Bandidos en general: una campaña de espionaje en América Latina


ESET Research descubre una campaña maliciosa activa que utiliza nuevas versiones de malware antiguo, Bandook, para espiar a sus víctimas

En 2021 detectamos una campaña en curso dirigida a redes corporativas en países de habla hispana, con el 90% de las detecciones en Venezuela. Al comparar el malware utilizado en esta campaña con lo que se documentó anteriormente, encontramos nuevas funciones y cambios en este malware, conocido como Bandook. También encontramos que esta campaña dirigida a Venezuela, a pesar de estar activa desde al menos 2015, de alguna manera ha permanecido indocumentada. Dado el malware utilizado y la configuración regional objetivo, elegimos nombrar esta campaña Bandidos.

Bandook es un antiguo troyano de acceso remoto: hay referencias a que está disponible en línea desde 2005, aunque su uso por grupos organizados no se documentó hasta 2016. El informe publicado ese año por EFF, Operación Manul, describe el uso de Bandook para atacar a periodistas y disidentes en Europa. Luego, en 2018, Lookout publicó su investigación descubriendo otras campañas de espionaje que tenían diferentes objetivos pero usaban la misma infraestructura. Le dieron el nombre Caracal oscuro al grupo responsable de los ataques. Finalmente, Informe de Check Point en 2020 mostró que los atacantes comenzaron a usar ejecutables firmados para atacar muchas verticales en varios países.

Informes anteriores han mencionado que los desarrolladores de Bandook podrían ser desarrolladores contratados (también conocidos como "malware como servicio"), lo que tiene sentido dadas las diversas campañas con diferentes objetivos que se han visto a lo largo de los años. Sin embargo, debemos señalar que en 2021 solo hemos visto una campaña activa: la dirigida a los países de habla hispana que documentamos aquí.

Aunque hemos visto más de 200 detecciones de los lanzadores de malware en Venezuela en 2021, no hemos identificado una vertical específica objetivo de esta campaña maliciosa. Según nuestros datos de telemetría, los principales intereses de los atacantes son las redes corporativas en Venezuela; algunos en empresas manufactureras, otros en construcción, atención médica, servicios de software e incluso minoristas. Dadas las capacidades del malware y el tipo de información que se filtra, parece que el objetivo principal de estos Bandidos es espiar a sus víctimas. Sus objetivos y su método para abordarlos es más similar a las operaciones de ciberdelito que a las actividades de la APT, como la Operación Manul.

Resumen del ataque

Los correos electrónicos maliciosos con un archivo PDF adjunto se envían a los destinos. El archivo PDF contiene un enlace para descargar un archivo comprimido y la contraseña para extraerlo. Dentro del archivo hay un archivo ejecutable: un cuentagotas que inyecta Bandook en un proceso de Internet Explorer. La Figura 1 proporciona una descripción general de esta cadena de ataque.

Figura 1. Descripción general de un ataque típico

Figura 1. Descripción general de un ataque típico

Los correos electrónicos que contienen estos archivos adjuntos suelen ser cortos; un ejemplo se muestra en la Figura 2. El número de teléfono en la parte inferior del mensaje es un número de teléfono móvil en Venezuela, aunque es poco probable que esté relacionado con los atacantes.

Figura 2. Ejemplo de correo electrónico malicioso

Figura 2. Ejemplo de correo electrónico malicioso

Los atacantes utilizan acortadores de URL como Rebrandly o Bitly en sus archivos PDF adjuntos. Las URL abreviadas redirigen a servicios de almacenamiento en la nube como Almacenamiento en la nube de Google, ArañaRoble, o pCloud, desde donde se descarga el malware.

La Figura 3 y la Figura 4 son ejemplos de archivos PDF utilizados en esta campaña. Las imágenes utilizadas en los PDF son imágenes de archivo disponibles en línea.

Figura 3. Ejemplo de un archivo PDF malicioso

Figura 4. Otro archivo PDF utilizado para ingeniería social

El contenido de los archivos PDF es genérico y se ha utilizado con varios nombres de archivo que cambian entre destinos. La contraseña del archivo descargado es 123456.

Para obtener una lista de las URL utilizadas para descargar el malware, consulte la sección Indicadores de compromiso (IoC).

Cuentagotas

Bandook es un malware híbrido Delphi / C ++. El cuentagotas está codificado en Delphi y es fácilmente reconocible porque almacena la carga útil cifrada y codificada en base64 en la sección de recursos del archivo. El objetivo principal del cuentagotas es decodificar, descifrar y ejecutar la carga útil y asegurarse de que el malware persista en un sistema comprometido. El algoritmo de cifrado fue CAST-256 en muestras de años anteriores de esta campaña, pero cambió a GOST en 2021.

Cuando se ejecuta el cuentagotas, crea cuatro instancias de iexplore.exe, donde la carga útil se inyectará mediante el proceso de vaciado. Luego se crean cuatro entradas en el registro de Windows en HKCU Software Microsoft Windows CurrentVersion. Los nombres de las claves de registro se basan en el ID de proceso (PID) de cada uno de estos procesos recién creados y los valores están codificados en base64 y contienen la ruta al cuentagotas, un número para identificar diferentes acciones, que se explicarán más adelante, y otro valor que no se utiliza en las muestras que analizamos. Las claves creadas se muestran en la Figura 5, junto con un ejemplo de un valor decodificado.

Figura 5. Claves de registro creadas por el cuentagotas con un ejemplo de un valor almacenado (decodificado)

Las muestras de otras campañas siguen la misma lógica, pero utilizan otros algoritmos de cifrado.

Carga útil

Cuando la carga útil se inyecta dentro del iexplore.exe procesos, comenzará a cargar variables globales utilizadas para varios propósitos:

  • Nombres para mutexes
  • Nombres para claves de registro de Windows
  • URL utilizadas para:
    • Comunicación C&C
    • Descarga de archivos DLL maliciosos
    • Parámetros de algunas funciones DLL
  • Nombres de archivo, por ejemplo para persistencia
  • Variables utilizadas como parámetros para algunas funciones DLL
  • Rutas de archivos descargados
  • Fecha de ejecución de la carga útil

Una vez que el payload haya terminado de cargar las variables globales, continuará su ejecución obteniendo el PID de su proceso inyectado. Este PID se utiliza para obtener los datos codificados en base64 creados por el cuentagotas, mencionado anteriormente. Una vez que se recuperan los datos, la carga útil los decodificará y obtendrá el identificador de acción (ver Figura 5) valor de él. Este valor indica la acción que debe realizar.

Dependiendo del valor obtenido, la carga útil es capaz de realizar cuatro acciones diferentes.

Si el valor es 0:

  • Crea una clave de registro de Windows con el nombre mep
  • Intenta descargar dos DLL de una URL en las variables globales
  • Intenta cargar estas DLL en la memoria
  • Crea diferentes subprocesos para invocar algunas de las funciones de estas DLL
  • Inicia la comunicación activa con el servidor C&C

Si el valor es 1:

  • Establece la persistencia en la máquina de la víctima; esto se explicará en el Registro y persistencia sección.

Si el valor es 2:

  • Crea una clave de registro de Windows con el nombre api
  • Busca una de las DLL descargadas, denominada dec.dll; si existe, lo carga en la memoria y llama al método de exportación En eso, que crea cinco carpetas que se utilizan para diferentes propósitos; por ejemplo, guardar registros cifrados en la carpeta persistente de Bandook mencionada en el Registro y persistencia sección.

Si el valor es 3:

  • Crea una clave de registro con el nombre pim
  • Comprueba si la persistencia tuvo éxito; si no, establecerá persistencia en la carpeta mencionada en el Registro y persistencia sección.

La Figura 6 muestra una descompilación de este código de manejo de carga útil.

Figura 6. Lógica de payload para ejecutar diferentes acciones respecto al valor obtenido del registro

Se pueden descargar dos DLL desde la primera acción mencionada anteriormente o durante la comunicación con el servidor C&C, y se denominan dec.dll y dep.dll (el nombre interno del primero es capmodule.dll).

dec.dll tiene un conjunto de funciones que permiten espiar la máquina de la víctima. Algunas de estas funciones son capaces de eliminar una extensión maliciosa de Google Chrome y de robar información de una unidad USB. Entretanto, dep.dll, que no pudimos obtener, tiene un conjunto de funciones que parecen estar relacionadas con el manejo de archivos en varios formatos:

La Figura 7 muestra parte del código descompilado que se carga dec.dll en la memoria. La figura 8 muestra el código relacionado con dep.dll.

Figura 7. Carga dinámica de dec.dll en la memoria

Figura 8. Carga dinámica de dep.dll en la memoria

Registro y persistencia

La carga útil logra la persistencia en la máquina de la víctima al copiar el cuentagotas en una nueva carpeta, creada por la carga útil en una ruta de la forma:

%DATOS DE APLICACIÓN%.exe

Tanto el cuentagotas persistente como la carpeta usan el mismo nombre, que es una cadena aleatoria generada por la carga útil. La captura de pantalla de la Figura 9 muestra el valor de registro creado por la carga útil para mantener la persistencia.

Figura 9. Persistencia de malware en el registro

También hemos detectado otros valores creados por la carga útil en las claves de registro de Windows relacionados con su comportamiento, como: el nombre utilizado para la persistencia, un número aleatorio utilizado como ID para identificar la máquina de la víctima, posibles nombres de archivo (estos archivos pueden ser descargados por la carga útil o creado por sí mismo) y la fecha de infección, entre otras cosas.

La Tabla 1 contiene las entradas de registro creadas por la carga útil durante nuestro análisis, con una breve descripción de ellas.

Tabla 1. Entradas de registro creadas por una de las muestras de Bandook analizadas

Ruta de registro Clave Valor Descripción
HKCU Software der333f Ixaakiiumcicbcpspmof Cadena aleatoria utilizada para la persistencia
FDFfda 5/5/2021 Fecha de compromiso
NVhfhfjs Se usa para identificar la máquina de la víctima.
HKCU Software VBffhdfhf AMMY132 .exe Relacionado con el método de exportación EjecutarAMMMY de dec.dll
gn .exe Relacionado con un nuevo archivo descargado durante la descarga de las DLL, antes de la conexión al servidor C&C
idate 05.05.2021 Fecha de compromiso
mep 2608 ID de proceso de la carga útil utilizada para la comunicación con el servidor C&C
rno1 .exe Puede usarse para cambiar el nombre de un archivo descargado a través de la comunicación C&C
tvn .dce Relacionado con el método de exportación ExecuteTVNuevo de dec.dll
api 2716 ProcessID de una de las cargas útiles utilizadas para instalar las DLL externas
pim 2732 ProcessID de una de las cargas útiles que verifica la persistencia del malware
DRT3 1 Relacionado con el nombre de la exportación ChromeInject de dec.dll

Otras ubicaciones de registro que se pueden utilizar para lograr la persistencia en la máquina de la víctima son:

  • HKCU Software Microsoft Windows NT CurrentVersion Windows
  • HKCU Software Microsoft Windows NT CurrentVersion Winlogon

Red de comunicacion

La comunicación comienza obteniendo la dirección IP de un dominio (d2.ngobmc (.) com) ubicado en las variables globales y luego estableciendo una conexión TCP a esa dirección con un número de puerto de cuatro dígitos que cambia según la campaña. Una vez que la carga útil establece esta conexión, envía información básica desde la máquina de la víctima, como el nombre de la computadora, el nombre de usuario, la versión del sistema operativo, la fecha de infección y la versión del malware.

Después de eso, la carga útil mantendrá la comunicación activa con el servidor C&C, esperando que se ejecuten los comandos.

En muchos casos la información enviada al servidor C&C se va a cifrar utilizando el algoritmo AES en modo CFB con la clave HuZ82K83ad392jVBhr2Au383Pud82AuF, pero en otros casos la información se envía como texto sin cifrar.

El siguiente es un ejemplo de la información básica que se filtrará al servidor C&C, antes de que se cifre:

! O12HYV ~! 2870 ~! 0.0.0.0 ~! Computadora ~! Administrador ~! Diez ~! 0d 14h 2m ~! 0 ~! 5.2 ~! FB2021 ~! 0 ~! 0 ~! 0 ~! 0 ~! ~! 0 ~! 0– ~! Ninguno ~! 0 ~! 5/5/2021 ~!

De particular interés son los campos:

  • ! O12HYV: Valor codificado
  • 2870: ID de la víctima generado por el software malicioso
  • 0.0.0.0: Dirección IP de la víctima (valor falso por motivos de privacidad)
  • Ordenador: Nombre del computador
  • Administrador: Nombre de usuario
  • Diez: Versión del sistema operativo
  • 5.2: Versión de malware
  • FB2021: ID de campaña
  • 5/5/2021: Fecha de compromiso

La Figura 10 y la Figura 11 son capturas de pantalla de Wireshark que muestran dos ejemplos diferentes de transmisión encriptada y en texto claro de la información enviada al servidor C&C.

Figura 10. Captura de tráfico con información cifrada enviada al servidor C&C

Figura 11. Captura de tráfico con información de texto sin formato enviada al servidor C&C

Con respecto a los comandos que la carga útil es capaz de procesar, encontramos que esta muestra tiene 132 comandos, aunque algunos de estos tienen comportamientos muy similares. Estos comandos utilizan el siguiente patrón: @ – por ejemplo, @ 0001 – excepto por el * DJDSR ^ mando. Dependiendo del comando recibido, la carga útil es capaz de realizar las siguientes acciones:

  • Obtenga información de las unidades de transmisión de la víctima:
  • Muestra el contenido de un directorio específico:
  • Manipulación de archivos:
  • Toma capturas de pantalla
  • Controle el cursor en la máquina de la víctima:
    • Moverlo a una posición específica
    • Realizar clics izquierdo o derecho
  • Instale o desinstale las DLL maliciosas (dec.dll o dep.dll)
  • Cerrar algunas conexiones previamente abiertas por la carga útil
  • Elimina procesos o subprocesos en ejecución
  • Aparece un mensaje usando MessageBoxA
  • Envíe archivos al servidor C&C
  • Invocar funciones DLL (dec.dll o dep.dll)
  • Manipulación del registro de Windows:
    • Verificar la existencia de una clave o valor de registro
    • Crear una clave o valor de registro
    • Eliminar una clave o valor de registro
  • Desinstalar el malware
  • Descargar un archivo de una URL
  • Ejecute archivos descargados usando la función ShellExecuteW
  • Obtenga la dirección IP pública de la víctima
  • Manipulación del programa de Skype:
    • Detener el proceso
    • Compruebe la existencia del main.db expediente
  • Detiene el Teamviewer proceso e invoca una función del dec.dll llamado ExecuteTVNuevo
  • Comprobar Java siendo instalado en la máquina de la víctima
  • Ejecutar archivos con extensión .pyc o .frasco usando Python o Java.

Aquí hay una lista de lo que dec.dll es capaz de hacer en la máquina de la víctima:

  • Manipulación del navegador Chrome
  • Manipulación de archivos:
    • Comprimir un archivo
    • Dividir un archivo
    • Buscar un archivo
    • Cargar un archivo
  • Envíe archivos al servidor C&C
  • Manipulación USB
  • Obtén conexiones Wi-Fi
  • Iniciar un caparazón
  • DDoS
  • Cerrar sesión en Skype
  • Manipular la pantalla de la víctima
  • Manipular la cámara web de la víctima
  • Grabar sonido
  • Ejecuta programas maliciosos

Análisis de DLL: funcionalidad ChromeInject

Cuando se establece la comunicación con el servidor C&C, como mencionamos anteriormente, la carga útil se descarga dec.dll. Realizamos un análisis de uno de los métodos exportados más interesantes, denominado ChromeInject.

Este método crea una extensión de Chrome maliciosa mediante:

  • Terminando el chrome.exe proceso si se está ejecutando
  • Creando una carpeta bajo % APPDATA% OPR
  • Creando dos archivos:
    • % APPDATA% OPR Main.js
    • % APPDATA% OPR Manifest.json
  • Habilitar el modo de desarrollador de Google Chrome manipulando el archivo de preferencias ubicado en:
    • % LOCALAPPDATA% Google Chrome User Data Default
  • Obteniendo la ruta ejecutable de Google Chrome accediendo al registro, en este caso accede a:
    • SOFTWARE Microsoft Windows CurrentVersion App Paths chrome.exe
  • Lanzamiento de Google Chrome
  • Invocar API de Windows como GetForegroundWindow, SetClipboardData, y keybd_event, para cargar una extensión de Chrome maliciosa simulando la instalación de un usuario:
    • Cargas chrome: // extensiones en el portapapeles y lo pega enviando pulsaciones de teclas Ctrl + V
    • Envía pulsaciones de tecla de tabulación para seleccionar el Cargar desembalado opción
    • Carga el camino a la OPR carpeta en el portapapeles y la pega enviando pulsaciones de teclas Ctrl + V

Esta extensión maliciosa intenta recuperar las credenciales que la víctima envía a una URL leyendo los valores dentro del formulario etiqueta antes de que se envíen. Estas credenciales se almacenan en el almacenamiento local de Chrome con la clave batata13 y su URL correspondiente, donde se envían las credenciales, con la clave batata14. Esta información se filtra a una URL diferente ubicada en las variables globales de la carga útil. En nuestra muestra, esta URL fue:

https: // pronews (.) icu / gtwwfggg / get.php? action = gc1

La Figura 12 muestra la extensión de Chrome maliciosa instalada.

Figura 12. Extensión maliciosa creada por el malware

La Figura 13 y la Figura 14 son capturas de pantalla que muestran respectivamente la Manifest.json y el Main.js (desofuscado) código fuente.

Figura 13. Archivo de manifiesto de la extensión maliciosa

Figura 14. Main.js archivo con código malicioso desofuscado

Superposiciones y diferencias con otras campañas

Comparamos el comportamiento de nuestra muestra analizada con otras publicaciones y campañas documentadas como Operation Manul y Dark Caracal y hay algunas similitudes, como:

  • Las cargas útiles utilizan el mismo algoritmo de cifrado para la comunicación con el servidor C&C, AES en modo CFB.
  • La información encriptada enviada al servidor C&C usa el sufijo de cadena &&& al final de la misma.
  • Las cargas útiles utilizan el ~! cadena de sufijo como delimitador de la información enviada o recibida.
  • Dos muestras incluidas en el informe Operation Manul (SHA-1: ADB7FC1CC9DD76725C1A81C5F17D03DE64F73296 y 916DF5B73B75F03E86C78FC3D19EF5D2DC1B7B92) parecen estar conectados a la campaña Bandidos, según nuestros datos de telemetría. El ID de campaña para estas muestras (Enero de 2015 v3 y JUNIO 2015 EQUIPO) muestran qué tan atrás en el tiempo se remontan las campañas.
  • Todas las muestras incluidas en el informe de Check Point como "Versión completa" de hecho están dirigidas a Venezuela y son parte de la campaña Bandidos.
  • El cuentagotas utiliza la técnica de proceso de vaciado para inyectar las cargas útiles.

También encontramos algunas diferencias, que muestran cambios en el malware a lo largo de los años, como:

  • El cuentagotas, para esta campaña, cambió su algoritmo de cifrado de CAST-256 a GOST.
  • Parece que el malware ahora tiene solo dos DLL para toda su funcionalidad adicional en lugar de las cinco DLL mencionadas en el informe Operation Manul.
  • Se han agregado dos nuevos métodos de exportación al dec.dll, llamado GenerateOfflineDB y RECUPERAR.
  • Esta última muestra contiene 132 comandos, en lugar de los 120 comandos mencionados en Informe de Check Point.
  • A diferencia de los ejecutables más pequeños descritos en el informe de Check Point, que están firmados y parecen ser parte de una campaña diferente, estos ejemplos son ejecutables sin firmar.
  • Hay un comando con la cadena AVE MARÍA, que podría estar relacionado con el AVE MARÍA (también conocido como Warzone) RAT.

Conclusión

Bandook es un RAT activo desde 2005. Su participación en diferentes campañas de espionaje, ya documentadas, nos muestra que sigue siendo una herramienta relevante para los ciberdelincuentes. Además, si tenemos en cuenta las modificaciones realizadas al malware a lo largo de los años, nos muestra el interés de los ciberdelincuentes por seguir utilizando este malware en campañas maliciosas, haciéndolo más sofisticado y más difícil de detectar.

Aunque existen pocas campañas documentadas en América Latina, como Machete o Operación Spalax, Venezuela es un país que, por su situación geopolítica, es un probable objetivo de ciberespionaje.

Se puede encontrar una lista completa y completa de indicadores de compromiso (IoC) y ejemplos en nuestro repositorio de GitHub.

Para cualquier consulta, o para hacer presentaciones de muestra relacionadas con el tema, contáctenos en amenazaintel@eset.com.

Indicadores de compromiso (IoC)

Servidores C&C

d1.ngobmc (.) com: 7891 – 194.5.250 (.) 103
d2.ngobmc (.) com: 7892 – 194.5.250 (.) 103
r2.panjo (.) club: 7892 – 45.142.214 (.) 31
pronews (.) icu – 194.36.190 (.) 73
ladvsa (.) club – 45.142.213 (.) 108

Muestras

SHA-1 Nombre de detección de ESET Descripción
4B8364271848A9B677F2B4C3AF4FE042991D93DF PDF / TrojanDownloader.Agent.AMF Correo electrónico malicioso
F384BDD63D3541C45FAD9D82EF7F36F6C380D4DD PDF / TrojanDownloader.Agent.AMF PDF malicioso
A06665748DF3D4DEF63A4DCBD50917C087F57A27 PDF / Phishing.F.Gen PDF malicioso
89F1E932CC37E4515433696E3963BB3163CC4927 Win32 / Bandok.NAT Cuentagotas
124ABF42098E644D172D9EA69B05AF8EC45D6E49 Win32 / Bandok.NAT Cuentagotas
AF1F08A0D2E0D40E99FCABA6C1C090B093AC0756 Win32 / Bandok.NAT Cuentagotas
0CB9641A9BF076DBD3BA38369C1C16FCDB104FC2 Win32 / Bandok.NAT Carga útil
D32E7178127CE9B217E1335D23FAC3963EA73626 Win32 / Bandok.NAT Carga útil
5F58FCED5B53D427B29C1796638808D5D0AE39BE Win32 / Bandok.NAT Carga útil
1F94A8C5F63C0CA3FCCC1235C5ECBD8504343437 dec.dll (encriptado)
8D2B48D37B2B56C5045BCEE20904BCE991F99272 JS / Kryptik.ALB Main.js

URL de descarga

https: // cambio de marca (.) ly / lista-de-precios-2021
https: // cambio de marca (.) ly / lista-de-precios-01
https: // cambio de marca (.) ly / Lista-de-Precios
https: // rebrand (.) ly / lista-de-precios-actualizada
https: // rebrand (.) ly / Lista-de-precio-1-actualizada
https: // rebrand (.) ly / Lista-de-precios-2-actualizada
https: // cambio de marca (.) ly / Precios-Actualizados
https: // cambio de marca (.) ly / recibo-de-pago-mes-03
https: // cambio de marca (.) ly / Factura-001561493
https: // cambiar la marca (.) ly / Comunicado_Enero
https: // cambio de marca (.) ly / Comunicado-23943983
https: // rebrand (.) ly / Cotizacion-de-productos
https: // cambio de marca (.) ly / informacion_bonos_productividad
https: // cambio de marca (.) ly / aviso-de-cobro
https: // bit (.) ly / lista-de-precios2
http: // bit (.) ly / 2yftKk3
https: // bitly (.) com / v-coti_cion03
https: // spideroak (.) com / storage / OVPXG4DJMRSXE33BNNPWC5LUN5PTMMZXG4ZTM / shared / 1759328-1-1050 / Cotizacion nuevas.rar? ad16ce86ca4bb1ff6ff0a7172faf2e05
https: // spideroak (.) com / storage / OVPXG4DJMRSXE33BNNPWC5LUN5PTMMRSHA4DA / shared / 1744230-1-1028 / Lista% 20de% 20Precios.rar? cd05638af8e76da97e66f1bb77d353eb
https: // archivado (.) com / lpBkXnHaBUPzXwEpUriDSr4 / Lista_de_precios.rar
https: // archivado (.) com / l9nI3nYhBEH5QqSeMUzzhMb / Facturas / Lista_de_Precios.rar

Servidores de C&C más antiguos

d1.p2020 (.) club: 5670
d2.p2020 (.) club: 5671
s1.fikofiko (.) arriba: 5672
s2.fikofiko (.) arriba: 5673
s3.fikofiko (.) arriba: 5674
s1.megawoc (.) com: 7891
s2.megawoc (.) com: 7892
s3.megawoc (.) com: 7893
infierno del otro lado (.) club: 6792
medialog (.) arriba: 3806
nahlabahla.hopto (.) org: 9005
dianaojeil.hopto (.) org: 8021
nathashadarin.hopto (.) org: 8022
laraasaker.hopto (.) org: 5553
mayataboush.hopto (.) org: 5552
jhonny1.hopto (.) org: 7401
j2.premiumdns (.) parte superior: 7402
j3.newoneok (.) arriba: 9903
p2020 (.) xyz
vdsm (.) xyz
www.blueberry2017 (.) com
www.watermelon2017 (.) com
www.orange2017 (.) com
información de dbclave (.)
panel.newoneok (.) arriba

Técnicas MITRE ATT & CK

Nota: esta tabla fue construida usando versión 9 del marco MITRE ATT & CK.

Táctica IDENTIFICACIÓN Nombre Descripción
Acceso inicial T1566.001 Phishing: archivo adjunto de spearphishing Los operadores de Bandook han utilizado correos electrónicos con archivos PDF adjuntos que contienen enlaces para descargar malware.
Ejecución T1204.001 Ejecución del usuario: enlace malicioso Los operadores de Bandook han utilizado enlaces maliciosos para descargar malware.
T1204.002 Ejecución del usuario: archivo malicioso Los operadores de Bandook han intentado que las víctimas ejecuten archivos maliciosos.
Evasión de defensa T1027 Archivos o información ofuscados Los operadores de Bandook cifran la carga útil oculta en el cuentagotas.
T1055.012 Inyección de proceso: Proceso de vaciado Los operadores de Bandook utilizan el proceso de vaciado para inyectar la carga útil en procesos legítimos.
T1112 Modificar registro Los operadores de Bandook han intentado modificar las entradas del registro para ocultar información.
T1547.001 Ejecución de inicio automático de inicio o inicio de sesión: claves de ejecución del registro / carpeta de inicio Los operadores de Bandook han intentado crear una clave de registro Ejecutar.
Descubrimiento T1057 Descubrimiento de procesos Bandook usa las funciones de la API de Windows para descubrir los procesos en ejecución en las máquinas de la víctima.
T1083 Descubrimiento de archivos y directorios Los operadores de Bandook intentan descubrir archivos o carpetas desde una ruta específica.
Colección T1025 Datos de medios extraíbles Los operadores de Bandook intentan leer datos de medios extraíbles.
T0156.001 Captura de entrada: registro de teclas Los operadores de Bandook pueden intentar capturar las pulsaciones de teclas del usuario para obtener credenciales.
T1113 La captura de pantalla Bandook puede tomar capturas de pantalla de la máquina de la víctima.
T1123 Captura de audio Bandook puede grabar audio desde la máquina de la víctima.
T1125 Captura de video Bandook puede grabar videos desde la cámara web.
Comando y control T1573.001 Canal cifrado: criptografía simétrica Bandook usa AES para cifrar las comunicaciones C&C.
Exfiltración T1041 Exfiltración sobre canal C2 Bandook extrae información a través del mismo canal utilizado para C&C.
T1048.002 Exfiltración sobre protocolo alternativo: Exfiltración sobre protocolo no C2 cifrado asimétrico Bandook extrae información utilizando una URL maliciosa a través de HTTPS.



Enlace a la noticia original