Investigadores de ESET descubren ataques dirigidos contra compañías aeroespaciales y militares de alto perfil
A fines del año pasado, descubrimos ataques dirigidos contra compañías aeroespaciales y militares en Europa y Medio Oriente, activos de septiembre a diciembre de 2019. Una investigación en colaboración con dos de las compañías europeas afectadas nos permitió obtener información sobre la operación y descubrir malware previamente indocumentado
Esta publicación de blog arrojará luz sobre cómo se desarrollaron los ataques. La investigación completa se puede encontrar en nuestro libro blanco, Operation In (ter) ception: ataques dirigidos contra compañías europeas aeroespaciales y militares.
Los ataques, que llamamos Operation In (ter) ception basados en una muestra de malware relacionada llamada Inception.dll, fueron muy selectivos y claramente intentaron permanecer fuera del radar.
Para comprometer sus objetivos, los atacantes utilizaron la ingeniería social a través de LinkedIn, escondiéndose detrás de la artimaña de ofertas de trabajo atractivas, pero falsas. Tras establecer un punto de apoyo inicial, los atacantes desplegaron su malware personalizado de varias etapas, junto con herramientas de código abierto modificadas. Además del malware, los adversarios hicieron uso de viviendo de la tierra tácticas, abuso de herramientas legítimas y funciones del sistema operativo. Se utilizaron varias técnicas para evitar la detección, incluida la firma de código, la recopilación regular de malware y la suplantación de software y compañías legítimas.
Según nuestra investigación, el objetivo principal de la operación era el espionaje. Sin embargo, en uno de los casos que investigamos, los atacantes intentaron monetizar el acceso a la cuenta de correo electrónico de la víctima a través de un ataque de compromiso de correo electrónico comercial (BEC) como la etapa final de la operación.
Si bien no encontramos pruebas sólidas que relacionen los ataques con un actor de amenaza conocido, descubrimos varias sugerencias que sugieren un posible vínculo con el Grupo de Lázaro, incluidas las similitudes en la focalización, el entorno de desarrollo y las técnicas antianálisis utilizadas.
Compromiso inicial
Como parte de la fase inicial de compromiso, los atacantes de Operation In (ter) ception habían creado cuentas falsas de LinkedIn que se hacían pasar por representantes de RR. HH. De compañías conocidas en las industrias aeroespacial y de defensa. En nuestra investigación, hemos visto perfiles que se hacen pasar por Collins Aerospace (anteriormente Rockwell Collins) y General Dynamics, ambas grandes corporaciones estadounidenses en el campo.
Con los perfiles configurados, los atacantes buscaron empleados de las empresas seleccionadas y les enviaron mensajes con ofertas de trabajo ficticias utilizando la función de mensajería de LinkedIn, como se ve en la Figura 1. (Nota: Las cuentas falsas de LinkedIn ya no existen.)
Figura 1. Una oferta de trabajo falsa enviada a través de LinkedIn a los empleados de una de las empresas objetivo
Una vez que los atacantes tuvieron la atención de los objetivos, colaron archivos maliciosos en la conversación, disfrazados como documentos relacionados con la oferta de trabajo en cuestión. La figura 2 muestra un ejemplo de dicha comunicación.
Figura 2. Comunicación entre los atacantes y un empleado en una de las empresas objetivo
Para enviar los archivos maliciosos, los atacantes usaron LinkedIn directamente o una combinación de correo electrónico y OneDrive. Para la última opción, los atacantes utilizaron cuentas de correo electrónico falsas correspondientes a sus personajes falsos de LinkedIn e incluyeron enlaces OneDrive que alojaban los archivos.
El archivo compartido era un archivo RAR protegido por contraseña que contenía un archivo LNK. Cuando se abrió, el archivo LNK inició un símbolo del sistema que abrió un archivo PDF remoto en el navegador predeterminado del objetivo.
Ese PDF, que aparentemente contenía información salarial para los puestos de trabajo de renombre, en realidad sirvió como señuelo; en segundo plano, el símbolo del sistema creó una nueva carpeta y copió la utilidad de línea de comandos de WMI (WMIC.exe) a esta carpeta, renombrando la utilidad en el proceso. Finalmente, creó una tarea programada, configurada para ejecutar un script XSL remoto periódicamente a través de la copia WMIC.exe.
Esto permitió a los atacantes obtener su punto de apoyo inicial dentro de la compañía objetivo y ganar persistencia en la computadora comprometida. La Figura 3 ilustra los pasos que conducen al compromiso.
Figura 3. Escenario de ataque desde el contacto inicial hasta el compromiso
Herramientas y técnicas de ataque
Los atacantes de Operation In (ter) ception emplearon una serie de herramientas maliciosas, incluido el malware personalizado de varias etapas y versiones modificadas de herramientas de código abierto.
Hemos visto los siguientes componentes:
- Descargador personalizado (Etapa 1)
- Puerta trasera personalizada (Etapa 2)
- Una versión modificada de PowerShdll – una herramienta para ejecutar código PowerShell sin el uso de powershell.exe
- Cargadores de DLL personalizados utilizados para ejecutar el malware personalizado
- Beacon DLL, probablemente utilizado para verificar conexiones a servidores remotos
- Una compilación personalizada de dbxcli – un cliente de línea de comandos de código abierto para Dropbox; utilizado para la exfiltración de datos
En un escenario típico, el malware de la Etapa 1, el descargador personalizado, fue descargado por el script XSL remoto (descrito en el Compromiso inicial sección) y ejecutado usando el rundll32 utilidad. Sin embargo, también vimos casos en los que los atacantes usaron uno de sus cargadores de DLL personalizados para ejecutar el malware de la Etapa 1. El objetivo principal del descargador personalizado es descargar la carga útil de la Etapa 2 y ejecutarla en su memoria.
La carga útil de la Etapa 2 es una puerta trasera modular en forma de una DLL escrita en C ++. Periódicamente envía solicitudes al servidor y realiza acciones definidas basadas en los comandos recibidos, como enviar información básica sobre la computadora, cargar un módulo o cambiar la configuración. Si bien no recuperamos ningún módulo recibido por la puerta trasera de su servidor C&C, sí encontramos indicios de que se utilizó un módulo para descargar el PowerShdll.
Además del malware, los adversarios aprovecharon las tácticas de vivir de la tierra, abusando de las herramientas legítimas y las funciones del sistema operativo para realizar varias operaciones maliciosas, en un intento de volar por debajo del radar. En cuanto a técnicas específicas, encontramos que los atacantes usaban WMIC para interpretar scripts remotos XSL, certutil para decodificar cargas descargadas codificadas en base64 y rundll32 y regsvr32 para ejecutar su malware personalizado.
La Figura 4 muestra cómo interactuaron los diversos componentes durante la ejecución del malware.
Figura 4. Flujo de ejecución de malware
Además de las técnicas de vivir de la tierra, descubrimos que los atacantes hicieron un esfuerzo especial para no ser detectados.
Primero, los atacantes disfrazaron sus archivos y carpetas dándoles nombres legítimos. Para este propósito, los atacantes hicieron mal uso de los nombres de software y compañías conocidas, como Intel, NVidia, Skype, OneDrive y Mozilla. Por ejemplo, encontramos archivos maliciosos con las siguientes rutas:
- C: ProgramData DellTPad DellTPadRepair.exe
- C: Intel IntelV.cgi
Curiosamente, no solo se cambió el nombre de los archivos maliciosos, sino que los atacantes también manipularon las utilidades abusivas de Windows. Copiaron las utilidades a una nueva carpeta (p. Ej. C: NVIDIA) y los renombró (p. ej. regsvr32.exe fue renombrado a NvDaemon.exe)
En segundo lugar, los atacantes firmaron digitalmente algunos componentes de su malware, a saber, el descargador personalizado y la puerta trasera, y la herramienta dbxcli. El certificado se emitió en octubre de 2019, mientras los ataques estaban activos, a 16:20 Software, LLC. Según nuestra investigación, 16:20 Software, LLC es una compañía existente con sede en Pennsylvania, EE. UU., Constituida en mayo de 2010.
En tercer lugar, descubrimos que el malware de la Etapa 1 se volvió a compilar varias veces durante la operación.
Finalmente, los atacantes también implementaron técnicas de anti-análisis en su malware personalizado, como el aplanamiento del flujo de control y la carga dinámica de API.
Recolección de datos y exfiltración
Según nuestra investigación, los atacantes utilizaron una compilación personalizada de dbxcli, un cliente de línea de comandos de código abierto para Dropbox, para filtrar los datos recopilados de sus objetivos. Desafortunadamente, ni el análisis de malware ni la investigación nos permitieron obtener una idea de qué archivos buscaban los atacantes de Operation In (ter) ception. Sin embargo, los títulos de trabajo de los empleados seleccionados a través de LinkedIn sugieren que los atacantes estaban interesados en información técnica y comercial.
Compromiso de correo electrónico comercial
En uno de los casos investigados, los atacantes no solo se detuvieron en la exfiltración de datos: como etapa final de la operación, intentaron monetizar el acceso a la cuenta de correo electrónico de la víctima a través de un ataque BEC.
Primero, aprovechando la comunicación existente en los correos electrónicos de la víctima, los atacantes intentaron manipular a un cliente de la compañía objetivo para pagar una factura pendiente a su cuenta bancaria, como se ve en la Figura 5. Para una mayor comunicación con el cliente, usaron su propia dirección de correo electrónico imitando a la víctima.
Aquí, los atacantes no tuvieron éxito: en lugar de pagar la factura, el cliente respondió con preguntas sobre la suma solicitada. Cuando los atacantes instaron al cliente a pagar, el cliente terminó contactando la dirección de correo electrónico correcta de la víctima sobre el problema, lo que provocó una alarma en el lado de la víctima.
Figura 5. Correo electrónico BEC enviado desde la cuenta de correo electrónico comprometida de una víctima
Sugerencias de atribución
Aunque nuestra investigación no reveló evidencia convincente que vincula los ataques a un actor de amenaza conocido, identificamos varias sugerencias que sugieren un posible vínculo con el grupo de Lázaro. En particular, encontramos similitudes en la focalización, el uso de cuentas falsas de LinkedIn, el entorno de desarrollo y las técnicas antianálisis utilizadas. Además de eso, hemos visto una variante del malware Stage 1 que contenía una muestra de Win32 / NukeSped.FX, que pertenece a un conjunto de herramientas maliciosas que ESET atribuye al grupo de Lázaro.
Conclusión
Nuestra investigación descubrió una operación altamente dirigida notable por su convincente esquema de ingeniería social basado en LinkedIn, malware modular personalizado y trucos de evasión de detección astutos. Curiosamente, si bien la Operación In (ter) ceptivo mostró todos los signos de ciberespionaje, los atacantes aparentemente también tenían una ganancia financiera como objetivo, como lo demuestra el intento de ataque BEC.
Un agradecimiento especial a Michal Cebák por su trabajo en esta investigación.
Para obtener una descripción completa de los ataques, así como un análisis técnico del malware previamente indocumentado y los Indicadores de compromiso (IoC), consulte nuestro documento, Operation In (ter) ception: ataques dirigidos contra compañías europeas aeroespaciales y militares.
Los IoC recogidos de los ataques también se pueden encontrar en el ESET GitHub repositorio.
Técnicas MITRE ATT y CK
| Táctica | CARNÉ DE IDENTIDAD | Nombre | Descripción |
|---|---|---|---|
| Acceso inicial | T1194 | Spearphishing a través del servicio | LinkedIn se utiliza para contactar al objetivo y proporcionar un archivo adjunto malicioso. |
| Ejecución | T1059 | Interfaz de línea de comandos | cmd.exe Se utiliza para crear una tarea programada para interpretar un script XSL malicioso a través de WMIC. |
| T1106 | Ejecución a través de API | Usos de malware CreateProcessA API para ejecutar otro ejecutable. | |
| T1086 | Potencia Shell | Se utiliza una DLL .NET personalizada para interpretar los comandos de PowerShell. | |
| T1117 | Regsvr32 | los regsvr32 La utilidad se utiliza para ejecutar componentes de malware. | |
| T1085 | Rundll32 | los rundll32 La utilidad se utiliza para ejecutar componentes de malware. | |
| T1053 | Tarea programada | WMIC está programado para interpretar scripts XSL remotos. | |
| T1047 | Instrumentación de Administración Windows | WMIC Se abusa de la utilidad para interpretar scripts XSL remotos. | |
| T1035 | Ejecución de servicio | Se crea un servicio para ejecutar el malware. | |
| T1204 | Ejecución de usuario | El atacante depende de la víctima para extraer y ejecutar un archivo LNK de un archivo RAR recibido en un archivo adjunto de correo electrónico. | |
| T1220 | Procesamiento de guiones XSL | WMIC se utiliza para interpretar scripts XSL remotos. | |
| Persistencia | T1050 | Nuevo servicio | Se crea un servicio para garantizar la persistencia del malware. |
| T1053 | Tarea programada | Tras la ejecución del archivo LNK, se crea una tarea programada que se ejecuta periódicamente WMIC | |
| Evasión de defensa | T1116 | Firma de código | Malware firmado con un certificado emitido para "16:20 Software, LLC". |
| T1140 | Desobuscar / decodificar archivos o información | certutil.exe se utiliza para decodificar binarios de malware codificados en base64. | |
| T1070 | Eliminación de indicadores en el host | Los atacantes intentan eliminar los artefactos generados. | |
| T1036 | Disfraces | Los directorios y archivos de malware se denominan software o empresas legítimas o similares. | |
| T1027 | Archivos o información ofuscados | El malware está muy ofuscado y se entrega en forma codificada en base64. | |
| T1117 | Regsvr32 | los regsvr32 La utilidad se utiliza para ejecutar componentes de malware. | |
| T1085 | Rundll32 | los rundll32 La utilidad se utiliza para ejecutar componentes de malware. | |
| T1078 | Cuentas Validas | Adversary utiliza credenciales comprometidas para iniciar sesión en otros sistemas. | |
| T1220 | Procesamiento de guiones XSL | WMIC se utiliza para interpretar scripts XSL remotos. | |
| Acceso de credenciales | T1110 | Fuerza bruta | Intentos adversarios de cuentas del sistema de fuerza bruta. |
| Descubrimiento | T1087 | Descubrimiento de cuenta | El adversario consulta al servidor AD para obtener cuentas del sistema. |
| T1012 | Registro de consultas | El malware tiene la capacidad de consultar el registro para obtener información como el nombre del producto de Windows y el nombre de la CPU. | |
| T1018 | Descubrimiento remoto del sistema | El adversario escanea subredes IP para obtener una lista de otras máquinas. | |
| T1082 | Descubrimiento de información del sistema | El malware tiene la capacidad de recopilar información como el nombre del producto de Windows, el nombre de la CPU, el nombre de usuario, etc. | |
| Colección | T1005 | Datos del sistema local | Adversary recopila datos confidenciales e intenta cargarlos utilizando el cliente de Dropbox CLI. |
| T1114 | Recolección de correo electrónico | El adversario tiene acceso al correo electrónico de una víctima y puede utilizarlo para un ataque de compromiso de correo electrónico comercial | |
| Comando y control | T1071 | Protocolo de capa de aplicación estándar | El malware usa el protocolo HTTPS. |
| Exfiltración | T1002 | Datos comprimidos | RAR comprime los datos extraídos. |
| T1048 | Exfiltración sobre protocolo alternativo | Los datos extraídos se cargan en Dropbox utilizando su cliente CLI. | |
| T1537 | Transferir datos a la cuenta de la nube | Los datos extraídos se cargan en Dropbox. |
