Operación Spalax: Ataques de malware dirigidos en Colombia


Investigadores de ESET descubren ataques contra instituciones del gobierno colombiano y empresas privadas, especialmente de las industrias energética y metalúrgica

En 2020, ESET vio varios ataques dirigidos exclusivamente a entidades colombianas. Estos ataques aún están en curso al momento de escribir este artículo y se centran tanto en instituciones gubernamentales como en empresas privadas. Para estos últimos, los sectores más focalizados son el energético y el metalúrgico. Los atacantes confían en el uso de troyanos de acceso remoto, muy probablemente para espiar a sus víctimas. Tienen una gran infraestructura de red para comando y control: ESET observó al menos 24 direcciones IP diferentes en uso en la segunda mitad de 2020. Estos probablemente son dispositivos comprometidos que actúan como proxies para sus servidores C&C. Esto, combinado con el uso de servicios DNS dinámicos, significa que su infraestructura nunca se queda quieta. Hemos visto al menos 70 nombres de dominio activos en este período de tiempo y registran nuevos de forma regular.

Los atacantes

Los ataques que vimos en 2020 comparten algunos TTP con informes anteriores sobre grupos que apuntan a Colombia, pero también difieren en muchos aspectos, lo que dificulta la atribución.

Uno de esos informes fue publicado en febrero de 2019 por Investigadores de QiAnXin. Las operaciones descritas en esa entrada de blog están conectadas a un grupo APT activo desde al menos abril de 2018. Hemos encontrado algunas similitudes entre esos ataques y los que describimos en este artículo:

  • Vimos una muestra maliciosa incluida en los IoC del informe de QiAnXin y una muestra de la nueva campaña en la misma organización gubernamental. Estos archivos tienen menos de una docena de avistamientos cada uno.
  • Algunos de los correos electrónicos de phishing de la campaña actual se enviaron desde direcciones IP correspondientes a un rango que pertenece a Powerhouse Management, un servicio VPN. Se utilizó el mismo rango de direcciones IP para los correos electrónicos enviados en la campaña anterior.
  • Los correos electrónicos de phishing tienen temas similares y pretenden provenir de algunas de las mismas entidades, por ejemplo, la Fiscalía General (Fiscalía General de la Nación) o la Dirección Nacional de Impuestos y Aduanas (DIAN).
  • Algunos de los servidores de C&C en Operation Spalax usan linkpc.net y publicvm.com subdominios, junto con direcciones IP que pertenecen a Powerhouse Management. Esto también sucedió en la campaña anterior.

Sin embargo, existen diferencias en los archivos adjuntos utilizados para los correos electrónicos de phishing, los troyanos de acceso remoto (RAT) utilizados y en la mayor parte de la infraestructura de C&C del operador.

También hay este informe de Trend Micro, de julio de 2019. Existen similitudes entre los correos electrónicos de phishing y partes de la infraestructura de red en esa campaña y la que describimos aquí. Los ataques descritos en ese artículo estaban relacionados con el ciberdelito, no con el espionaje. Si bien no hemos visto ninguna carga útil entregada por los atacantes que no sean las RAT, algunos de los objetivos de la campaña actual (como una agencia de lotería) no tienen mucho sentido para las actividades de espionaje.

Estos actores de amenazas muestran un uso perfecto del idioma español en los correos electrónicos que envían, solo se dirigen a entidades colombianas y usan malware prefabricado y no desarrollan ninguno por sí mismos.

Resumen del ataque

Los objetivos se abordan con correos electrónicos que conducen a la descarga de archivos maliciosos. En la mayoría de los casos, estos correos electrónicos tienen un documento PDF adjunto, que contiene un enlace en el que el usuario debe hacer clic para descargar el malware. Los archivos descargados son archivos RAR regulares que tienen un archivo ejecutable en su interior. Estos archivos se alojan en servicios de alojamiento de archivos legítimos, como OneDrive o MediaFire. El objetivo tiene que extraer manualmente el archivo y ejecutarlo para que se ejecute el malware.

Hemos encontrado una variedad de empaquetadores utilizados para estos ejecutables, pero su propósito siempre es tener un troyano de acceso remoto ejecutándose en la computadora víctima, generalmente descifrando la carga útil e inyectándola en procesos legítimos. En la Figura 1 se muestra una descripción general de un ataque típico. Hemos visto a los atacantes utilizar tres RAT diferentes: Remcos, njRAT y AsyncRAT.

Figura 1. Descripción general del ataque

Correos electrónicos de phishing

Los atacantes utilizan varios temas para sus correos electrónicos, pero en la mayoría de los casos no están especialmente diseñados para sus víctimas. Por el contrario, la mayoría de estos correos electrónicos tienen temas genéricos que podrían reutilizarse para diferentes objetivos.

Encontramos correos electrónicos de phishing con estos temas:

  • Una notificación sobre una infracción de conducción
  • Una notificación para tomar una prueba COVID-19 obligatoria
  • Una notificación para asistir a una audiencia judicial
  • Una investigación abierta contra el destinatario por malversación de fondos públicos
  • Una notificación de un embargo de cuentas bancarias.

El correo electrónico que se muestra en la Figura 2 pretende ser una notificación sobre una infracción de manejo por un valor de alrededor de US $ 250. Se adjunta un archivo PDF que promete una foto de la infracción, así como información sobre la hora y el lugar del incidente. Se ha falsificado al remitente para que parezca que el correo electrónico proviene de SIMIT (sistema de pago de infracciones de tránsito en Colombia).

Figura 2. Ejemplo de un correo electrónico de phishing

El archivo pdf solo contiene un enlace externo que se ha acortado con el servicio acortaurl, como se muestra en la Figura 3. La URL acortada es: https: // acortaurl (.) com / httpsbogotagovcohttpsbogotagovcohttpsbogotagovco.

Después de expandir el enlace abreviado, se descarga un archivo RAR desde: http: //www.mediafire (.) com / file / wbqg7dt604uwgza / SIMITcomparendoenlineasimitnumeroreferenciaComparendo2475569.uue / file.

Figura 3. PDF adjunto al correo electrónico de phishing

La Figura 4 muestra parte del encabezado del correo electrónico. El remitente falsificado es notificacionesmultas@simit.org (.) co pero podemos ver que el remitente real es la dirección IP 128.90.108 (.) 177, que está conectado con el nombre de dominio julian.linkpc (.) net, como se encuentra en los datos históricos de DNS. No es una coincidencia que se use el mismo nombre de dominio para contactar al servidor C&C en la muestra maliciosa contenida en el archivo RAR. Esta dirección IP pertenece a Powerhouse Management, un proveedor de servicios VPN.

Figura 4. Encabezado de un correo electrónico de phishing

En correos electrónicos más recientes, el enlace abreviado en el archivo PDF se resuelve como https://bogota.gov (.) co (un sitio legítimo) cuando se visita desde fuera de Colombia.

Además, en algunos casos Obtener una respuesta se ha utilizado el servicio para enviar el correo electrónico. Esto probablemente se hace para rastrear si la víctima ha hecho clic en el enlace. En estos casos no hay ningún archivo adjunto: un enlace a la plataforma GetResponse conduce a la descarga de malware.

Puede ver los otros correos electrónicos en la siguiente galería (haga clic para ampliar):

Figuras 5 a 13. Varios correos electrónicos de phishing y sus archivos adjuntos

Artefactos maliciosos

Goteros

Los archivos ejecutables contenidos en archivos comprimidos que se descargan a través de los correos electrónicos de phishing son responsables de descifrar y ejecutar troyanos de acceso remoto en una computadora victimizada. En las siguientes secciones, describimos los distintos goteros que hemos visto.

Instaladores de NSIS

El cuentagotas más utilizado por estos atacantes viene como un archivo que se compiló con NSIS (Sistema de instalación programable de Nullsoft). Para intentar evadir la detección, este instalador contiene varios archivos benignos que se escriben en el disco (no forman parte de los binarios de NSIS y el instalador no los usa en absoluto) y dos archivos que son maliciosos: un ejecutable RAT cifrado y un DLL archivo que descifra y ejecuta el troyano. En la Figura 14 se muestra un script NSIS para uno de estos instaladores. Los archivos benignos suelen ser diferentes en los diferentes droppers utilizados por los atacantes.

Figura 14. Script NSIS para uno de los cuentagotas; los archivos maliciosos están resaltados

Los archivos Estúpido (RAT cifrado) y ShoonCataclysm.dll (DLL de cuentagotas) se escriben en la misma carpeta y la DLL se ejecuta con rundll32.exe utilizando Uboats como su argumento. Los nombres de estos archivos cambian entre ejecutables. Algunos ejemplos más son:

  • rundll32.exe Blackface, Respiración
  • rundll32.exe OximeLied, rehén
  • rundll32.exe Conservatorio, Piggins

Usamos el nombre de los archivos benignos contenidos en algunos de estos instaladores de NSIS para encontrar más instaladores maliciosos utilizados por los operadores de Spalax. La Tabla 1 enumera los detalles de tres instaladores de NSIS diferentes utilizados por los atacantes que contenían los mismos archivos benignos. La única diferencia entre ellos era el archivo cifrado, que apuntaba a diferentes servidores C&C.

Tabla 1. Instaladores de NSIS con archivos benignos idénticos utilizados por este grupo

SHA-1 C&C
6E81343018136B271D1F95DB536CA6B2FD1DFCD6 marzoorganigrama20202020.duckdns (.) org
7EDB738018E0E91C257A6FC94BDBA50DAF899F90 ruthy.qdp6fj1uji (.) xyz
812A407516F9712C80B70A14D6CDF282C88938C1 dominoduck2098.duckdns (.) org

Sin embargo, también encontramos instaladores de NSIS maliciosos utilizados por otros grupos no relacionados que tenían los mismos archivos benignos que los utilizados por este grupo. La Figura 15 enumera los archivos contenidos en dos instaladores NSIS diferentes. El de la izquierda (SHA-1: 3AC39B5944019244E7E33999A2816304558FB1E8) es un ejecutable utilizado por este grupo y el de la derecha (SHA-1: 6758741212F7AA2B77C42B2A2DE377D97154F860) no está relacionado. Los hashes SHA-1 para todos los archivos benignos son los mismos (y también los nombres de archivo) e incluso el DLL malicioso es el mismo. Sin embargo, el archivo cifrado Estúpido es diferente.

Figura 15. Archivos contenidos en cuentagotas NSIS de campañas no relacionadas

Esto significa que estos instaladores se generaron con el mismo constructor, pero por diferentes actores. El constructor probablemente se ofrece en foros clandestinos e incluye estos archivos benignos. Esto, junto con un análisis completo del gotero, fue descrito a principios de este año por Sophos en su Artículo de RATicate. También hay un artículo de Lab52 describiendo uno de los instaladores de NSIS utilizados en la Operación Spalax, que atribuyen a APT-C-36.

En la gran mayoría de los casos, estos droppers NSIS descifran y ejecutan Remcos RAT, pero también hemos visto casos en los que la carga útil es njRAT. Estos se describirán más adelante en el Cargas útiles sección.

Empacadores del agente Tesla

Hemos visto varios goteros que son diferentes variantes de un empaquetador que usa esteganografía y se sabe que se usa en Muestras del agente Tesla. Curiosamente, los atacantes utilizan varias cargas útiles, pero ninguno de ellos es el Agente Tesla. Aunque existen diferencias en todas las muestras con respecto a las capas de cifrado, ofuscación o antianálisis utilizadas, podemos resumir las acciones realizadas por los cuentagotas de la siguiente manera:

  • El cuentagotas lee una cadena (o datos binarios) de su sección de recursos y los descifra. El resultado es una DLL que se cargará y se llamará en el mismo espacio de direcciones.
  • La DLL lee píxeles de una imagen contenida en el primer binario y descifra otro ejecutable. Éste se carga y ejecuta en el mismo espacio de direcciones.
  • Este nuevo ejecutable está empaquetado con CyaX. Lee datos de su propia sección de recursos y descifra una carga útil. Hay controles anti-análisis; si pasan, la carga útil puede inyectarse en un nuevo proceso o cargarse en el mismo espacio de proceso.

El cuentagotas inicial está codificado en C #. En todas las muestras que hemos visto, el código del cuentagotas se escondía en un código no malicioso, probablemente copiado de otras aplicaciones. El código benigno no se ejecuta; está ahí para evadir la detección.

En la Figura 16 vemos un ejemplo de los recursos contenidos en uno de estos cuentagotas. El texto en verde (solo mostrado parcialmente) es una cadena que será descifrada para generar la siguiente etapa a ejecutar y la imagen que vemos debajo del texto verde será descifrada por el malware de segunda etapa. El algoritmo utilizado para el descifrado de la cadena varía de una muestra a otra, pero a veces el recurso es solo un binario sin cifrar.

Figura 16. Recursos contenidos en el empaquetador del Agente Tesla

El método que se ejecutará en la DLL siempre se denomina Empezar juego o Iniciar la actualización. Lee la imagen del primer ejecutable y almacena cada píxel como tres números de acuerdo con sus componentes rojo, verde y azul. Luego, descifra la matriz realizando una operación XOR de un solo byte, pasando por la clave. Después de eso, la matriz se descomprime y ejecuta con gzip. Parte del código para las operaciones mencionadas se muestra en la Figura 17.

Figura 17. Código para descifrar y ejecutar el malware de tercera etapa

La tercera etapa se encarga de descifrar y ejecutar la carga útil. El empaquetador .NET conocido como CyaX se utiliza para realizar esta tarea. La versión del empaquetador utilizada por los atacantes es la v4, aunque en algunos casos utilizaron la v2. La Figura 18 muestra la configuración codificada para una de sus muestras.

Figura 18. Configuración codificada en el empaquetador CyaX-Sharp

El descifrado de la carga útil se basa en operaciones XOR y es el mismo que el algoritmo mostrado anteriormente, pero con un paso adicional: la carga útil se XOR con sus primeros 16 bytes como clave. Una vez que se descifra, se puede ejecutar en el mismo espacio de direcciones o inyectar en un proceso diferente, según la configuración.

Este empaquetador admite varias operaciones de anti-análisis, como deshabilitar Windows Defender, verificar productos de seguridad y detectar entornos virtuales y sandboxes.

La mayoría de las cargas útiles de estos droppers son njRAT, pero también hemos visto AsyncRAT. Vimos Remcos en uno de estos goteros, pero el código en el empaque era diferente. Parte de la rutina principal para la inyección de la carga útil se muestra en la Figura 19.

Figura 19. Código para la última etapa de un gotero

Hemos notado que la configuración está contenida en diferentes variables. Valores como # startup_method # o #enlazar# significa que la configuración no se estableció para esas opciones. La carga útil se lee de un recurso cifrado y se realiza XOR con una contraseña codificada. El código de shell que realiza la inyección está contenido en una matriz y se carga dinámicamente. No existen controles anti-análisis ni mecanismos de protección.

Goteros AutoIt

Para algunos de sus goteros, los atacantes han utilizado un empaquetador AutoIt que viene muy ofuscado. A diferencia de los casos descritos anteriormente, en este caso el malware de primera etapa realiza la inyección y ejecución de la carga útil. Lo hace usando dos códigos de shell contenidos en el script AutoIt compilado: uno para descifrar la carga útil y otro para inyectarlo en algún proceso.

La carga útil se construye concatenando varias cadenas, como se muestra en la Figura 20. Al inspeccionar los dos últimos caracteres, podemos ver que la cadena está en orden inverso.

Figura 20. Concatenación de la carga útil

La rutina que descifra la carga útil contiene un pequeño código de shell que se carga con VirtualAlloc y ejecutado. El descifrado realizado por el shellcode se basa en un algoritmo XOR de un solo byte. El código que carga el shellcode se muestra en la Figura 21.

Figura 21. Ejecución de shellcode para descifrar la carga útil

Podemos ver que el shellcode se almacena cifrado. De hecho, antes de desofuscar el script, todas las cadenas se cifraron con este mismo algoritmo basado en XOR. La rutina de descifrado utilizada se muestra en la Figura 22.

Figura 22. Rutina para descifrar cadenas

Una vez que se descifra la carga útil, se utiliza un shellcode con código RunPE para realizar la inyección. El shellcode se concatena de la misma manera que la carga útil y se ejecuta como el shellcode anterior.

Para lograr la persistencia, se crea un script VBS para ejecutar una copia del cuentagotas (que se renombra a aadauthhelper.exe). Luego, se crea un archivo de acceso directo a Internet (.url) en la carpeta Inicio para ejecutar el script. El código que genera estos archivos se muestra en la Figura 23.

Figura 23. Código de persistencia en cuentagotas de AutoIt

El cuentagotas contiene código que no se ejecuta. Puede:

  • Verifique VMware y VirtualBox
  • Eliminar el ejecutable del cuentagotas
  • Ejecute el gotero continuamente
  • Descarga y ejecuta archivos
  • Terminar si se encuentra una ventana de "Administrador de programas"
  • Leer un binario de su sección de recursos, escribirlo en el disco y ejecutarlo
  • Modificar el descriptor de seguridad (ACL) para el proceso inyectado

Para más información, ver este análisis de Morphisec donde se usaron goteros AutoIt similares con shellcode Frenchy.

Cargas útiles

Las cargas útiles utilizadas en la Operación Spalax son troyanos de acceso remoto. Estos brindan varias capacidades no solo para el control remoto, sino también para espiar a los objetivos: registro de teclas, captura de pantalla, secuestro del portapapeles, exfiltración de archivos y la capacidad de descargar y ejecutar otro malware, por nombrar algunos.

Estos RAT no fueron desarrollados por los atacantes. Son:

  • Remcos, vendido en línea
  • njRAT, filtrado en foros clandestinos
  • AsyncRAT, código abierto

No existe una relación de uno a uno entre los droppers y las cargas útiles, ya que hemos visto diferentes tipos de droppers que ejecutan la misma carga útil y también un solo tipo de dropper conectado a diferentes cargas útiles. Sin embargo, podemos afirmar que los goteros NSIS eliminan principalmente Remcos, mientras que los empacadores Agent Tesla y AutoIt generalmente descartan njRAT.

Remcos es una herramienta de vigilancia y control remoto. Se puede comprar con una licencia de seis meses que incluye actualizaciones y soporte. También hay una versión gratuita con funcionalidades limitadas. Si bien la herramienta se puede utilizar con fines legítimos, los delincuentes también la utilizan para espiar a sus víctimas.

La mayoría de las muestras de Remcos utilizadas por este grupo son v2.5.0 Pro, pero también hemos visto todas las versiones que se lanzaron desde septiembre de 2019, lo que puede indicar que los atacantes compraron una licencia después de ese mes y han estado utilizando activamente las diferentes actualizaciones que que recibieron durante su período de licencia de seis meses.

Con respecto a njRAT, este grupo usa principalmente v0.7.3 (también conocida como la versión Lime). Esa versión incluye funcionalidades como DDoS o cifrado de ransomware, pero los atacantes solo utilizan funciones de espionaje como el registro de teclas. Para obtener una descripción más completa de esta versión, consulte este artículo de 2018 de Zscaler.

Otra versión de njRAT utilizada por los atacantes es la v0.7d (la "edición verde"), que es una versión más simple centrada en las capacidades de espionaje: registro de teclas, captura de pantalla, acceso a cámara web y micrófono, carga y descarga de archivos y ejecución de otros binarios.

El último tipo de carga útil que mencionaremos es AsyncRAT. En todos los casos hemos observado que se ha utilizado v0.5.7B, que se puede encontrar en GitHub. Las funcionalidades de esta RAT son similares a las de las RAT mencionadas anteriormente, que permiten a los atacantes espiar a sus víctimas.

Infraestructura de red

Durante nuestra investigación, vimos aproximadamente 70 nombres de dominio diferentes utilizados para C&C en la segunda mitad de 2020. Esto equivale a al menos 24 direcciones IP. Al girar en datos de DNS pasivos para direcciones IP y nombres de dominio conocidos, descubrimos que los atacantes han utilizado al menos 160 nombres de dominio adicionales desde 2019. Esto corresponde a al menos 40 direcciones IP más.

Se las han arreglado para operar a tal escala mediante el uso de servicios de DNS dinámico. Esto significa que tienen un grupo de nombres de dominio (y también registran nuevos de forma regular) que se asignan dinámicamente a direcciones IP. De esta manera, un nombre de dominio se puede relacionar con varias direcciones IP durante un período de tiempo y las direcciones IP se pueden relacionar con muchos nombres de dominio. La mayoría de los nombres de dominio que hemos visto estaban registrados con DNS de pato, pero también han usado Salida de DNS para publicvm.com y linkpc.net subdominios.

En cuanto a las direcciones IP, casi todas están en Colombia. La mayoría son direcciones IP relacionadas con ISP colombianos: el 60% son Telmex y el 30% EPM Telecomunicaciones (Tigo). Como es muy poco probable que los delincuentes posean tantas direcciones IP residenciales, es posible que utilicen algunas víctimas como proxies o algunos dispositivos vulnerables para reenviar la comunicación a sus servidores reales de C&C.

Finalmente, un subconjunto de las direcciones IP pertenece a Powerhouse Management, un proveedor de servicios VPN. Se utilizan junto con los subdominios de salida de DNS. Se pueden encontrar hallazgos similares en este análisis de Lab52.

Conclusión

Los ataques de malware dirigido contra entidades colombianas se han ampliado desde las campañas que se describieron el año pasado. El panorama ha cambiado de una campaña que tenía un puñado de servidores C&C y nombres de dominio a una campaña con una infraestructura muy grande y que cambia rápidamente con cientos de nombres de dominio utilizados desde 2019. Aunque los TTP han visto cambios, no solo en la forma en que el malware es entregados en correos electrónicos de phishing pero también en las RAT utilizadas, un aspecto que permanece igual es que los ataques aún están dirigidos y enfocados en entidades colombianas, tanto en el sector público como en el privado. Cabe esperar que estos ataques continúen en la región durante mucho tiempo, por lo que seguiremos monitoreando estas actividades.

Se puede encontrar una lista completa de indicadores de compromiso (IoC) y ejemplos en nuestro repositorio de GitHub.

Para cualquier consulta, o para hacer presentaciones de muestra relacionadas con el tema, contáctenos en amenazaintel@eset.com.

Técnicas MITRE ATT & CK

Nota: esta tabla fue construida usando versión 7 del marco MITRE ATT & CK.

Táctica CARNÉ DE IDENTIDAD Nombre Descripción
Acceso inicial T1566.001 Phishing: archivo adjunto de spearphishing Los atacantes han utilizado correos electrónicos con archivos PDF o RTF adjuntos que contienen un enlace para descargar malware.
T1566.002 Phishing: enlace de spearphishing Los atacantes han utilizado correos electrónicos con un enlace para descargar malware.
Ejecución T1059.005 Intérprete de comandos y secuencias de comandos: Visual Basic Los atacantes han utilizado goteros que descargan archivos VBS con comandos para lograr la persistencia.
T1059.003 Intérprete de comandos y secuencias de comandos: Shell de comandos de Windows Los atacantes han utilizado RAT que pueden lanzar un shell de comandos para ejecutar comandos.
T1106 API nativa Los atacantes han utilizado llamadas API en sus cuentagotas, como CreateProcessA, WriteProcessMemory y Reanudar hilo, para cargar y ejecutar shellcode en la memoria.
T1204.001 Ejecución del usuario: enlace malicioso Los atacantes han intentado que los usuarios abran un enlace malicioso que conduce a la descarga de malware.
T1204.002 Ejecución del usuario: archivo malicioso Los atacantes han intentado que los usuarios ejecuten archivos maliciosos disfrazados de documentos.
Persistencia T1547.001 Scripts de inicialización de inicio o inicio de sesión: claves de ejecución del registro / carpeta de inicio Los atacantes han utilizado RAT que persisten al crear una clave de registro Ejecutar o al crear una copia del malware en la carpeta Inicio.
T1053.005 Tarea / Trabajo programado: Tarea programada Los atacantes han utilizado tareas programadas en sus droppers y payloads para lograr la persistencia.
Escalada de privilegios T1548.002 Abuso del mecanismo de control de elevación: omisión del control de acceso del usuario Los atacantes han utilizado RAT que implementan la omisión de UAC.
Evasión de defensa T1140 Desofuscar / decodificar archivos o información Los atacantes han utilizado varios algoritmos de cifrado en sus cuentagotas para ocultar cadenas y cargas útiles.
T1562.001 Impedir defensas: deshabilitar o modificar herramientas Los atacantes han utilizado el empaquetador CyaX, que puede desactivar Windows Defender.
T1070.004 Eliminación de indicadores en el host: eliminación de archivos Los atacantes han utilizado malware que se borra del sistema.
T1112 Modificar registro Los atacantes han utilizado RAT que permiten el acceso completo al Registro, por ejemplo, para borrar los rastros de sus actividades.
T1027.002 Archivos o información ofuscados: paquete de software Los atacantes han utilizado varias capas de empaquetadores para ocultar sus goteros.
T1027.003 Archivos o información ofuscados: esteganografía Los atacantes han utilizado empaquetadores que leen datos de píxeles de imágenes contenidas en las secciones de recursos de los archivos PE y construyen la siguiente capa de ejecución a partir de los datos.
T1055.002 Inyección de proceso: inyección ejecutable portátil Los atacantes han utilizado goteros que inyectan la carga útil en procesos legítimos como RegAsm.exe, MSBuild.exe y más.
T1497.001 Virtualización / Evasión de espacio aislado: comprobaciones del sistema Los atacantes han utilizado droppers y payloads que realizan comprobaciones de anti-análisis para detectar entornos virtuales y herramientas de análisis.
Acceso a credenciales T1555.003 Credenciales de almacenes de contraseñas: Credenciales de navegadores web Los atacantes han utilizado varios RAT con módulos que roban contraseñas guardadas en los navegadores web de las víctimas.
Descubrimiento T1010 Descubrimiento de la ventana de la aplicación Los atacantes han utilizado goteros y RAT que recopilan información sobre las ventanas abiertas.
T1083 Descubrimiento de archivos y directorios Los atacantes han utilizado varios RAT que pueden explorar sistemas de archivos.
T1120 Descubrimiento de dispositivos periféricos Los atacantes han utilizado njRAT, que intenta detectar si el sistema de la víctima tiene una cámara durante la infección inicial.
T1057 Descubrimiento de procesos Los atacantes han utilizado varios RAT con módulos que muestran los procesos en ejecución.
T1012 Registro de consultas Los atacantes han utilizado varios RAT que pueden leer el Registro.
T1018 Descubrimiento de sistema remoto Los atacantes han utilizado njRAT, que puede identificar hosts remotos en redes conectadas.
T1518.001 Descubrimiento de software: descubrimiento de software de seguridad Los atacantes han utilizado goteros que verifican el software de seguridad presente en la computadora de la víctima.
T1082 Descubrimiento de información del sistema Los atacantes han utilizado varias RAT que recopilan información del sistema, como el nombre de la computadora y el sistema operativo, durante la infección inicial.
T1016 Descubrimiento de la configuración de la red del sistema Los atacantes han utilizado varios RAT que pueden recopilar la dirección IP de la máquina víctima.
T1049 Descubrimiento de conexiones de red del sistema Los atacantes han utilizado varios RAT que pueden enumerar las conexiones de red en la computadora de la víctima.
T1033 Descubrimiento de propietario / usuario del sistema Los atacantes han utilizado varias RAT que recuperan el nombre de usuario actual durante la infección inicial.
T1007 Descubrimiento de servicios del sistema Los atacantes han utilizado varias RAT que tienen módulos para administrar servicios en el sistema.
T1021.001 Servicios remotos: Protocolo de escritorio remoto Los atacantes han utilizado varias RAT que pueden realizar acceso a escritorio remoto.
T1091 Replicación a través de medios extraíbles Los atacantes han utilizado njRAT, que se puede configurar para propagarse mediante unidades extraíbles.
Colección T1123 Captura de audio Los atacantes han utilizado varios RAT que pueden capturar audio desde el micrófono del sistema.
T1115 Datos del portapapeles Los atacantes han utilizado varias RAT que pueden acceder y modificar datos desde el portapapeles.
T1005 Datos del sistema local Los atacantes han utilizado varias RAT que pueden acceder al sistema de archivos local y cargar, descargar o eliminar archivos.
T1056.001 Captura de entrada: registro de teclas Los atacantes han utilizado varias RAT que tienen capacidades de registro de teclas.
T1113 La captura de pantalla Los atacantes han utilizado varios RAT que pueden capturar capturas de pantalla de las máquinas víctimas.
T1125 Captura de video Los atacantes han utilizado varios RAT que pueden acceder a la cámara web de la víctima.
Comando y control T1132.001 Codificación de datos: codificación estándar Los atacantes han utilizado njRAT, que utiliza codificación base64 para el tráfico C&C.
T1573.001 Canal cifrado: criptografía simétrica Los atacantes han utilizado Remcos RAT, que utiliza RC4 para cifrar las comunicaciones C&C.
T1095 Protocolo de capa que no es de aplicación Los atacantes han utilizado varias RAT que utilizan TCP para las comunicaciones C&C.
T1571 Puerto no estándar Los atacantes han utilizado varias RAT que se comunican a través de diferentes números de puerto.
Exfiltración T1041 Exfiltración sobre canal C2 Los atacantes han utilizado varias RAT que exfiltran datos por el mismo canal utilizado para C&C.





Enlace a la noticia original