Archivo de la etiqueta: Backdoor

Winnti Group reaparece con PortReuse Backdoor, ahora se dedica a la minería ilícita de criptomonedas

https://documents.trendmicro.com/images/TEx/articles/20180416225446706-760-56t5mel-800.jpg

El grupo Winnti utilizó una puerta trasera previamente no documentada y no reportada llamada PortReuse para comprometer a un fabricante de hardware y software móvil de alto perfil con sede en Asia, presumiblemente como punto de partida para lanzar ataques a la cadena de suministro. Esto es lo que los investigadores de ESET encontraron después de un análisis en profundidad de las operaciones del grupo Winnti.

PortReuse, una puerta trasera modular, es única en el sentido de que no crea procesos para establecer una conexión con su cliente controlado o propiedad de Winnti, como lo hacen normalmente muchas puertas traseras. En su lugar, se desplaza por puertos TCP ya abiertos inyectándose en procesos activos, existentes y legítimos, reutiliza los puertos y espera un «paquete mágico» (datos recibidos que son específicos de la dirección MAC de la tarjeta de red de un ordenador) antes de ejecutar sus actividades maliciosas.  Marc-Etienne M. Léveillé y Mathieu Tartare de ESET explicaron en su informe que “el tráfico legítimo se reenvía a la aplicación real, por lo que en realidad no bloquea ninguna actividad legítima en el servidor comprometido».

(Leer: De cerdos y malware: examen de un posible miembro del Grupo WinntiEchamos un vistazo más de cerca a un individuo que creemos que podría estar conectado con el grupo Winnti, esperamos dar tanto a los usuarios ordinarios como a las organizaciones un mejor entendimiento de algunas de las herramientas – especialmente las infraestructuras de servidor – que este tipo de actores de amenazas utilizan, así como de la escala en la que operan.)

Para ocultar su rastro, PortReuse solo escribe un solo archivo en los discos del ordenador y el resto reside en la memoria. No tiene servidores de comando y control (C&C) codificados en el malware ya que abusa de NetAgent, una utilidad de terceros, para manejar la forma en que el malware escucha en puertos abiertos. El malware también abusa de VMProtect Packer para disuadir el análisis y la ingeniería inversa.

Otro detalle significativo que descubrieron es la carga útil final de los ataques a la cadena de suministro del grupo Winnti: una versión modificada de XMRig, un minero de criptomonedas de código abierto. Esto es diferente a sus campañas anteriores, ya que el grupo Winnti es conocido por sus operaciones de ciberespionaje. Los investigadores supusieron que utilizan estas operaciones de minería de criptomonedas para financiar sus infraestructuras y operaciones.

(Leer: Dispositivos expuestos y ataques a la cadena de suministro: Riesgos olvidados en las redes de salud – A través de esta investigación, buscamos dotar a los equipos de seguridad TI del sector sanitario de una perspectiva más amplia sobre los tipos de amenazas contra las que deberían defender sus redes, en particular los sistemas y dispositivos médicos conectados expuestos y las ciberamenazas de la cadena de suministro).

El grupo Winnti -también conocido como APT41, BARIUM y Blackfly, entre otros alias- está vinculado a varios ataques a la cadena de suministro en los que las infraestructuras online legítimas de un proveedor se ven comprometidas con el fin de integrar malware en su software legítimo.

El grupo Winnti es conocido por apuntar a la industria del juego, y ha estado involucrado en incidentes tales como el backdoor ShadowHammer que fue incorporada en una herramienta de utilidad de actualización; y ShadowPad, que fue incorporada en la herramienta de limpieza de PCs CCleaner y en el software de gestión de servidores de NetSarang. El malware de Winnti, que da nombre al grupo, también ha sido objeto de varias actualizaciones a lo largo de los años, incluyendo el abuso de Github como conducto para sus comunicaciones de C&C. En el informe de Léveillé y Tartare, ShadowPad también se sometió a múltiples actualizaciones este año, basadas en las marcas de tiempo de las muestras.

(Leer: Las raíces cibercriminales de la venta de monedas para juegos online – Comprar dinero del juego online a terceros puede parecer relativamente inofensivo. Desafortunadamente, los ciberdelincuentes pueden beneficiarse de esta práctica legalmente gris, y también utilizarla como una forma de blanquear su dinero robado y financiar nuevos esfuerzos de ciberdelincuencia).

Los ataques a la cadena de suministro aprovechan la confianza entre vendedores y clientes. Plantean riesgos significativos para la seguridad y la privacidad no solo para los usuarios finales que descargan e instalan inadvertidamente software troyanizado, sino también para las empresas que crean y entregan el software.

Los ataques a la cadena de suministro también afectan negativamente a la integridad y disponibilidad de los productos o servicios que proporcionan las empresas. Pueden, por ejemplo, exponer información médica sensible -o incluso poner en peligro la salud del paciente al interrumpir las operaciones- si se lleva a cabo contra un centro sanitario o, en el caso de Magecart, exponer la información de identificación personal (PII) y los datos financieros de los clientes. El impacto negativo también podría verse agravado por las estrictas sanciones en que pueden incurrir las empresas en virtud de la normativa sobre protección de datos, como el Reglamento General de Protección de Datos de la UE (GDPR).

(Leer: Bancos bajo ataque: Tácticas y técnicas utilizadas para dirigirse a las organizaciones financieras – Nuestras continuas incursiones en el underground del cibercrimen nos han permitido  ver cómo las tácticas y técnicas utilizadas para atacar a las organizaciones financieras han cambiado a lo largo de los años).

A continuación se presentan algunas recomendaciones de seguridad que las organizaciones pueden adoptar para mitigar los riesgos que plantean los ataques a la cadena de suministro:

  • Supervisar y aplicar controles de seguridad no solo a las propias infraestructuras online de la organización, sino también a los productos o servicios de terceros que se utilizan.
  • Desarrollar y aplicar estrategias de respuesta a incidentes que puedan proporcionar una mayor visibilidad del software, hardware y componentes que se utilizan dentro de la organización; esto permitirá a las organizaciones comprender, gestionar, supervisar y mitigar mejor los riesgos que implican las aplicaciones o el software de terceros.
  • Monitorización proactiva de la red: los firewalls y los sistemas de detección y prevención de intrusiones, por ejemplo, ayudan a frustrar las amenazas de red y a detectar el tráfico anómalo o sospechoso.
  • Aplicar el principio del mínimo privilegio mediante mecanismos de seguridad adicionales como la segmentación de la red, la categorización de los datos y la restricción de las herramientas de administración de las que se puede abusar para afianzarse en los sistemas.

La solución Trend Micro™ Deep Discovery™proporciona detección, análisis en profundidad y respuesta proactiva al malware oculto y a los ataques dirigidos actuales en tiempo real. Proporciona una defensa completa adaptada para proteger a las  organizaciones contra ataques dirigidos y amenazas avanzadas mediante ataques a la cadena de suministro a través de motores especializados, sandboxing personalizado y correlación sin fisuras a lo largo de todo el ciclo de vida del ataque, lo que le permite detectar amenazas incluso sin necesidad de actualizar el motor o el patrón. Las soluciones para endpoint de Trend Micro, como Smart Protection Suitesy Worry-Free Business Security, pueden proteger a los usuarios y a las empresas de las amenazas mediante la detección de archivos maliciosos y el bloqueo de todas las URL maliciosas relacionadas.