This post is also available in: Português Español
Un estudio difundido por Symantec, detalla herramientas y técnicas, utilizadas en una campaña maliciosa, que hasta ese momento eran desconocidas. Un dropper (tipo de troyano que descarga malware incrustado en la computadora de la víctima) llamado Trojan.Geppei está siendo utilizado por un grupo de ciberdelincuentes denominado Cranefly para instalar otro malware no documentado, conocido como Danfuan.
Geppei utiliza una técnica para leer comandos de los registros de Internet Information Services (IIS), algo que los investigadores afirman que nunca se ha visto utilizado en ataques del mundo real.
Cranefly se destaca de los grupos de ataque típicos ya que tiene un tiempo de permanencia particularmente largo, pasando al menos 18 meses en la red de la víctima mientras permanece bajo el radar.
Los delincuentes instalan backdoors en dispositivos que no admiten herramientas de seguridad, como matrices SANS, balanceadores de carga y controladores de punto de acceso inalámbrico.
El Troyano Geppei usa PyInstaller para convertir un script de Python en un archivo ejecutable y leer comandos de registros legítimos de IIS. Los registros de IIS registran datos de IIS, como páginas web y aplicaciones, y los atacantes pueden enviar comandos a un servidor web comprometido, disfrazándolos como lo requiere el acceso web. IIS los registra normalmente, pero Geppei puede leerlos como comandos.
Los comandos Geppei tienen archivos .ashx codificados maliciosos. Los archivos se guardan en una carpeta y se ejecutan como puertas traseras, con algunas cadenas que no aparecen en los archivos de registro de IIS. Geppei utiliza los mismos archivos para el análisis de solicitudes HTTP maliciosas.
Las backdoors lanzadas por Geppei incluyen Hacktool.Regeorg, una forma conocida de malware que puede crear un proxy SOCK. Danfuan es un DynamicCodeCompiler que compila y ejecuta código C#, se basa en la tecnología de compilación dinámica .NET y compila de forma dinámica el código en la memoria, proporcionando una puerta trasera a los sistemas infectados.
Se desconoce quién está detrás de Cranefly y Danfuan. Varios grupos de amenazas persistentes avanzadas usan Hacktool.Regeorg y el código está disponible públicamente en GitHub. La única pista es el vínculo con el mismo grupo detallado por Mandiant a principios de este año, sin embargo, el propio Mandiant dice que el vínculo no se puede establecer con certeza.
El informe de Symantec concluye diciendo que el uso de una nueva técnica y herramientas personalizadas, así como los pasos utilizados para ocultar rastros en las máquinas de las víctimas, indican que Cranefly es un grupo muy calificado.
Si bien no vieron que se extrajeran datos de las máquinas de las víctimas, los investigadores dicen que las herramientas implementadas y los esfuerzos realizados para ocultar esta actividad, junto con la actividad previamente documentada por Mandiant, indican que la motivación más probable para este grupo es la recopilación de datos de inteligencia.
Mitigar
Aunque la campaña no está muy extendida, no significa que no represente un peligro para las organizaciones, principalmente porque la campaña se mantiene activa y los ciberdelincuentes están adoptando nuevas técnicas para ocultar los ataques.
Sin embargo, para prevenir este y otros ciberataques, existen algunas acciones que las empresas pueden tomar. Según Brigid O Gorman, analista sénior de inteligencia en Symantec Threat Hunter Team, las organizaciones deben adoptar una estrategia de defensa en profundidad, utilizando múltiples tecnologías de detección y protección para mitigar el riesgo en cada punto de una posible cadena de ataque.
Además, la formación de los empleados para sensibilizarlos es fundamental, ya que el factor humano sigue siendo un tema importante en lo que respecta a la ciberseguridad.
This post is also available in: Português Español