Campaña Siesta: un nuevo ataque dirigido que despierta

por Maharlito Aquino (Threat Research)

En las últimas semanas, hemos recibido varios informes de ataques dirigidos a varias vulnerabilidades de aplicación para infiltrarse en diversas organizaciones. Similar a la Campaña Safe, observamos que las campañas pasaron inadvertidas. Los atacantes que dirigen la campaña que llamamos Campaña Siesta utilizaron malware multicomponente para elegir ciertas instituciones del tipo:

• Bienes y servicios de consumo y servicios

• Energía

• Finanzas

• Sanidad Pública

• Medios de comunicación y telecomunicaciones

• Administración pública

• Seguridad y defensa

• Transporte y tráfico

Los actores amenaza no siempre confían en vectores de ataque complejos para infiltrarse en la red de una organización. Los atacantes también pueden hacer uso de técnicas de ingeniería social básica para que sus víctimas muerdan el anzuelo, como aparece en nuestro siguiente case study.

Campaña Siesta: case study

Actualmente estamos investigando un incidente que involucró a los atacantes enviando mails spear-phishing dirigidos a ejecutivos de una empresa desconocida. Estos mails fueron enviados desde falsas direcciones de correo electrónico de personal dentro de la organización. En lugar de utilizar los archivos adjuntos y exploits de documentos, esta campaña específica sirve su malware a través de un enlace de descarga de archivos de apariencia legítima.

Para conseguir que se descargue el archivo, el atacante lo sirve en una ruta de URL citada tal que así:

http://{Dominio malicioso} / {nombre de la empresa} / {legítimo nombre de archivo} .zip

Este archivo contiene un archivo ejecutable (TROJ_SLOTH) con la apariencia de un documento PDF. Cuando se ejecuta se abre un archivo PDF válido, que probablemente fue tomado del sitio web de la organización elegida.

Junto con este archivo PDF válido, también se ejecuta otro componente malicioso en el fondo.

Este componente de puerta trasera se llama google {BLOCKED} .exe. (Lamentablemente, durante las investigaciones en curso y por el momento, somos incapaces de compartir valores hash y  nombres de archivo). Esta puerta trasera se conecta a http://www.micro { BLOCKED }. com/index.html, servidores de comando y control (C & C). Trend Micro identifica estas muestras como BKDR_SLOTH.B.

En este punto, el malware comienza a esperar comandos adicionales desde el atacante. Los comandos cifrados que se aceptan son:

•Sleep:

  • Ordena a la puerta trasera dormir durante un número de minutos específico
  • Durante nuestro análisis hemos recibido una orden de «sleep: 120» que significa que el malware esperará 2 horas antes de volver a establecer una conexión con el servidor  C&C

• Download: < download_url >

• Ordena a la puerta trasera descargar y ejecutar un archivo (probablemente otro ejecutable Win32) desde una dirección URL específica

El servidor C & C utilizado en esta campaña es nuevamente registrado por poco tiempo, por lo que nos resulta difícil seguir el comportamiento de malware.

Según nuestra investigación, existen dos variantes del malware utilizado en esta campaña. Aunque no exactamente iguales, los comportamientos son casi idénticos.

Una de las muestras similares es un archivo llamado Concerning the Spread of Superbugs Febrero 2014.exe (SHA1: 014542eafb792b98196954373b3fd13e60cb94fe). Esta muestra arroja el archivo UIODsevr.exe, su componente backdoor que se comporta de manera similar aBKDR_SLOTH.B además de comunicar a su C & C en skys com {BLOCKED}. Estas muestras son identificadas por Trend Micro como BKDR_SLOTH.A.

Ambas variantes utilizan excesivamente llamadas de sueño, que representa el malware inactivo durante distintos períodos de tiempo, de ahí el nombre de la campaña «Siesta». Las órdenes se sirven a través de páginas HTML usando diferente palabras clave que se enumeran a continuación:

 

Variant 1 prefix: “>SC<”

Variant 2 prefix: “longDesc=” suffix: “.txt”

A continuación los comandos backdoor que pudimos ver de nuestro análisis:

Variant 1 “run1” – open a remote shell “run2” – pipe shell commands from URL1 “run3” – pipe shell commands from URL2 “http” – pipe shell commands from C2 “x_” – sleep for specified number of minutes

Variant 2 “sleep:” – sleep for specified number of minutes “download:” – download and execute another executable from C2

 

A menudo es difícil atribuir las campañas y los métodos de ataque. Hemos sido capaces de identificar esta nueva campaña a través de inspección de hashes, C & c, los registradores, comandos y obtener información adicional.

siesta_attribution2

Dibujo 1. Gráfico de atribución (haga clic en la imagen para agrandarla)

Durante el curso de nuestra investigación, investigamos el malware. Rápidamente nos dimos cuenta de que la persona registrada como sky {BLOCKED} .com es también la que se registra como micro { BLOCKED } .com y ifued { BLOCKED } .net. Este individuo utiliza el nombre de Li Ning y otros con una dirección de correo electrónico de xiaomao{BLOCKED}@163.com. Este individuo también recientemente había registrado 79 dominios adicionales. Hay un total de aproximadamente 17.000 dominios registrados con esta misma dirección de correo electrónico.

domains-siesta 2

Dibujo 2. Dominios registrados bajo el nombre de Li Ning, basado en datos de Whois

Conclusión

La detección temprana es crucial en la prevención de ataques de datos confidenciales de la empresa. Las organizaciones y las grandes empresas necesitan una plataforma de protección avanzada frente a las amenazas  como Deep Security que puede mitigar los riesgos de ataques a través de sus diversas tecnologías de seguridad e inteligencia de amenaza global. En el corazón de nuestra solución  Custom Defense solución está Deep Discovery que proporciona inteligencia local y global en tiempo real a través del ciclo de vida del ataque. Esto puede ayudar a entender la naturaleza del ataque están tratando con los administradores de ti.

Trend Micro bloquea todas relacionadas con amenazas, mensajes de correo electrónico y URL asociados a estos ataques. Como siempre, aconsejamos a los usuarios que tenga precaución al abrir mensajes de correo electrónico y enlaces.

Con análisis de Kervin Alintanahin, Paloma Chiu y Kyle Wilhoit.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.