Campaña de espionaje presente en LATAM es evidenciada distribuyendo malware

Investigaciones llevadas a cabo por el equipo del Laboratorio ESET LATAM, descubrieron una activa campaña de distribución de malware en LATAM, con claros objetivos de espionaje.

Como menciona un artículo publicado por la firma de seguridad, la campaña involucró a otros países de América Latina en porcentajes muy pequeños, siendo la mayor parte de las detecciones en Colombia. 

Las principales víctimas fueron empresas de distintas industrias, organizaciones sin fines de lucro, y entidades gubernamentales.

En LATAM, el uso de malware de tipo infostealers, se ha mantenido en constante crecimiento, ya que es una de las tantas aristas del MaaS con mayor éxito de compromiso, evidenciando un modelo de negocio creciente y con proyección dentro del mercado negro.

Uso de Infostealers

Como se ha abordado en boletines anteriores, este tipo de amenaza no sigue un patrón de distribución común y dado su alto nivel de actualizaciones y versiones disponibles, pueden ser distribuidos por medio de emails, en sitios de descarga haciéndose pasar por otra clase de software, como parte de una segunda o tercera etapa de infección de otro malware, etc.

Los cargadores de este tipo de malware son comúnmente intérpretes de AutoHotKey y Autoit, herramientas de distribución libre y legítimas que ayudan a automatizar tareas en los equipos, principalmente aquellos con sistema operativo Windows.

Que es njRAT

Es un troyano de acceso remoto (RAT, por sus siglas en inglés); es decir, un programa malicioso que permite a un atacante controlar remotamente un equipo comprometido y realizar diversas acciones. 

Las primeras detecciones de njRAT se registraron en el Medio Oriente en 2012, probablemente el lugar donde fue creado , junto a otra variante de este troyano conocida como njw0rm, también desarrollada por el mismo autor. 

Algunas características de este malware incluyen:

• Escritorio Remoto y Ventana activa.
• Obtener información de configuración de la máquina víctima.
• Ejecución remota de archivos.
• Manipulación de archivos.
• Ejecutar shell de manera remota.
• Ejecutar administrador de procesos.
• Modificar el registro de Windows.
• Activar la cámara y el micrófono de la máquina.
• Registro de teclas (keylogger).
• Robo de contraseñas almacenadas en los navegadores u otras aplicaciones.

Panel de control de njRAT

La campaña fue llamada “Operación Discordia” por los investigadores de ESET. Esto se debe al uso que los atacantes hicieron de la plataforma Discord para alojar y descargar malware en los equipos comprometidos. 

Esta plataforma comenzó siendo para gamers, pero poco a poco fue creciendo y los cibercriminales también comenzaron a adoptarla para alojar malware y realizar otro tipo de acciones maliciosas.

Operación Discordia

La investigación del laboratorio, apunta a que el método para lograr acceso inicial y comenzar la cadena de infección hasta descargar njRAT comenzaba con correos de phishing que simulaban ser comunicaciones oficiales del Sistema Penal Oral Acusatorio (SPOA) de Colombia. Estos correos incluían como adjuntos archivos comprimidos que estaban protegidos con una contraseña de cuatro números.

Ejemplo de adjuntos en correo de phishing

La campaña utiliza dos métodos para llevar a cabo la infección y el compromiso de los dispositivos objetivo, considerando el uso de Powershell en ambos casos para la ejecución de instancias de comprobación, descarga e instalación de njRAT.

Método 1 por medio de la descarga del payload desde Discord:

Método 1 de infección. Fuente: WeLiveSecurity

Método 2, por medio del descifrado del código del malware en el sistema víctima:

Descifrado de njRAT desde el sistema infectado. Fuente: WeLiveSecurity

Luego de manipular los registros y descifrar el código insertado en este, se crea otro script malicioso desarrollado en PowerShell que realiza las siguientes acciones:

• La variable llamada $YAMAHA posee el código malicioso njRAT.
• Carga una DLL en memoria que contiene un código cifrado.
• El código cifrado es otra DLL que inyecta el payload njRAT en un binario legítimo del Framework .NET. El método para invocar esta lógica se llama HÉRCULES.
• Obtiene la ruta donde se encuentra el binario exe legítimo del Framework .NET.
• Invoca el método HÉRCULES pasándole por parámetros la ruta del binario exe y el contenido de la variable $YAMAHA, el cual es convertido a una lista de bytes antes de ser enviado.

Ejecución del payload previo a cargar código de njRAT. Fuente: WeLiveSecurity

Este método va a inyectar y ejecutar el payload njRAT sobre el proceso legitimo .exe

Ejecución final del payload njRAT. Fuente: WeLiveSecurity

Similitudes con operación Spalax

En el año 2020, el Laboratorio de ESET observó varios ataques dirigidos exclusivamente a entidades colombianas, los que se centraron tanto en instituciones gubernamentales como en empresas privadas, siendo los sectores energético y el metalúrgico los más apuntados. Los atacantes se apoyaron en el uso de troyanos de acceso remoto (RAT) con el objetivo de espiar a sus víctimas. 

Tomando en cuenta esta operación y la recientemente llevada a cabo “Operación Discordia”, ambas guardan similitudes en el modo de operación de los actores maliciosos, desde el uso de campañas de phishing hasta los artefactos relacionados a las infecciones en los equipos víctima.

En un informe relacionado a estas campañas, se vincula al grupo con base de operaciones en Colombia, APT-C-36 (Blind Eagle), activo desde al menos el año 2018, quien había estado lanzando operaciones de obtención de información de gobierno e industria desde 2018 hasta al menos 2020.

Para el caso de Colombia y las operaciones llevadas a cabo por actores maliciosos, presumiblemente presentes al interior de la misma nación, no cabe duda que el nivel de sigilo, así como la constante actualización de los artefactos utilizados, permite al grupo operar con alto anonimato contra las diferentes entidades objetivo de estos actores maliciosos.

El grupo APT-C36, con objetivos definidos en Sudamérica, ha llevado a cabo operaciones desde al menos 2018 en contra de Colombia y otros países, entre los que podría encontrarse Chile, de ser confirmada evidencia de sus operaciones por medio de sus conocidos artefactos para despliegue de acciones de espionaje.

Por otra parte, las investigaciones llevadas a cabo por el laboratorio ESET LATAM mencionan en varias ocasiones el modo de operación para llevar a cabo el compromiso del equipo objetivo y dentro de sus TTP, el uso de aplicativos legítimos disponibles en internet (como Discord, Dropbox, etc), métodos que se han visto utilizados en otros grupos de amenazas avanzados, como GAMAREDON (a.k.a Primitive Bear), patrocinado por el gobierno Ruso y cuya presencia de espionaje ha estado presente en Chile al igual que en otros países de LATAM.

Habiendo observado el uso de los artefactos analizados en diferentes operaciones, es preciso señalar que el interés de aquellas amenazas que buscan obtener ventaja industrial, no apunta solamente a “observar”, por cuanto se debe tener en cuenta que sus actividades buscan netamente la información para la ventaja industrial y militar.

Es claro que las futuras operaciones centren su esfuerzo principalmente en los sectores de  gobierno, energía, banca y combustibles, dado que las diferentes campañas llevadas a cabo en LATAM y Colombia, principalmente durante inicios del presente año, sugieren claramente el robo de información con un valor estratégico, lo cual se puede deducir del uso de herramientas como RAT’s para el control de un equipo, sin la mayor necesidad de ejecutar complejas rutinas de exfiltración de datos, sino por medio de conocidas plataformas de redes sociales, lo que dificulta aún más la atribución de un ataque.

Se espera que en el futuro próximo nuevamente se observen ataques relacionados a grupos con un interés político en la región, por cuánto grandes actores maliciosos “prueban terreno” en la infraestructura presente en LATAM, poniendo en evidencia diferentes sucesos relacionados a grandes ataques con resultados muy negativos, lo que nuevamente pone en alerta a los sectores que pudiesen ser el objetivo de posibles operaciones que silenciosamente, se vienen orquestando desde la anonimidad.

Es preciso señalar que dada las circunstancias actuales ya conocidas por diferentes medios, hay una clara señal de las nuevas técnicas y herramientas que serán empleadas para obligar a las organizaciones comprometidas a someterse a extorsiones o simplemente, la pérdida total de sus datos, lo cual sugiere nuevamente prepararse para un cambiante escenario hostil que se espera impacte en un futuro cercano.

Por otra parte, los ataques con malware sofisticado (ransomware e infostealer), seguirán al alza y con una alta actividad con objetivos cada vez más críticos, por cuanto se ha observado una tendencia hacia la extorsión en varias instancias posterior a un ataque, presentándose en las últimas semanas evidencia de nuevas operaciones relacionadas al uso de malware destructivo sin ánimo de “devolver” el acceso a los datos comprometidos.

Por lo tanto, la estadística y experiencia en cuanto a los sucesos observados en LATAM y las operaciones de espionaje en Colombia y en el mundo, demuestran un escenario con una amenaza que se encuentra operando peligrosamente cerca de Chile, lo que pone en evidencia la exposición a futuros ataques que aprovechen vulnerabilidades y otros vectores de ataque.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Asegurar que los softwares de su organización se encuentren actualizados, priorizando las que parchan las vulnerabilidades informadas en el “Catalogo de vulnerabilidades explotadas conocidas” - informado por US-CISA (https://www.cisa.gov/known-exploited-vulnerabilities-catalog).
• Validar que el personal TI de su organización haya deshabilitado todos los puertos y protocolos que no sean esenciales para el cumplimiento de sus operaciones.
• Validar que todos los accesos remotos a la red de su organización cuentan con “Multi factor de autenticación” (MFA) - recordando que US-CISA agregó la autenticación de un solo factor a la lista de malas prácticas de ciberseguridad "excepcionalmente riesgosas" (https://www.cisa.gov/uscert/ncas/current-activity/2021/08/30/cisa-adds-single-factor-authentication-list-bad-practices)
• Verificar que su equipamiento de detección de amenazas esté con sus firmas actualizadas y operando de forma correcta.
• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, limite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Si su organización utiliza Microsoft Office 365 (M365), considere los siguientes pasos:
  • Asigne algunos (no más de tres) usuarios de confianza como administradores de descubrimiento electrónico (eDiscovery) para realizar búsquedas de contenido forense en todo el entorno de M365 (buzones, equipos, SharePoint y OneDrive) en busca de evidencia de actividad maliciosa.
  • Deshabilite la comunicación remota de PowerShell en Exchange Online para los usuarios habituales de M365. 
  • No permita una cantidad ilimitada de intentos fallidos de inicio de sesión. Para configurar estos ajustes, consulte la configuración de bloqueo inteligente de contraseñas (https://docs.microsoft.com/en-us/azure/active-directory/authentication/howto-password-smart-lockout).
• Revise en forma regular las reglas y alertas de reenvío de correo electrónico creadas por el usuario o restrinja el reenvío.
• Implemente un plan o procedimientos de mitigación; objeto comprender cuándo, cómo y por qué se deben restablecer contraseñas y revocar tokens de sesión.
• Siga la guía recomendada sobre cómo asegurar el acceso privilegiado .
• Considere una política que no permita a los colaboradores usar dispositivos personales para el trabajo. Como mínimo, utilice una solución de gestión de dispositivos móviles de confianza.
• Evitar el uso de RRSS como Discord y similares en equipos y estaciones de trabajo donde no sea necesario.
• Considere restringir que los usuarios reenvíen correos electrónicos a cuentas fuera de su dominio.
• Permita que los usuarios den su consentimiento sólo a las integraciones de aplicaciones que hayan sido aprobadas previamente por un administrador.
• Audite las reglas de correo electrónico con alertas exigibles a través del Centro de seguridad y cumplimiento u otras herramientas que usan Graph API para advertir a los administradores sobre actividades anormales.
• El acceso condicional debe entenderse e implementarse con una mentalidad de “cero confianza”.
• Asegúrese de que el registro de acceso de usuarios esté habilitado. Reenvíe los registros a un dispositivo de administración de eventos e información de seguridad (Por ej.: un SIEM), para agregarlos y monitorearlos a fin de no perder la visibilidad de los registros fuera de los períodos de registro.
• Verifique que todas las instancias de máquinas virtuales basadas en la nube con una IP pública no tengan puertos de Protocolo de escritorio remoto (RDP) abiertos. Coloque cualquier sistema con un puerto RDP abierto detrás de un firewall y solicite a los usuarios que usen una VPN para acceder a él a través del firewall.
• Centrarse en la concientización y la formación. Informe a los colaboradores sobre las amenazas, como las estafas de phishing, y cómo se entregan. Capacitar a los usuarios sobre los principios y técnicas de seguridad de la información, así como sobre los riesgos y vulnerabilidades generales de ciberseguridad emergentes.
• Asegúrese de que los colaboradores sepan a quién contactar cuando ven actividad sospechosa o cuando creen que han sido víctimas de un ataque cibernético. Esto asegurará que la estrategia de mitigación adecuada establecida pueda emplearse de manera rápida y eficiente.