APT TA551 reconocidos como una amenaza de grandes capacidades y alta sofisticación

Investigadores del equipo de respuesta a emergencias informáticas de Francia (CERT) han permitido evidenciar que ciberactores detrás de APT Shathak registran un amplio historial de múltiples afiliaciones con amenazas de gran relevancia global, entre las que podemos mencionar a Trickbot, URSnif, Conti, entre otras. Caracterizándose como una APT de operaciones sofisticadas, que evidencian un alto grado de madurez y credibilidad.

Shathak

Shathak (A.K.A: TA551 o Gold Cabin) es un ciberactor actualmente activo de habla rusa enfocado en S.O Windows, documentado por primera vez en 2018 que apunta a organizaciones de energía, salud, finanzas, manufactura y seguros principalmente en Norteamérica, Europa y Japón. Su principal objetivo sería el robo de información confidencial para obtener beneficios económicos.

Mapa de distribución de ciberactor 

Vectores de Ataque

Shatak basa su distribución de malware en formato de documentos ofimáticos cargados con macros maliciosas enviadas vía correo electrónico (Phishing) en idiomas como inglés, italiano, alemán, o japonés, centrando sus operaciones en la propagación de malware de ciberactores afiliados, registrando en su historial a:

• URSnif: Es un Troyano capaz de desplegar malware adicional (Dropper) vinculado a Egregor, con gran actividad en 2020.
• Valak: Es un Troyano capaz de desplegar malware adicional (Dropper), con gran actividad en 2020.
• IcedID: Es un Troyano capaz de desplegar malware adicional (Dropper), actualmente activo.
• Maze: Es un Ransomware, actualmente sus operaciones están desmanteladas.
• Egregor: Es un Ransomware, actualmente sus operaciones están desmanteladas, procedentes de Francia y Ucrania

 Actualmente en 2021 se le ha relacionado con:

• TrickBot: Troyano capaz de desplegar malware adicional (Dropper) vinculado con Conti, actualmente activo.
• BazarBackdoor: Es un Troyano capaz de desplegar malware adicional (Dropper) vinculado con Ryuk, actualmente activo.

Utilizado como medio de despliegue para servidores de C&C como:

Cobalt-Strike:  Es un Red Team Framework, actualmente activo, con presencia global

Mediante la toma de control de la víctima posteriormente se despliega:

• Conti: Es un Ransomware (RaaS), actualmente activo.

La colaboración de reconocidos grupos de ransomware y malware logra comprometer una gran cantidad de víctimas debido a una cadena de infección en que desde el acceso inicial hasta el despliegue del ransomware tarda solo 2 días (tiempo promedio 1 mes).

Llama la atención que en el corto periodo se realizan tareas importantes como reconocimiento, movimiento lateral, dumping de credenciales y exfiltración de datos para utilizar como doble extorsión, demostrando grandes capacidades.

Cadena de infección:

El despliegue de malware se lleva a cabo de la siguiente manera:

1. Recepción de correo phishing con .zip adjunto (Bypass AV y FW)
2. Apertura de .zip protegido con password entregada en correo
3. Apertura de documento ofimático y habilitación de macros
4. Descarga y ejecución de scripts y DLL maliciosos (Dif. lenguajes de programación)
5. Despliegue de TrickBot o BazarBackdoor
6. Despliegue de CobaltStrike
7. Habilitación de C&C
8. Reconocimiento
9. Robo de credenciales
10. Movimiento lateral
11. Extracción de data
12. Despliegue de Ransomware

Cadena de infección desde phishing hasta despliegue de ransomware

Características

• Grupo con muchos años de trayectoria, capaces de trabajar en conjunto con múltiples afiliados, lo que demuestra ser una APT independiente en decisiones y aparentemente con gran reputación.
• No generan gran ruido mediático, lo que favorece su anonimato o bajo reconocimiento, pudiendo ser una estrategia para que sus operaciones logren perdurar en el tiempo.
• Centrado en países con grandes PIB, sin tocar china, ya que los ciberlectores son presumiblemente rusos pudiendo mantener acuerdos internos, geopolíticos, estratégicos o lucha bajo una misma bandera.
• Afiliados de Shathak son altamente reconocidos con grandes capacidades y alta sofisticación en sus ataques.

Panorama

En base a las campañas evidenciadas es importante destacar que Shathak ha demostrado ser altamente sofisticado manteniendo nexos con ciberactores de gran relevancia en el mundo lo cual lo identifica como una amenaza latente a nivel global.

Entendiendo los sectores geográficos y áreas de negocio en los que se desenvuelve Shathak es importante mantener en visualización los posibles objetivos de esta amenaza ya que pueden afectar a proveedores o cadena de suministro directa o indirectamente relacionados con negocios locales.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.