Grupo UAC-0050 distribuyendo Remcos RAT mediante campañas de phishing

El grupo UAC-0050 se destaca por su historial de ataques cibernéticos implacables, principalmente dirigidos hacia objetivos militares ucranianos. En su última operación, han desplegado una estrategia avanzada que utiliza un canal de transferencia de datos más sofisticado, eludiendo eficazmente las medidas de detección del Endpoint Detection and Response (EDR) y sistemas antivirus. Su arma preferida es el malware de espionaje RemcosRAT, conocido por su capacidad de vigilancia y control remoto. Además, el grupo ha integrado un método de "pipes" para la comunicación entre procesos, mostrando su avanzada capacidad de adaptación y ocultamiento.

Cadena de ataque

A continuación, se detalla paso a paso cómo se ejecuta el proceso de infección para finalmente desplegar el troyano de espionaje Remcos RAT.

Ilustración 1: Word con propuesta para militares ucranianos (distractor de infección)
Fuente: Uptycs

PASO 1 Inicio con un archivo LNK:

El ataque comienza con la ejecución de un archivo con extensión .lnk (archivo de acceso directo). Este tipo de archivo es utilizado para iniciar la descarga de recursos adicionales y puede ser manipulado para ejecutar scripts maliciosos.

PASO 2 Descarga de archivo HTA:

El archivo LNK es responsable de iniciar la descarga de un archivo HTA (Hypertext Application). El HTA es un formato de archivo que contiene scripts HTML y es ejecutado por el programa mshta[.]exe de Microsoft.

PASO 3 Script VBS dentro del HTA:

El archivo HTA contiene un script VBS (Visual Basic Scripting) que se activa tras su ejecución. Este script VBS es responsable de realizar acciones específicas y puede ser utilizado para la automatización de tareas.

PASO 4 Ejecución de script de PowerShell:

El script VBS, al ejecutarse, activa un script de PowerShell. PowerShell es una herramienta de administración de tareas y automatización en entornos Windows que puede ser utilizada de manera legítima o maliciosa.

PASO 5 Descarga de carga útil maliciosa (word_update[.]exe):

El script de PowerShell, ahora en ejecución, intenta descargar una carga útil maliciosa desde un servidor remoto. En este caso, la carga útil tiene el nombre "word_update[.]exe". Este archivo es la parte principal del malware que se utilizará para comprometer el sistema.

Paso 6 Ejecución de word_update[.]exe:

Una vez descargada, la carga útil maliciosa, "word_update[.]exe", se ejecuta. Este archivo realiza acciones específicas según la programación del atacante.

Paso 7 Ejecución de cmd[.]exe y creación de "pipes":

La carga útil "word_update[.]exe" ejecuta el programa cmd[.]exe, el intérprete de comandos de Windows. Además, establece una "pipe" para la comunicación entre procesos. Las "pipes" son utilizadas para el intercambio de datos entre procesos de manera eficiente.

Paso 8 Inicio de explorer[.]exe con RemcosRAT corriendo en memoria:

La "pipe" establecida permite la comunicación de datos maliciosos. Esto provoca el inicio de explorer[.]exe, el administrador de archivos de Windows, con el RemcosRAT malicioso residiendo en la memoria de explorer[.]exe. 

Ilustración 2: Diagrama cadena de ataque 
Fuente: Uptycs

Remcos RAT

Remcos, también conocido como Remcos RAT, representa una herramienta de administración remota desarrollada por Breaking Security que, a pesar de su presentación como software legítimo, a menudo es explotado con intenciones maliciosas por parte de los ciberactores. Este troyano de acceso remoto (RAT) proporciona a los atacantes la capacidad de tomar el control no autorizado de sistemas específicos. Sus funcionalidades abarcan desde el control de cuentas y la desactivación del Control de cuentas de usuario (UAC) hasta la introducción de vulnerabilidades de puerta trasera, el robo de datos, la grabación de teclas y la captura secreta de información.

Los indicadores de una infección por Remcos RAT incluyen patrones anómalos de tráfico de red, comportamiento imprevisto del sistema como ralentización o fallas, elevado uso de CPU/memoria, cambios inexplicables en configuraciones o archivos, y acceso no autorizado a información o cuentas confidenciales. Las vías comunes de infección abarcan archivos adjuntos de correo electrónico maliciosos, enlaces en campañas de phishing, sitios web comprometidos con kits de explotación, medios extraíbles infectados, explotación de vulnerabilidades de software, publicidad maliciosa y tácticas de ingeniería social.

Ilustración 3: Panel de administración Remcos RAT
Fuente: Fortinet

Apreciación

UAC-0050 se distingue por su historial de ataques cibernéticos enfocados particularmente en objetivos ucranianos. La combinación de la herramienta Remcos RAT con las tácticas innovadoras de UAC-0050 destaca la amenaza significativa que este grupo representa, especialmente para entidades gubernamentales que dependen de sistemas Windows. La continua evolución y sofisticación de sus métodos resaltan la importancia de la ciberseguridad proactiva y la vigilancia constante para contrarrestar sus operaciones a fin de mitigar posibles amenazas en entidades de defensa nacional y gubernamentales.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• No abrir archivos de Microsoft Office que contengan MACROS hasta obtener confirmación del remitente y verificar que el envío sea bajo estrictas políticas de seguridad como por ejemplo: archivo cifrado, contraseña enviada por otro medio, contacto directo con el remitente.
• Utilizar el principio de menor privilegio, que trata de dividir el uso del sistema en dos cuentas, una estándar para uso diario que incluya las mínimas funciones posibles y otra cuenta de administrador que permita acceder al núcleo de su dispositivo.
• Tener atención y evitar extensiones como “exe”, “vbs” y “scr”. Es necesario vigilar este tipo de archivos, ya que podrían ser peligrosos. Un atacante podría utilizar diversas extensiones para enmascarar archivos maliciosos como un vídeo, foto, o un documento como: (reporte-clientes.doc.scr).
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.