Capturan a miembros del grupo de amenazas SilverTerrier que tuvieron presencia en Chile
21 Enero 2022Amenaza
|
Los ciberactores nigerianos denominados SilverTerrier, cuyas campañas tuvieron presencia en Chile durante 2020 y 2021, fueron arrestados en operaciones de la policía nigeriana durante diciembre de 2021. Es importante destacar que este hito llega para seguir aumentando el registró de operaciones conjuntas y combinadas vistas durante 2021 contra actores de amenazas y portales de mercado negro. Nuevamente se demuestra que los cibercriminales ya no tienen libre albedrío, potenciado con el hecho de que distintos equipos internacionales de seguridad han mancomunado esfuerzos para desmantelar a estos grupos sofisticados que causan tanto impacto a nivel mundial.
Historia de Ciberactores SilverTerrier A partir del año 2014 se detectaron actividades ilícitas de un pequeño grupo de actores, actividades las cuales no se estimaron que prosperaran hasta lo que son hoy en día. Las ya conocidas amenazas del tipo BEC han crecido significativamente en alcance y escala durante los últimos siete años (2014-2021). Con el propósito de comprender y entender de mejor forma a estos actores y sus comportamientos, se han realizado investigaciones para identificar puntos en común entre estos. En ese momento, se pensó que los esfuerzos confirman los estereotipos existentes, que estos actores eran simplemente niños jóvenes con guiones desorganizados cuyo éxito se basaba más en la suerte que en la habilidad. Sin embargo, a través de investigaciones se detectó que estos actores presentaban siguientes: Características:
Objetivos:
La mayoría de estos ciberactores tienen una buena educación, habiendo completado tanto programas secundarios como universitarios. A medida que estos ciberactores han ido envejeciendo, se ha observado una disminución notable en la actividad delictiva que han ido realizando, alrededor de los 30 o más años de edad. Hoy en día, gran parte de estos ciberactores viven cómodamente, han lanzado empresas comerciales legítimas (hoteles, clubes, empresas de tecnología, etc.), las cuales fueron potencialmente financiadas a través de sus actividades criminales anteriores. Para aquellos que optaron por salir de su centro de operaciones en Nigeria, se observó la reubicación en países del Medio Oriente, como Turquía y los Emiratos Árabes Unidos. Desde 2016, se han observado varios arrestos de alto perfil de actores de BEC, incluidos dos arrestos de actores acusados de robar $24 millones y $60 millones de dólares, respectivamente. Se debe mencionar que organizaciones como INTERPOL, el FBI y la Policía Federal Australiana (AFP) han trabajado en conjunto para colaborar internacionalmente, con el objetivo de aunar los esfuerzos para capturar a estos ciberactores y llevarlos a un juicio formal. Independiente de todos estos esfuerzos, estos ciberactores se han vuelto mucho más organizados a tarvés del tiempo, a pesar de que sigue siendo fácil encontrar actores que trabajen en grupo, la práctica de usar un número de teléfono, una dirección de correo electrónico o un alias para registrar la infraestructura maliciosa en apoyo de múltiples ciberactores ha hecho que sea mucho más lento (pero no imposible) para las entidades de ciberseguridad lograr la captura de estos. Aun así, se sigue detectando que los ciberactores de SilverTerrier, independientemente de la ubicación geográfica, a menudo están conectados a través de solo unos pocos grados de separación en las plataformas de redes sociales.
¿Qué es Business Email Compromise (BEC)? Es un tipo de delito en Internet en el que actores maliciosos utilizan correos electrónicos falsos o acceso a cuentas de correo electrónico válidas (mediante filtraciones u otro método) con el objetivo de engañar a organizaciones para que realicen pagos o transferencias de fondos a cuentas bancarias equivocadas. Esto se logra mediante el monitoreo de conversaciones dentro de la red para luego intervenir oportunamente en el momento del pago para facilitar los datos bancarios de la organización delictiva antes que la organización real lo haga. Podría resumirse como una técnica Man in the Middle a nivel de mensajería, con la única diferencia que el actor malicioso se encuentra capturando información dentro de la misma casilla de correo y no mediante intervención de la red.
Malware utilizados
Vulnerabilidades explotadas Durante el transcurso del año 2019, era normal ver a los ciberactores asociados al BEC construir nuevos malware como archivos ejecutables portátiles (archivos.exe) y distribuirlas mediante campañas de phishing con temas comerciales como facturas o avisos de entrega. En aquellos días, los formatos de archivo de Microsoft Office también se aprovecharon para agregar una capa de complejidad y ofuscación. Ambas técnicas son comúnmente utilizadas en el desarrollo de estos documentos, en estos casos normalmente se incluía el código de explotación para CVE-2017-11882 o incrustar una macro maliciosa. En ambos casos, al abrirse, estos documentos fueron diseñados para ir a buscar, descargar y ejecutar una payload (carga útil maliciosa) desde un recurso en línea. Sin embargo, en gran parte de las muestras que se analizaron el 2019, solo el 3,5% utilizó macros y solo el 3,6% utilizó la técnica CVE-2017-11882. En enero de 2020, los correos de phishing comenzaron a cambiar a temas asociados con la pandemia incluyendo diferentes asuntos asociados a la pandemia COVID-19. Los archivos ejecutables portátiles con malware insertos siguieron siendo populares, pero se observó un marcado aumento en los documentos de Microsoft Word y Excel. A finales del año 2020, los documentos de Microsoft Office con macros embebidas se mantuvieron estables en un 3,5%, pero los documentos que utilizan el conocido y bien documentado CVE-2017-11882 aumentó a un 13,5% al año 2019.
CVE-2017-11882 Nuevamente vemos que esta vulnerabilidad se encuentra presente y activa en este tipo de técnicas de ataque. Si bien esta vulnerabilidad es antigua (2017) observamos que se sigue utilizando y explotando hasta el día de hoy. Recordemos que a grandes rasgos esta vulnerabilidad en su definición está presente en:
Esta vulnerabilidad permite que un atacante ejecute código arbitrario en el contexto del usuario actual al no gestionar correctamente los objetos en la memoria. Esto también se conoce como "Microsoft Office Memory Corruption Vulnerability". En la Figura 2, podemos observar que, durante octubre 2021, la vulnerabilidad más explotada y activa corresponde a la menciona anteriormente CVE-2017-11882 (fuente de Advantage Mandiant), es por esto por lo que se hace imprescindible el abordar todas las medidas posibles dentro de las organizaciones, con objeto de mitigar esta vulnerabilidad que se ha abordado en boletines pasados del CCI de Entel.
Figura 1. Top de vulnerabilidades más activas durante el 2021.
Figura 2. Detalle de vulnerabilidad CVE-2017-11882.
Operaciones identificadas
Operaciones de Captura
Presencia en Chile Silver terrier ha afectado a un gran número de organizaciones en el rubro del comercio, retail, industrias manufactureras y combustibles de diferentes regiones del mundo incluido Chile, por lo que esta noticia si bien puede visualizarse como un respiro no lo es ya que representa una amenaza altamente probable con alto factor de éxito, pudiendo ser replicado por bandas emergentes.
Configuraciones en los dominios de correo Antes de todo es importante mencionar que los módulos que se mencionan a continuación no son vulnerabilidades propiamente tal, sino que corresponden a capas de seguridad adicionales a las ya existentes, por tanto, deben ser habilitadas y configuradas según corresponda. Si bien pueden existir políticas internas que permitan filtrar información entrante ante estas configuraciones, la optimización de las capas de seguridad permitiría generar un entorno seguro de forma independiente.
El Sender Policy Framework, o SPF, es una configuración de registro TXT para los DNS que brinda una capa de seguridad al encargarse de certificar qué direccionamientos pueden mandar correo en nombre de su dominio. Este registro es eficaz contra los ataques de phishing, ya que permite a los receptores de sus correos identificar fácilmente que efectivamente provienen desde un origen legítimo y permite bloquear o marcar como ilegítimo a aquellos que no correspondan. También ayuda a que los servidores de destino tengan más confianza y no cataloguen correos legítimos enviados por la organización como SPAM. Observación: El hecho de tener configurado este registro sirve para que un actor malicioso no utilice nuestro dominio para enviar correos (utilizando técnicas como spoofing), ya que el receptor de dicho correo podrá validar en nuestros registros SPF si la IP/dominio desde donde se está enviado el correo con spoofing está autorizado a ser representado por nosotros. La recomendación es que se exija a los proveedores que utilicen el mismo sistema para que nadie pueda suplantar la identidad de ellos si es que se utiliza Spoofing. Por otra parte, si la técnica utilizada es brandjacking (typosquatting), esto no tendrá efecto ya que el dominio sería otro.
El DomainKeys Identified Mail, o DKIM, es un registro que permite firmar el correo con un dominio mediante claves públicas indicadas en las zonas de dominio de las diferentes organizaciones. De este modo, el destinatario está seguro de que el correo ha sido enviado desde un servidor legítimo y no ha sido interceptado y/o reenviado desde otro servidor no autorizado. Para este proceso son utilizadas llaves de cifrado públicas y privadas, por lo cual el emisor cifra el mensaje con su clave privada y el destinatario recibe el mensaje junto con una clave pública única que permite la visualización del mensaje. En el caso de intentos de spoofing, la clave pública de la organización no permitirá que el mensaje desde un tercero con clave privada diferente sea considerado válido ni representativo. Según la evidencia obtenida para su organización esta capa no presenta registros, por ende, se entiende que se encuentra habilitada, por lo que es necesario dirigirse hacia su panel de administración para su activación sin necesidad de configuraciones adicionales.
BIMI, o Indicadores de Marca para la Identificación de Mensajes, es un nuevo estándar creado para facilitar que su logotipo aparezca junto a su mensaje en la bandeja de entrada. Esto no sólo ayuda a su visibilidad, sino que BIMI está diseñado para prevenir los correos electrónicos fraudulentos y ayudar a la entrega segura (capacidad de que los emails enviados lleguen a las bandejas de entrada de los receptores asignados) En base a lo identificado para su organización no es posible la obtención de resultados para BIMI, por lo que se entiende que esta característica permanece deshabilitada.
El Domain-based Message Authentication, Reporting and Conformance, o DMARC, complementa al SPF y DKIM. Este registro indica qué hacer cuando dan error los registros anteriores, para así poder tomar las medidas necesarias lo antes posible. Se crea un registro TXT desde el apartado de zonas DNS. Para este punto según lo observado, es posible identificar qué módulo DMARC se encuentra configurado con “Policy set to none” por lo que no tomará acción alguna en caso de identificación de amenazas por las capas de seguridad previas. |
Mitigación
Se debe tener presente que en la gran mayoría de los casos este tipo de ataques BEC, en gran medida ya debe estar cubierto por los equipos de seguridad perimetral, filtros antispam, filtros de contenido y equipamiento que se posea para la detección de archivos ejecutables con código malicioso embebido y/o archivos que actualmente traen macros insertas.
Independiente de lo anterior, se recomienda realizar siguientes acciones:
- Actualizar Microsoft Office utilizado en las organizaciones a versiones superiores a Microsoft Office 2016, esto con el fin de no ser un objetivo de explotación de la vulnerabilidad CVE-2017-11882, utilizada por estos ciberactores.
- Validar si equipamiento de filtro de correos entrantes de las organizaciones, tienen activado el SPF (Sender Policy Framework). SPF es un registro de servicio de DNS que protege contra la falsificación de direcciones de correo electrónico, esta técnica utilizada por atacantes falsifica la identidad del propietario del dominio y es usada con fines maliciosos.
- Validar si dentro de su organización se han recibido correos con macros embebidas y/o con archivos ejecutables .exe, a su vez se hace presente que esta tarea debe estar siempre presente y ser ejecutada en los filtros de correo de entrada.
- Realizar concientizaciones a los colaboradores de su organización, enfocándose y abordando más a fondo y con detalle en los colaboradores que trabajan dentro del área de finanzas, ya que este tipo de ataques va dirigido hacia esos sectores de las organizaciones.
Tags: #SilverTerrier #BEC #Vulnerabilidad #SPF #DKIM #BIMI #DMARC #Operación #Falcon #Falcon II
| https://therecord.media/nigerian-police-ar... |