Operation In (ter) ception: compañías aeroespaciales y militares en el punto de mira de los ciberespacios


Investigadores de ESET descubren ataques dirigidos contra compañías aeroespaciales y militares de alto perfil

A fines del año pasado, descubrimos ataques dirigidos contra compañías aeroespaciales y militares en Europa y Medio Oriente, activos de septiembre a diciembre de 2019. Una investigación en colaboración con dos de las compañías europeas afectadas nos permitió obtener información sobre la operación y descubrir malware previamente indocumentado

Esta publicación de blog arrojará luz sobre cómo se desarrollaron los ataques. La investigación completa se puede encontrar en nuestro libro blanco, Operation In (ter) ception: ataques dirigidos contra compañías europeas aeroespaciales y militares.

Los ataques, que llamamos Operation In (ter) ception basados ​​en una muestra de malware relacionada llamada Inception.dll, fueron muy selectivos y claramente intentaron permanecer fuera del radar.

Para comprometer sus objetivos, los atacantes utilizaron la ingeniería social a través de LinkedIn, escondiéndose detrás de la artimaña de ofertas de trabajo atractivas, pero falsas. Tras establecer un punto de apoyo inicial, los atacantes desplegaron su malware personalizado de varias etapas, junto con herramientas de código abierto modificadas. Además del malware, los adversarios hicieron uso de viviendo de la tierra tácticas, abuso de herramientas legítimas y funciones del sistema operativo. Se utilizaron varias técnicas para evitar la detección, incluida la firma de código, la recopilación regular de malware y la suplantación de software y compañías legítimas.

Según nuestra investigación, el objetivo principal de la operación era el espionaje. Sin embargo, en uno de los casos que investigamos, los atacantes intentaron monetizar el acceso a la cuenta de correo electrónico de la víctima a través de un ataque de compromiso de correo electrónico comercial (BEC) como la etapa final de la operación.

Si bien no encontramos pruebas sólidas que relacionen los ataques con un actor de amenaza conocido, descubrimos varias sugerencias que sugieren un posible vínculo con el Grupo de Lázaro, incluidas las similitudes en la focalización, el entorno de desarrollo y las técnicas antianálisis utilizadas.

Compromiso inicial

Como parte de la fase inicial de compromiso, los atacantes de Operation In (ter) ception habían creado cuentas falsas de LinkedIn que se hacían pasar por representantes de RR. HH. De compañías conocidas en las industrias aeroespacial y de defensa. En nuestra investigación, hemos visto perfiles que se hacen pasar por Collins Aerospace (anteriormente Rockwell Collins) y General Dynamics, ambas grandes corporaciones estadounidenses en el campo.

Con los perfiles configurados, los atacantes buscaron empleados de las empresas seleccionadas y les enviaron mensajes con ofertas de trabajo ficticias utilizando la función de mensajería de LinkedIn, como se ve en la Figura 1. (Nota: Las cuentas falsas de LinkedIn ya no existen.)

Figura 1. Una oferta de trabajo falsa enviada a través de LinkedIn a los empleados de una de las empresas objetivo

Una vez que los atacantes tuvieron la atención de los objetivos, colaron archivos maliciosos en la conversación, disfrazados como documentos relacionados con la oferta de trabajo en cuestión. La figura 2 muestra un ejemplo de dicha comunicación.

Figura 2. Comunicación entre los atacantes y un empleado en una de las empresas objetivo

Para enviar los archivos maliciosos, los atacantes usaron LinkedIn directamente o una combinación de correo electrónico y OneDrive. Para la última opción, los atacantes utilizaron cuentas de correo electrónico falsas correspondientes a sus personajes falsos de LinkedIn e incluyeron enlaces OneDrive que alojaban los archivos.

El archivo compartido era un archivo RAR protegido por contraseña que contenía un archivo LNK. Cuando se abrió, el archivo LNK inició un símbolo del sistema que abrió un archivo PDF remoto en el navegador predeterminado del objetivo.

Ese PDF, que aparentemente contenía información salarial para los puestos de trabajo de renombre, en realidad sirvió como señuelo; en segundo plano, el símbolo del sistema creó una nueva carpeta y copió la utilidad de línea de comandos de WMI (WMIC.exe) a esta carpeta, renombrando la utilidad en el proceso. Finalmente, creó una tarea programada, configurada para ejecutar un script XSL remoto periódicamente a través de la copia WMIC.exe.

Esto permitió a los atacantes obtener su punto de apoyo inicial dentro de la compañía objetivo y ganar persistencia en la computadora comprometida. La Figura 3 ilustra los pasos que conducen al compromiso.

Figura 3. Escenario de ataque desde el contacto inicial hasta el compromiso

Herramientas y técnicas de ataque

Los atacantes de Operation In (ter) ception emplearon una serie de herramientas maliciosas, incluido el malware personalizado de varias etapas y versiones modificadas de herramientas de código abierto.

Hemos visto los siguientes componentes:

  • Descargador personalizado (Etapa 1)
  • Puerta trasera personalizada (Etapa 2)
  • Una versión modificada de PowerShdll – una herramienta para ejecutar código PowerShell sin el uso de powershell.exe
  • Cargadores de DLL personalizados utilizados para ejecutar el malware personalizado
  • Beacon DLL, probablemente utilizado para verificar conexiones a servidores remotos
  • Una compilación personalizada de dbxcli – un cliente de línea de comandos de código abierto para Dropbox; utilizado para la exfiltración de datos

En un escenario típico, el malware de la Etapa 1, el descargador personalizado, fue descargado por el script XSL remoto (descrito en el Compromiso inicial sección) y ejecutado usando el rundll32 utilidad. Sin embargo, también vimos casos en los que los atacantes usaron uno de sus cargadores de DLL personalizados para ejecutar el malware de la Etapa 1. El objetivo principal del descargador personalizado es descargar la carga útil de la Etapa 2 y ejecutarla en su memoria.

La carga útil de la Etapa 2 es una puerta trasera modular en forma de una DLL escrita en C ++. Periódicamente envía solicitudes al servidor y realiza acciones definidas basadas en los comandos recibidos, como enviar información básica sobre la computadora, cargar un módulo o cambiar la configuración. Si bien no recuperamos ningún módulo recibido por la puerta trasera de su servidor C&C, sí encontramos indicios de que se utilizó un módulo para descargar el PowerShdll.

Además del malware, los adversarios aprovecharon las tácticas de vivir de la tierra, abusando de las herramientas legítimas y las funciones del sistema operativo para realizar varias operaciones maliciosas, en un intento de volar por debajo del radar. En cuanto a técnicas específicas, encontramos que los atacantes usaban WMIC para interpretar scripts remotos XSL, certutil para decodificar cargas descargadas codificadas en base64 y rundll32 y regsvr32 para ejecutar su malware personalizado.

La Figura 4 muestra cómo interactuaron los diversos componentes durante la ejecución del malware.

Figura 4. Flujo de ejecución de malware

Además de las técnicas de vivir de la tierra, descubrimos que los atacantes hicieron un esfuerzo especial para no ser detectados.

Primero, los atacantes disfrazaron sus archivos y carpetas dándoles nombres legítimos. Para este propósito, los atacantes hicieron mal uso de los nombres de software y compañías conocidas, como Intel, NVidia, Skype, OneDrive y Mozilla. Por ejemplo, encontramos archivos maliciosos con las siguientes rutas:

  • C: ProgramData DellTPad DellTPadRepair.exe
  • C: Intel IntelV.cgi

Curiosamente, no solo se cambió el nombre de los archivos maliciosos, sino que los atacantes también manipularon las utilidades abusivas de Windows. Copiaron las utilidades a una nueva carpeta (p. Ej. C: NVIDIA) y los renombró (p. ej. regsvr32.exe fue renombrado a NvDaemon.exe)

En segundo lugar, los atacantes firmaron digitalmente algunos componentes de su malware, a saber, el descargador personalizado y la puerta trasera, y la herramienta dbxcli. El certificado se emitió en octubre de 2019, mientras los ataques estaban activos, a 16:20 Software, LLC. Según nuestra investigación, 16:20 Software, LLC es una compañía existente con sede en Pennsylvania, EE. UU., Constituida en mayo de 2010.

En tercer lugar, descubrimos que el malware de la Etapa 1 se volvió a compilar varias veces durante la operación.

Finalmente, los atacantes también implementaron técnicas de anti-análisis en su malware personalizado, como el aplanamiento del flujo de control y la carga dinámica de API.

Recolección de datos y exfiltración

Según nuestra investigación, los atacantes utilizaron una compilación personalizada de dbxcli, un cliente de línea de comandos de código abierto para Dropbox, para filtrar los datos recopilados de sus objetivos. Desafortunadamente, ni el análisis de malware ni la investigación nos permitieron obtener una idea de qué archivos buscaban los atacantes de Operation In (ter) ception. Sin embargo, los títulos de trabajo de los empleados seleccionados a través de LinkedIn sugieren que los atacantes estaban interesados ​​en información técnica y comercial.

Compromiso de correo electrónico comercial

En uno de los casos investigados, los atacantes no solo se detuvieron en la exfiltración de datos: como etapa final de la operación, intentaron monetizar el acceso a la cuenta de correo electrónico de la víctima a través de un ataque BEC.

Primero, aprovechando la comunicación existente en los correos electrónicos de la víctima, los atacantes intentaron manipular a un cliente de la compañía objetivo para pagar una factura pendiente a su cuenta bancaria, como se ve en la Figura 5. Para una mayor comunicación con el cliente, usaron su propia dirección de correo electrónico imitando a la víctima.

Aquí, los atacantes no tuvieron éxito: en lugar de pagar la factura, el cliente respondió con preguntas sobre la suma solicitada. Cuando los atacantes instaron al cliente a pagar, el cliente terminó contactando la dirección de correo electrónico correcta de la víctima sobre el problema, lo que provocó una alarma en el lado de la víctima.

Figura 5. Correo electrónico BEC enviado desde la cuenta de correo electrónico comprometida de una víctima

Sugerencias de atribución

Aunque nuestra investigación no reveló evidencia convincente que vincula los ataques a un actor de amenaza conocido, identificamos varias sugerencias que sugieren un posible vínculo con el grupo de Lázaro. En particular, encontramos similitudes en la focalización, el uso de cuentas falsas de LinkedIn, el entorno de desarrollo y las técnicas antianálisis utilizadas. Además de eso, hemos visto una variante del malware Stage 1 que contenía una muestra de Win32 / NukeSped.FX, que pertenece a un conjunto de herramientas maliciosas que ESET atribuye al grupo de Lázaro.

Conclusión

Nuestra investigación descubrió una operación altamente dirigida notable por su convincente esquema de ingeniería social basado en LinkedIn, malware modular personalizado y trucos de evasión de detección astutos. Curiosamente, si bien la Operación In (ter) ceptivo mostró todos los signos de ciberespionaje, los atacantes aparentemente también tenían una ganancia financiera como objetivo, como lo demuestra el intento de ataque BEC.

Un agradecimiento especial a Michal Cebák por su trabajo en esta investigación.

Para obtener una descripción completa de los ataques, así como un análisis técnico del malware previamente indocumentado y los Indicadores de compromiso (IoC), consulte nuestro documento, Operation In (ter) ception: ataques dirigidos contra compañías europeas aeroespaciales y militares.

Los IoC recogidos de los ataques también se pueden encontrar en el ESET GitHub repositorio.

Técnicas MITRE ATT y CK

Táctica CARNÉ DE IDENTIDAD Nombre Descripción
Acceso inicial T1194 Spearphishing a través del servicio LinkedIn se utiliza para contactar al objetivo y proporcionar un archivo adjunto malicioso.
Ejecución T1059 Interfaz de línea de comandos cmd.exe Se utiliza para crear una tarea programada para interpretar un script XSL malicioso a través de WMIC.
T1106 Ejecución a través de API Usos de malware CreateProcessA API para ejecutar otro ejecutable.
T1086 Potencia Shell Se utiliza una DLL .NET personalizada para interpretar los comandos de PowerShell.
T1117 Regsvr32 los regsvr32 La utilidad se utiliza para ejecutar componentes de malware.
T1085 Rundll32 los rundll32 La utilidad se utiliza para ejecutar componentes de malware.
T1053 Tarea programada WMIC está programado para interpretar scripts XSL remotos.
T1047 Instrumentación de Administración Windows WMIC Se abusa de la utilidad para interpretar scripts XSL remotos.
T1035 Ejecución de servicio Se crea un servicio para ejecutar el malware.
T1204 Ejecución de usuario El atacante depende de la víctima para extraer y ejecutar un archivo LNK de un archivo RAR recibido en un archivo adjunto de correo electrónico.
T1220 Procesamiento de guiones XSL WMIC se utiliza para interpretar scripts XSL remotos.
Persistencia T1050 Nuevo servicio Se crea un servicio para garantizar la persistencia del malware.
T1053 Tarea programada Tras la ejecución del archivo LNK, se crea una tarea programada que se ejecuta periódicamente WMIC
Evasión de defensa T1116 Firma de código Malware firmado con un certificado emitido para "16:20 Software, LLC".
T1140 Desobuscar / decodificar archivos o información certutil.exe se utiliza para decodificar binarios de malware codificados en base64.
T1070 Eliminación de indicadores en el host Los atacantes intentan eliminar los artefactos generados.
T1036 Disfraces Los directorios y archivos de malware se denominan software o empresas legítimas o similares.
T1027 Archivos o información ofuscados El malware está muy ofuscado y se entrega en forma codificada en base64.
T1117 Regsvr32 los regsvr32 La utilidad se utiliza para ejecutar componentes de malware.
T1085 Rundll32 los rundll32 La utilidad se utiliza para ejecutar componentes de malware.
T1078 Cuentas Validas Adversary utiliza credenciales comprometidas para iniciar sesión en otros sistemas.
T1220 Procesamiento de guiones XSL WMIC se utiliza para interpretar scripts XSL remotos.
Acceso de credenciales T1110 Fuerza bruta Intentos adversarios de cuentas del sistema de fuerza bruta.
Descubrimiento T1087 Descubrimiento de cuenta El adversario consulta al servidor AD para obtener cuentas del sistema.
T1012 Registro de consultas El malware tiene la capacidad de consultar el registro para obtener información como el nombre del producto de Windows y el nombre de la CPU.
T1018 Descubrimiento remoto del sistema El adversario escanea subredes IP para obtener una lista de otras máquinas.
T1082 Descubrimiento de información del sistema El malware tiene la capacidad de recopilar información como el nombre del producto de Windows, el nombre de la CPU, el nombre de usuario, etc.
Colección T1005 Datos del sistema local Adversary recopila datos confidenciales e intenta cargarlos utilizando el cliente de Dropbox CLI.
T1114 Recolección de correo electrónico El adversario tiene acceso al correo electrónico de una víctima y puede utilizarlo para un ataque de compromiso de correo electrónico comercial
Comando y control T1071 Protocolo de capa de aplicación estándar El malware usa el protocolo HTTPS.
Exfiltración T1002 Datos comprimidos RAR comprime los datos extraídos.
T1048 Exfiltración sobre protocolo alternativo Los datos extraídos se cargan en Dropbox utilizando su cliente CLI.
T1537 Transferir datos a la cuenta de la nube Los datos extraídos se cargan en Dropbox.



y





Enlace a la noticia original