Investigadores de Cisco Talos descubrieron una nueva campaña de malware denominada “BlackWater” asociada a la Amenaza Avanzada Persistente (APT) “MuddyWater”. Esta ha estado actualizando sus tácticas, técnicas y procedimientos (TTP), diseñados para proporcionar el acceso remoto a los sistemas Windows comprometidos mientras evade la detección. Para el control del dispositivo, instala un backdoor a través de Powershell altamente ofuscado. MuddyWater también conocido como SeedWorm y TEMP.Zagros es un grupo respaldado por un gobierno, que se observó por primera vez en el 2017 y se dirigió principalmente a las entidades del Medio Oriente.
Los objetivos recibieron el malware a través de correo electrónico con un documento word pidiendo que habilite la macro titulada “BlackWater.bas”, protegida con contraseña por lo que es inaccesible si un usuario intenta ver el código en Visual Basic, probablemente como una técnica anti reversing.
Como parte de la campaña BlackWater, el grupo utilizó una secuencia de comandos en Visual Basic (VBA) ilegible que permite que el malware gane persistencia agregando un registro en el arranque de Windows. A continuación, el script activa un stager de Powershell que luego se comunicaría con un servidor controlado por los atacantes para obtener un componente de FruityC2, un script de código abierto en GitHub que sirve para enumerar la máquina comprometida. Esto podría permitir al ciberdelincuente monitorear los registros web y determinar si alguien no involucrado en la campaña realizó una consulta al servidor en un intento de investigar la actividad. Una vez que se ejecutan los comandos de enumeración, el malware se comunicaría con un C2 diferente, esto haría más difícil la detección ya que no se generaría un archivo “errors.txt” fácilmente identificable.
El grupo tomó algunas medidas adicionales para reemplazar variables en las muestras recientes, en un intento por evitar la detección basada en firmas de las reglas Yara.
Se recomienda lo siguiente:
- Deshabilitar las macros de Microsoft Office, para evitar la ejecución de payloads maliciosos en los documentos (aunque esta configuración no mitiga el uso de la la autenticación forzada.
- Realizar campañas comunicacionales permanentes dirigidas a clientes y colaboradores de las organizaciones afectadas, explicando sobre los peligros del phishing y cómo actúa para engañar a sus víctimas. También se sugiere dudar de cualquier correo que contenga un enlace, ya sea en el cuerpo del e-mail o dentro de un documento adjunto. Y por supuesto, nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
- Generar regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
- Bloquear comunicación bidireccionalmente de las direcciones IP’s y dominios indicados en tráfico perimetral.
- Reemplazar los sistemas operativos Windows antiguos por las versiones más recientes.
- Mantener actualizado Microsoft Office y el software de seguridad del equipo.
- Bloquear el acceso de administrador predeterminado de los usuarios.
- Aplicar reglas exigentes para la creación de contraseñas.
- Usar un antivirus con escáner de acceso (protección en tiempo real).
- Configurar de manera más estricta el anti spam.
- No abrir documentos adjuntos de remitentes desconocidos.
- Aprender a identificar correos fraudulentos.
| Producto | Versión |
|---|---|
| Microsoft Windows |
7 8 8.1 10 |