TA505 Difunde troyano de acceso remoto SDBbot

Investigadores de IBM X-Force han identificado una nueva campaña del grupo APT "TA505", también conocido como "Hive0065". La campaña busca comprometer redes abriendo nuevos canales para una mayor actividad maliciosa a través de la difusión de un troyano de acceso remoto (Remote Access Trojan) SDBbot y otros malware personalizados.

TA505 ha estado activo desde al menos 2014, ajustando sus Tácticas, Técnicas y Procedimintos (TTP), objetivos e infraestructura con cada campaña, destacando por estar en constante evolución, siendo SDBbot la nueva adición a su kit de herramientas.

SDBbot se está utilizando en ataques como malware de segunda etapa y está compuesto por un instalador, un cargador y componentes RAT. Tiene la capacidad de realizar funciones típicas de RAT, como comunicarse con servidores C&C, recibir comandos y obtener información del sistema. En los sistemas infectados, este malware podría otorgar a los atacantes la capacidad para descargar y ejecutar cargas maliciosas adicionales, controlar los sistemas infectados y realizar acciones a las que el usuario legítimo tendría acceso. Los troyanos de acceso remoto son una de las herramientas más frecuentes en los ataques dirigidos, ya que facilitan ese tipo de control para los atacantes.

Las campañas más recientes de TA505 difundidas en marzo de 2020 explotaron el interés actual en la pandemia COVID-19, utilizando correos electrónicos de phishing con archivos de ofimática adjuntos y con temáticas de Coronavirus o falsificación de portales cloud como Office365, OneDrive, Dropbox, Google Drive, para entregar el ransomware Locky y el troyano bancario Dridex. Los TTP utilizados en estas campañas y que identifican a TA505, son específicamente la falsificación de sitios web de almacenamiento en la nube para distribuir archivos de malware.

A Futuro esperamos ver que TA505 continúe apuntando a una amplia gama de industrias que usan ingeniería social para entregar malware de código abierto y personalizado mientras ajustan constantemente la infraestructura de TTP y C&C para evadir la detección.

Se recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Concienciar a los usuarios haciendo hincapié sobre la cautela ante mensajes de correo electrónico y archivos adjuntos con temáticas atingentes a noticias en desarrollo o sobre la contingencia mundial, así como enlaces y sitios web que los delincuentes podrían utilizar como señuelos, teniendo presente que la concentración de ataques se da principalmente los días viernes y fin de semana cuando la seguridad de las ciberoperaciones disminuye.
• El phishing puede provenir de cualquier persona, incluso de una conocida, por lo que se debe desconfiar de correos con redireccionadores HTML que descarguen archivos que solicitan habilitar edición u otra acción sospechosa.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Escanear todos los archivos adjuntos antes de abrirlos, con un antivirus organizacional que detecte algún comportamiento sospechoso.
• Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
• Evitar visitar sitios web inseguros, así como la descarga de software ilegal ya que existe una alta probabilidad que puedan infectarse por algún malware.