Trend Micro saca a la luz LURID APT

Artículo original de David Sancho y Nart Villeneuve (Directores de investigación de amenazas)

Trend Micro ha descubierto una serie continuada de ataques dirigidos, conocidos como “LURID”, que han logrado poner en peligro 1.465 equipos de 61 países distintos. Hemos sido capaces de identificar 47 víctimas, entre los que figuran misiones diplomáticas, ministerios gubernamentales, organizaciones gubernamentales relacionadas con la actividad espacial y otras empresas y centros de investigación.

Los países que más se han visto afectados por este ataque son Rusia, Kazajistán y Vietnam, además de otros países, especialmente de la CEI-CIS (Comunidad de Estados Independientes o antigua Unión Soviética).

Esta campaña en particular estaba integrada por más de 300 ataques dirigidos maliciosos que los atacantes controlaban mediante un identificador único incrustado en el malware asociado. El análisis realizado de la campaña revela que los atacantes elegían comunidades de ubicaciones geográficas específicas y creaban campañas dirigidas a víctimas concretas. En resumen, los atacantes utilizaron una red de comando y control con 15 nombres de dominio asociados con los atacantes y 10 direcciones IP activas para mantener un control permanente sobre las 1.465 víctimas.

“Lurid Downloader”, frecuentemente denominado “Enfal”, es una familia de malware muy conocida, pero no es un kit de herramientas que puedan comprar públicamente todos aquellos que anhelan convertirse en ciberdelincuentes. Esta familia de malware se ha utilizado en el pasado para atacar tanto al gobierno de los EE.UU. como a organizaciones no gubernamentales (ONG). Sin embargo, no parece existir una relación directa entre esta red concreta y las anteriores.

Cada vez es más frecuente denominar los ataques de malware dirigidos de este tipo como Amenazas Persistentes Avanzadas. El blanco del objetivo recibe un mensaje de correo electrónico animándole a abrir un archivo adjunto. Los archivos que envían los atacantes contienen código malicioso que aprovecha las vulnerabilidades de programas informáticos conocidos como Adobe Reader (p. ej., archivos .PDF) y Microsoft Office (p. ej., archivos .DOC). Las rutinas de estas infracciones son el malware que se ejecuta silenciosamente en el equipo atacado. De este modo, los atacantes pueden hacerse con el control del mismo y conseguir sus datos. A continuación, van avanzando lateralmente por la red del objetivo y es frecuente que puedan llegar a tener el control de los equipos atacados durante periodos de tiempo prolongados. El objetivo último de los ataques consiste en identificar y sustraer información confidencial de la red de la víctima.

Disección de la amenaza del ataque

Avanzada: se trata de una serie continuada de campañas de ataque dirigidas que aprovechan las diferentes vulnerabilidades de Adobe Reader, entre ellas CVE-2009-4324 y CVE-2010-2883, y archivos de compresión RAR que contienen salvapantallas maliciosos.

Independientemente del vector de ataque, el malware “LURID” se ejecuta en el sistema de las víctimas para conectarse a la misma red de servidores de comando y control (C&C). Los atacantes no siempre aprovechan las vulnerabilidades de “día cero”, sino que tienden a utilizar vulnerabilidades más antiguas y fiables y se reservan las de día cero para los objetivos reforzados. Aunque todavía tenemos que determinar las muestras utilizadas en estas campañas con vulnerabilidades de día cero, los identificadores de campaña que emplean los atacantes hacen referencia al aprovechamiento de dichas vulnerabilidades.

Persistente: durante nuestra investigación hemos detectado que el malware se basa en dos mecanismos distintos de persistencia. Una de las versiones conseguía ser persistente instalándose como servicio de Windows, mientras que la otra se copiaba en la carpeta del sistema y garantizaba su persistencia modificando la carpeta de inicio común de Windows por otra especial creada por él mismo. Una vez hecho esto, copiaba todos los elementos habituales del inicio automático, además de copiarse a sí mismo. También hemos podido organizar el malware y las víctimas por “campañas” (el malware puede rastrearse por un “marcador”, elemento similar al que todos incluirían en cualquier campaña promocional) a fin de realizar un seguimiento de quién ha resultado infectado y por qué tipo de malware.

Amenaza: el malware recopila información de los equipos expuestos al peligro y la envía al servidor C&C a través de HTTP POST. Gracias a la comunicación con los servidores de comando y control, los atacantes envían diferentes comandos a los equipos atacados. Dichos comandos les permiten enviar y recibir archivos y activar una shell interactiva remota en los equipos en cuestión. Por lo general, los atacantes recuperan listados de directorio de los equipos y sustraen información (como archivos .XLS específicos). Los investigadores de Trend Micro disponen de algunos de los comandos, pero carecen de los archivos reales.

Hablando de números, y a partir de la información recuperada de los servidores C&C, podemos confirmar los siguientes datos:

1.465 hosts únicos (nombre de host + dirección mac, tal como los almacena el servidor C&C)
2.272 direcciones IP externas únicas

Los 10 países con mayor número de víctimas (calculado a partir de 2.272 direcciones IP):

RUSIA 1063
KAZAJISTÁN 325
UCRANIA 102
VIETNAM 93
UZBEKISTÁN 88
BIELORRUSIA 67
INDIA 66
KIRGUIZISTÁN 49
MONGOLIA 42
NC 39

Como suele suceder, es difícil saber quién está detrás de esta serie de ataques porque resulta fácil manipular elementos, tales como direcciones IP y registros de nombres de dominio, para despistar a los investigadores y hacerles creer que el responsable es una determinada entidad.

Nuestra investigación no revelaba con precisión los datos objetivo del ataque, pero sí pudo llegar a determinar que en algunos casos los atacantes intentaban robar documentos y hojas de cálculo concretos.

El objetivo de la revelación pública de la red “LURID” es comprender mejor el alcance y la frecuencia de dichos ataques, así como los problemas que los ataques de malware dirigidos entrañan para los sistemas de defensa tradicionales. Es posible mejorar drásticamente las estrategias defensivas si entendemos el funcionamiento de los ataques de malware dirigidos y las tendencias en el empleo de herramientas, tácticas y procedimientos por las que se rigen los instigadores de tales ataques. El uso eficaz de la información sobre amenazas obtenida de fuentes externas e internas, combinado con herramientas de seguridad que dotan de capacidad de acción a nuestros analistas humanos, permitirá un mejor posicionamiento de las organizaciones para detectar ataques dirigidos y mitigar sus efectos.

2 pensamientos en “Trend Micro saca a la luz LURID APT

  1. Pingback: LURID: la atribución no es sencilla » blog.trendmicro.es

  2. Pingback: LURID: la atribución no es sencilla | Blog Smartekh

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

*

Puedes usar las siguientes etiquetas y atributos HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>