TIPS TECNOLÓGICOS, DE CONFIGURACIÓN Y NEGOCIO QUE COMPLEMENTAN TU SEGURIDAD

Un nuevo ataque dirigido que ¡despierta! Trend Labs cuenta la investigación

Escrito por marketing on 19/03/14 16:42

De acuerdo con
Trend Micro Labs en las últimas semanas, han recibido varios informes de ataques dirigidos a varias vulnerabilidades de aplicación para infiltrarse en diversas organizaciones. Similar a la Campaña Safe, se observa que las campañas pasaron inadvertidas. Los atacantes que dirigen la campaña conocida como Campaña Siesta utilizaron malware multicomponente para elegir ciertas instituciones del diversos sectores tales como Bienes y servicios de consumo y servicio, Energético, Financiero, Sanidad Pública, Medios de comunicación y telecomunicaciones, Administración pública, Seguridad y defensa y Transporte y tráfico. Hoy en día los actores amenaza no siempre confían en vectores de ataque complejos para infiltrarse en la red de una organización, si no que los atacantes también pueden hacer uso de técnicas de ingeniería social básica para que sus víctimas muerdan el anzuelo, como aparece en el caso de estudio de Trend Labs. Actualmente están investigando un incidente que involucró a los atacantes enviando mails spear-phishing dirigidos a ejecutivos de una empresa desconocida. Estos mails fueron enviados desde direcciones de correo electrónico falsas de personal dentro de la organización. En lugar de utilizar los archivos adjuntos y exploits de documentos, esta campaña específica sirve su malware a través de un enlace de descarga de archivos de apariencia legítima. El modo de operación de este ataque está basado en descargar el archivo, el atacante lo sirve en una ruta de URL como está:
http://{Dominio malicioso} / {nombre de la empresa} / {legítimo nombre de archivo} .zip Este archivo contiene un archivo ejecutable
(TROJ_SLOTH) con la apariencia de un documento PDF. Cuando se ejecuta se abre un archivo PDF válido, que probablemente fue tomado del sitio web de la organización elegida, así junto con este archivo PDF válido, también se ejecuta otro componente malicioso en el fondo. Este componente de puerta trasera se llama
google {BLOCKED} .exe. (Lamentablemente, durante las investigaciones en curso y por el momento esta es toda la información disponible). Esta puerta trasera se conecta a
http://www.micro { BLOCKED }. com/index.html, servidores de comando y control (C & C). Trend Micro identifica estas muestras como
BKDR_SLOTH.B. En este punto, el malware comienza a esperar comandos adicionales desde el atacante. Los comandos cifrados que se aceptan son:
•Sleep: Ordena a la puerta trasera dormir durante un número de minutos específico. Durante el análisis de Trend Micro han recibido una orden de
“sleep: 120″ que significa que el malware esperará 2 horas antes de volver a establecer una conexión con el servidor  C&C •
Download: < download_url > Ordena a la puerta trasera descargar y ejecutar un archivo (probablemente otro ejecutable Win32) desde una dirección URL específica. El servidor C & C utilizado en esta campaña es nuevamente registrado por poco tiempo, por lo que nos resulta difícil seguir el comportamiento de malware. Siguiendo la investigación, existen dos variantes del malware utilizado en esta campaña. Aunque no exactamente iguales, los comportamientos son casi idénticos. Una de las muestras similares es un archivo llamado
Concerning the Spread of Superbugs Febrero 2014.exe (SHA1: 014542eafb792b98196954373b3fd13e60cb94fe). Esta muestra arroja el archivo UIODsevr.exe, su componente backdoor que se comporta de manera similar aBKDR_SLOTH.B además de comunicar a su C & C en skys com {BLOCKED}.
Estas muestras son identificadas por Trend Micro como BKDR_SLOTH.A. Ambas variantes utilizan excesivamente llamadas de sueño, que representa el malware inactivo durante distintos períodos de tiempo, de ahí el nombre de la campaña
“Siesta”. Las órdenes se sirven a través de páginas HTML usando diferente palabras clave que se enumeran a continuación: Variant 1 prefix: “>SC<” Variant 2 prefix: “longDesc=” suffix: “.txt” Los comandos
backdoor que se encontraron en el análisis son: Variant 1 “run1” – open a remote shell “run2” – pipe shell commands from URL1 “run3” – pipe shell commands from URL2 “http” – pipe shell commands from C2 “x_” – sleep for specified number of minutes Variant 2 “sleep:” – sleep for specified number of minutes “download:” – download and execute another executable from C2 A menudo es difícil atribuir las campañas y los métodos de ataque. El equipo ha sido capaz de identificar esta nueva campaña a través de inspección de hashes, C & c, los registradores, comandos y obtener información adicional. siesta_attribution2
Dibujo 1. Gráfico de atribución (haga clic en la imagen para agrandarla) Cabe mencionar que durante el curso de la investigación, se enfocaron en el malware. Rápidamente identificaron que la persona registrada como sky {BLOCKED} .com es también la que se registra como micro { BLOCKED } .com y ifued { BLOCKED } .net. Este individuo utiliza el nombre de Li Ning y otros con una dirección de correo electrónico de xiaomao{BLOCKED}@163.com. Así mismo también había registrado 79 dominios adicionales. Hay un total de aproximadamente 17.000 dominios registrados con esta misma dirección de correo electrónico. domains-siesta 2
Dibujo 2. Dominios registrados bajo el nombre de Li Ning, basado en datos de Whois Para concluir, debemos tener en cuenta que es un hecho que la detección temprana es crucial en la prevención de ataques de datos confidenciales de la empresa. Las organizaciones y las grandes empresas necesitan una plataforma de protección avanzada frente a las amenazas  como Deep Security que puede mitigar los riesgos de ataques a través de sus diversas tecnologías de seguridad e inteligencia de amenaza global. En el corazón de la solución 
Custom Defense  dentro de
Deep Discovery con Trend Micro se proporciona inteligencia local y global en tiempo real a través del ciclo de vida del ataque. Esto puede ayudar a entender la naturaleza del ataque están tratando con los administradores de TI.
Trend Micro bloquea todas relacionadas con amenazas, mensajes de correo electrónico y URL asociados a estos ataques. Como siempre el equipo de Trend Labs aconseja a los usuarios que tengan precaución al abrir mensajes de correo electrónico y enlaces. Para más información visita trendmicro.es Nataly Mejía Marketing

Topics: Amenazas, Lo más nuevo, Seguridad, Trend Micro


Deja un comentario

No te pierdas lo mejor en Seguridad ¡Suscríbete al blog!

Lists by Topic

see all

Lo que se dice en Smartekh

ver lo mejor en Seguridad
CyberSecTrends2023
Smartekh Cloud Happy Hour
15-3
TikTok

¿Quieres hablar con un Consultor de Ciberseguridad?