes técnicas para comunicarse con los sistemas de víctimas de las instituciones financieras bajo su control (Comando y Control [TA0011]).

Emplear algoritmos de cifrado conocidos para ocultar el tráfico C2 (canal cifrado [T1573])
Comuníquese a través de puertos y protocolos de capa de aplicación estándar de uso común para evitar la detección o inspección detallada y para combinar con el tráfico existente (Protocolo de capa de aplicación [T1071])
Codifique la información C2 utilizando sistemas de codificación de datos estándar como el Código estándar americano para el intercambio de información (ASCII), Unicode, Base64, Extensiones de correo de Internet multipropósito y sistemas de formato de transformación Unicode de 8 bits u otros sistemas de codificación de caracteres y binarios a texto ( Codificación de datos: codificación estándar [T1132.001])
Copie archivos entre sistemas para preparar herramientas adversarias u otros archivos (Herramienta de transferencia de ingreso [T1105])
Utilice servicios web externos previamente comprometidos para transmitir comandos a los sistemas de las víctimas (Servicio web [T1102])
Emplee un protocolo C2 personalizado que imite protocolos conocidos o desarrolle protocolos personalizados (incluidos sockets sin procesar) para complementar los protocolos proporcionados por otra pila de red estándar (Protocolo de capa sin aplicación [T1095])
Ofuscar las comunicaciones C2 (pero no necesariamente cifrarlas) para ocultar los comandos y hacer que el contenido sea menos llamativo y más difícil de descubrir o descifrar (Ofuscación de datos [T1101])
Emplear proxies de conexión para dirigir el tráfico de red entre sistemas, actuar como intermediario para las comunicaciones de red a un servidor C2 o evitar conexiones directas a su infraestructura (Proxy [T1090])
Aprovechar el soporte de escritorio legítimo y el software de acceso remoto para establecer un canal C2 interactivo para los sistemas de destino dentro de las redes (Software de acceso remoto [T1219])

Fuente CISA

Las 25 debilidades de software más peligrosas de CWE 2020

El Instituto de Ingeniería y Desarrollo de Sistemas de Seguridad Nacional, patrocinado por el Departamento de Seguridad Nacional y operado por MITRE, ha publicado la lista de las 25 debilidades de software más peligrosas de la enumeración de debilidades comunes (CWE) de 2020. El Top 25 utiliza datos de la Base de datos nacional de vulnerabilidades (NVD) para compilar los errores más frecuentes y críticos que pueden provocar vulnerabilidades graves en el software. Un atacante a menudo puede aprovechar estas vulnerabilidades para tomar el control de un sistema afectado, obtener información confidencial o causar una condición de denegación de servicio.

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) alienta a los usuarios y administradores a revisar la lista de los 25 principales y evaluar las mitigaciones recomendadas para determinar cuáles son las más adecuadas para adoptar.

Fuente: CISA

Actividad cibernética maliciosa de Corea del Norte

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) y la Oficina Federal de Investigaciones (FBI) han identificado una variante de malware, denominada BLINDINGCAN, utilizada por actores norcoreanos.

CISA alienta a los usuarios y administradores a revisar el Informe de análisis de malware MAR-10295134-1.v1 y la página de actividad cibernética maliciosa de Corea del Norte de CISA para obtener más información.

Fuente: CISA

Alerta (AA20-205A)

NSA y CISA recomiendan acciones inmediatas para reducir la exposición a través de tecnologías operativas y sistemas de control

Resumen

En los últimos meses, los ciber actores han demostrado su continua disposición a realizar actividades cibernéticas maliciosas contra la infraestructura crítica (CI) mediante la explotación de activos de tecnología operativa (OT) accesibles a Internet. [1] Debido al aumento de las capacidades y la actividad del adversario, la importancia crítica para la seguridad nacional y el estilo de vida de los EE. UU. Y la vulnerabilidad de los sistemas de OT, la infraestructura civil se convierte en objetivos atractivos para las potencias extranjeras que intentan dañar los intereses de EE. UU. O tomar represalias por la agresión percibida de EE. Los activos de OT son fundamentales para la misión del Departamento de Defensa (DoD) y sustentan los servicios y los Sistemas de Seguridad Nacional (NSS) esenciales, así como la Base Industrial de Defensa (DIB) y otra infraestructura crítica. En este momento de intensas tensiones, es fundamental que los propietarios de activos y los operadores de infraestructura crítica tomen los siguientes pasos inmediatos para garantizar la resiliencia y seguridad de los sistemas estadounidenses en caso de que surja un momento de crisis en el corto plazo. La Agencia de Seguridad Nacional (NSA) junto con la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) recomiendan que todas las instalaciones de infraestructura crítica del DoD, NSS, DIB y de EE. UU. Tomen medidas inmediatas para asegurar su OT.

Los activos de OT accesibles a través de Internet son cada vez más frecuentes en los 16 sectores de CI de EE. UU. A medida que las empresas aumentan las operaciones y el monitoreo remotos, acomodan una fuerza laboral descentralizada y expanden la subcontratación de áreas de habilidades clave como instrumentación y control, administración / mantenimiento de activos de OT, y en algunos casos, operaciones de proceso y mantenimiento. Los activos de OT heredados que no fueron diseñados para defenderse de actividades cibernéticas maliciosas, combinados con información fácilmente disponible que identifica los activos de OT conectados a través de Internet (por ejemplo, Shodan, [2] Kamerka [3]), están creando una «tormenta perfecta» de 1 ) fácil acceso a activos no seguros, 2) uso de información común de código abierto sobre dispositivos, y 3) una lista extensa de exploits implementables a través de marcos de exploits comunes [4] (por ejemplo, Metasploit, [5] Core Impact, [6] e Immunity Canvas [7]). Las actividades de ciberamenazas observadas se pueden asignar al marco de MITRE Tácticas, técnicas y conocimientos comunes (ATT & CK) para sistemas de control industrial (ICS). [8] Es importante tener en cuenta que, si bien es posible que el comportamiento no sea técnicamente avanzado, sigue siendo una amenaza grave porque el impacto potencial en los activos críticos es muy alto.

Detalles técnicos

Tácticas, técnicas y procedimientos recientemente observados
Spearphishing [T1192] para obtener acceso inicial a la red de tecnología de la información (TI) de la organización antes de pasar a la red OT.
Implementación de ransomware de productos básicos para cifrar datos para impacto [T1486] en ambas redes.
Conexión a PLC accesibles a Internet [T883] que no requieren autenticación para el acceso inicial.
Utilizando puertos de uso común [T885] y protocolos de capa de aplicación estándar [T869], para comunicarse con los controladores y descargar la lógica de control modificada.
Uso de software de ingeniería del proveedor y descargas de programas [T843].
Modificación de la lógica de control [T833] y los parámetros [T836] en los PLC.

Impactos

Impactando una pérdida de disponibilidad [T826] en la red OT.
Pérdida parcial de visión [T829] para operadores humanos.
Resultando en Pérdida de Productividad e Ingresos [T828].
Manipulación del control por parte del adversario [T831] y alteración de los procesos físicos.

Mitigaciones

Tenga un plan de resiliencia para OT
Desde el ciberataque de Ucrania de 2015, las organizaciones deben asumir en su planificación no solo un sistema de control defectuoso o inoperante, sino un sistema de control que actúa activamente en contra de la operación segura y confiable del proceso. Las organizaciones necesitan un plan de resiliencia de TO que les permita:

  • Desconecte inmediatamente los sistemas de Internet que no necesiten conectividad a Internet para operaciones seguras y confiables. Asegúrese de que los controles de compensación estén en su lugar donde la conectividad no se pueda eliminar.
  • Planifique las operaciones continuas del proceso manual en caso de que el ICS no esté disponible o deba desactivarse debido a una toma de control hostil.
  • Elimine la funcionalidad adicional que podría inducir un riesgo y atacar la superficie.
    Identificar dependencias operativas y del sistema.
  • Restaurar los dispositivos y servicios OT de manera oportuna. Asignar roles y responsabilidades para la restauración de dispositivos y redes OT.
  • Respalde recursos de “copia de oro”, como firmware, software, lógica de escalera, contratos de servicio, licencias de productos, claves de productos e información de configuración. Verifique que todos los recursos de «copia de oro» estén almacenados fuera de la red y almacene al menos una copia en un entorno protegido contra manipulaciones (por ejemplo, caja fuerte cerrada).
  • Pruebe y valide las copias de seguridad y los procesos de datos en caso de pérdida de datos debido a una actividad cibernética maliciosa.

Ejercite su plan de respuesta a incidentes

En un estado de mayor tensión y riesgo y exposición adicionales, es fundamental tener un plan de respuesta a incidentes bien ejercitado que se desarrolle antes de un incidente.

Realice un ejercicio de mesa, incluido el personal ejecutivo, para probar su plan de respuesta a incidentes existente.
Asegúrese de incluir a sus equipos de asuntos públicos y legales en su ejercicio, además de su TI, OT y administración ejecutiva.
Discuta los puntos clave de decisiones en el plan de respuesta e identifique quién tiene la autoridad para tomar decisiones clave bajo qué circunstancias.
Asegúrese de que su plan tenga en cuenta un escenario que incluya los TTP anteriores y donde el sistema de control esté operando activamente en contra de operaciones seguras y confiables.
Asóciese con terceros para obtener soporte. Revise los contratos de servicio y los servicios gubernamentales para la respuesta a incidentes de emergencia y el apoyo de recuperación.

Fortalezca su red

La conectividad remota a redes y dispositivos OT proporciona una ruta conocida que puede ser aprovechada por los ciber actores. La exposición externa debe reducirse tanto como sea posible.
Elimine el acceso a redes, como direcciones IP que no sean de EE. UU., Si corresponde, que no tengan razones comerciales legítimas para comunicarse con el sistema.
Utilice herramientas disponibles públicamente, como Shodan, para descubrir dispositivos OT accesibles por Internet. Tome medidas correctivas para eliminar o mitigar las conexiones accesibles a Internet de inmediato. Las mejores prácticas incluyen:
Parche completamente todos los sistemas accesibles por Internet.
Segmente las redes para proteger los PLC y las estaciones de trabajo de la exposición directa a Internet. Implemente arquitecturas de red seguras utilizando zonas desmilitarizadas (DMZ), firewalls, servidores de salto y / o diodos de comunicación unidireccionales.
Asegúrese de que todas las comunicaciones con dispositivos remotos utilicen una red privada virtual (VPN) con un cifrado sólido y protegido con autenticación multifactor.

Verifique y valide la necesidad comercial legítima de dicho acceso.

Filtre el tráfico de la red para permitir solo las direcciones IP que se sabe que necesitan acceso y utilice el bloqueo geográfico cuando corresponda.
Conecte estaciones de trabajo y PLC remotos a los sistemas de detección de intrusos en la red cuando sea posible.
Capture y revise los registros de acceso de estos sistemas.
Cifre el tráfico de red preferiblemente utilizando productos VPN validados por NIAP y / o algoritmos aprobados por CNSSP o NIST cuando sean compatibles con componentes del sistema OT para evitar espionaje y tácticas intermedias. Disponible en: https://niap-ccevs.org.
Utilice el inventario validado para investigar qué dispositivos OT son accesibles por Internet.
Utilice el inventario validado para identificar los dispositivos OT que se conectan a redes empresariales, de telecomunicaciones o inalámbricas.

Asegure todos los accesos remotos y cuentas de usuario requeridos y aprobados.
Prohibir el uso de contraseñas predeterminadas en todos los dispositivos, incluidos controladores y equipos OT.
Elimine, deshabilite o cambie el nombre de las cuentas del sistema predeterminadas siempre que sea posible, especialmente aquellas con privilegios elevados o acceso remoto.

Haga cumplir una política de seguridad de contraseña sólida (por ejemplo, longitud, complejidad).
Exija a los usuarios que cambien las contraseñas periódicamente, cuando sea posible.
Haga cumplir o planee implementar la autenticación de dos factores para todas las conexiones remotas.
Fortalezca o deshabilite funciones y servicios innecesarios (por ejemplo, servicios de descubrimiento, servicios de administración remota, servicios de escritorio remoto, simulación, capacitación, etc.).

Cree un mapa de red OT exacto «en funcionamiento» inmediatamente

Un mapa de infraestructura OT preciso y detallado proporciona la base para una reducción sostenible del riesgo cibernético.

  • Documentar y validar un mapa de red OT preciso «en el estado de funcionamiento».
    Utilice herramientas y procedimientos proporcionados por el proveedor para identificar los activos de OT.
  • Utilice herramientas disponibles públicamente, como Wireshark, [9] NetworkMiner, [10] GRASSMARLIN, [11] y / u otras herramientas de mapeo de redes pasivas.
    Camine físicamente hacia abajo para verificar y verificar el mapa de infraestructura OT.
    Crea un inventario de activos.
    Incluya los dispositivos OT asignados a una dirección IP.
    Incluya versiones de software y firmware.
    Incluye lógica de proceso y programas OT.
    Incluya medios extraíbles.
    Incluye equipo de reserva y de repuesto.
  • Identifique todos los protocolos de comunicación utilizados en las redes OT.
    Utilice las herramientas y los procedimientos proporcionados por el proveedor para identificar las comunicaciones OT.
    Utilice herramientas disponibles públicamente, como Wireshark, [9] NetworkMiner, [10] GRASSMARLIN, [11] y / u otras herramientas de mapeo de redes pasivas.
  • Investigue todas las comunicaciones OT no autorizadas.
  • Catalogue todas las conexiones externas hacia y desde las redes OT.
    Incluya todas las conexiones comerciales, de proveedores y otras conexiones de acceso remoto.
    Revise los contratos de servicio para identificar todas las conexiones remotas utilizadas para servicios de terceros.

Comprender y evaluar el riesgo cibernético de los activos de OT «en el estado operativo»

Se puede desarrollar una conciencia informada sobre los riesgos utilizando una variedad de recursos fácilmente disponibles, muchos de los cuales incluyen pautas y mitigaciones específicas.

  • Utilice el inventario de activos validado para investigar y determinar los riesgos específicos asociados con los dispositivos OT existentes y el software del sistema OT.
    Avisos técnicos y de ciberseguridad específicos del proveedor.
    Avisos CISA [12].
    Departamento de Seguridad Nacional – Herramienta de evaluación de seguridad cibernética de la Agencia de Seguridad de Infraestructura y Ciberseguridad [13].
    MITRE Common Vulnerabilities and Exposures (CVE) para dispositivos de tecnología de la información y OT y software de sistema [14]. Disponible en https://cve.mitre.org.
    Instituto Nacional de Estándares y Tecnología – Base de datos nacional de vulnerabilidad [15]. Disponible en https://nvd.nist.gov.
  • Implemente mitigaciones para cada vulnerabilidad conocida relevante, siempre que sea posible (por ejemplo, aplique parches de software, habilite los controles de seguridad recomendados, etc.).
  • Audite e identifique todos los servicios de red OT (por ejemplo, descubrimiento de sistemas, alertas, informes, tiempos, sincronización, comando y control) que se estén utilizando.
    Utilice herramientas y procedimientos de programación y / o diagnóstico proporcionados por el proveedor.

Implementar un programa de monitoreo continuo y vigilante del sistema

Un programa de monitoreo atento permite la detección de anomalías en el sistema, incluidas muchas tácticas cibernéticas maliciosas como las técnicas de «vivir de la tierra» dentro de los sistemas OT.

  • Registre y revise todas las conexiones de acceso externo autorizadas para detectar un mal uso o una actividad inusual.
  • Supervise los intentos de cambio de controlador no autorizados.
    Implementar comprobaciones de integridad de la lógica del proceso del controlador frente a una buena línea de base conocida.
    Siempre que sea posible, asegúrese de evitar que los controladores de proceso permanezcan en el modo de programa remoto mientras están en funcionamiento.
    Bloquee o limite los puntos de ajuste en los procesos de control para reducir las consecuencias del acceso no autorizado al controlador.

 

Nota: Esta alerta de actividad utiliza el marco de Tácticas, técnicas y conocimiento común de MITRE Adversarial (ATT & CK®). Consulte los marcos de ATT & CK para empresas y ATT & CK para sistemas de control industrial para conocer todas las técnicas y mitigaciones de actores de amenazas a las que se hace referencia.

Fuente: CISA