Trend Micro continúa efectuando seguimiento al grupo TA505, activo desde 2014, y ha informado que durante el último mes han realizando pequeños cambios en sus operaciones, dirigido sus ataques a nuevos países de América, Europa y Asia.
Si bien los métodos de entrega de los payload continúan siendo a través de campañas de correos electrónicos con archivos de ofimática cargados con macros o con archivos .ISO de tamaños inferiores a 1 MB, reportados en boletines anteriores, se han evidenciado cambios en sus tácticas que puede producir infecciones exitosas dada la inusual técnica de entrega de dispersar sus malware.
Los cambios que Trend Micro ha identificado varían entre:
- Comunicación cifrada a través de HTTP con C&C (las versiones anteriores tenían información de solicitud y respuesta de C&C en texto plano)
- Dos nuevos comandos de puerta trasera utilizados por FlawedAmmyy RAT; runmem y runmemxor, que pueden ejecutar comandos .DLL adicionales en la memoria.
- Actualizaciones en ServHelper para evadir la detección y agregar más funciones, posiblemente para más iteraciones en el futuro.
Se recomienda lo siguiente:
- Realizar campañas comunicacionales permanentes dirigidas a clientes y colaboradores de las organizaciones afectadas, que expliquen el funcionamiento de los phishing y malspam.
- Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir amenazas.
- Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
- Evitar instalar programas de sitios que no sean oficiales.
- Mantener actualizadas sus plataformas (Office, Windows, Adobe Acrobat, Oracle Java y otras).
- Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
- Revisar los controles de seguridad de los AntiSpam y SandBoxing
- Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
- Comunicarse con el remitente para confirmar si un archivo adjunto es confiable.
- Aprender a detectar correos electrónicos sospechosos que utilizan nombres de empresas reales y adoptan su imagen.
- Tener activado el UAC (control de cuentas de usuario) de Windows.
- Aplique el principio de privilegio mínimo, así como un procedimiento de actualización de sistema y administración de parches para asegurarse de que toda la red esté protegida.
- Instale sistemas de protección redundantes y de varias capas desde la puerta de enlace hasta el punto final que pueden detectar y bloquear URLS, correos electrónicos y archivos adjuntos maliciosos, así como monitorear proactivamente otros posibles vectores de ataque.