Investigadores de ESET revelan detalles de ataques dirigidos a instituciones gubernamentales y compañías de Colombia, especialmente empresas del sector industrial, energética y metalúrgica.
En 2020, ESET vio varios ataques dirigidos exclusivamente a entidades colombianas entre ellas empresas de servicios como clínicas y hospitales. Estos ataques aún están en curso al momento de escribir este artículo y se centran tanto en instituciones gubernamentales como en empresas privadas, siendo sectores como el energético y el metalúrgico los más apuntados.
Los atacantes se apoyan en el uso de troyanos de acceso remoto probablemente para espiar a sus víctimas. Cuentan con una gran infraestructura de red para comando y control: ESET observó al menos 24 direcciones IP diferentes en uso en la segunda mitad de 2020. Estos probablemente son dispositivos comprometidos que actúan como proxies para sus servidores C&C (Comando y control). Esto, combinado con el uso de servicios DNS dinámicos, significa que su infraestructura nunca permanece quieta. Hemos visto al menos 70 nombres de dominio activos en este período de tiempo y registran nuevos de forma regular.
Los atacantes
Los ataques que vimos en 2020 comparten algunos TTP (Tácticas, Técnicas y Procedimientos) con informes previos relacionados a grupos que apuntan a Colombia, pero también difieren en muchos aspectos, lo que dificulta la atribución.
Uno de esos informes fue publicado en febrero de 2019 por investigadores de QiAnXin. Las operaciones descritas en esa publicación están conectadas a un grupo APT activo desde al menos abril de 2018. Hemos encontrado algunas similitudes entre esos ataques y los que describimos en este artículo:
- Vimos una muestra maliciosa incluida en los IoC del informe de QiAnXin y una muestra de la nueva campaña en la misma organización gubernamental. Estos archivos tienen menos de una docena de avistamientos cada uno.
- Algunos de los correos electrónicos de phishing de la campaña actual se enviaron desde direcciones IP correspondientes a un rango que pertenece a Powerhouse Management, un servicio de VPN. Se utilizó el mismo rango de direcciones IP para los correos electrónicos enviados en la campaña anterior.
- Los temas en los correos electrónicos de phishing son similares y pretenden provenir de algunas de las mismas entidades, por ejemplo, la Fiscalía General de la Nación o la Dirección de Impuestos y Aduanas Nacionales (DIAN).
- Algunos de los servidores de C&C en Operation Spalax usan subdominios linkpc.net y publicvm.com, junto con direcciones IP que pertenecen a Powerhouse Management. Esto también sucedió en la campaña anterior.
Sin embargo, existen diferencias en: los archivos adjuntos utilizados para los correos electrónicos de phishing, los troyanos de acceso remoto (RAT) utilizados y en la mayor parte de la infraestructura de C&C del operador.
También está este informe de Trend Micro, de julio de 2019. Hay similitudes entre los correos electrónicos de phishing y partes de la infraestructura de red de esa campaña y la que describimos aquí. Los ataques descritos en ese artículo estaban relacionados con el delito cibernético, no con el espionaje. Si bien no hemos visto ningún payload entregado por los atacantes que no sean RAT, algunos de los blancos de la campaña actual (como una agencia de lotería) no tienen mucho sentido para actividades de espionaje.
Estos actores de amenazas muestran un uso perfecto del idioma español en los correos electrónicos que envían, solo apuntan a entidades colombianas y usan malware prefabricado y no desarrollan ninguno por sí mismos.
Resumen del ataque
Los blancos apuntados son abordados mediante correos electrónicos que conducen a la descarga de archivos maliciosos. En la mayoría de los casos, estos correos electrónicos tienen un documento PDF adjunto que contiene un enlace en el que el usuario debe hacer clic para descargar el malware. Los archivos descargados son archivos RAR regulares que tienen un archivo ejecutable dentro. Estos archivos se alojan en servicios de alojamiento de archivos legítimos, como OneDrive o MediaFire. La potencial víctima tiene que extraer manualmente el archivo y abrirlo para que el malware se ejecute.
Hemos encontrado una variedad de empaquetadores utilizados para estos ejecutables, pero su propósito es siempre tener un troyano de acceso remoto ejecutándose en la computadora víctima, generalmente a través del descifrando del payload y su inyección en procesos legítimos. En la Figura 1 se muestra una descripción general de un ataque típico. Hemos visto a los atacantes utilizar tres RAT diferentes: Remcos, njRAT y AsyncRAT.
Correos de phishing
Los atacantes utilizan varios temas para sus correos electrónicos, pero en la mayoría de los casos no están especialmente diseñados para sus víctimas. Por el contrario, en la mayoría de estos correos electrónicos se hace referencia a temas genéricos que podrían reutilizarse para diferentes objetivos.
Encontramos correos electrónicos de phishing con estos temas:
- Una notificación sobre una infracción de tránsito
- Una notificación indicando que debe realizarse una prueba de COVID-19 obligatoria
- Una notificación para asistir a una audiencia judicial
- Una investigación abierta contra el destinatario por malversación de fondos públicos
- Una notificación de un embargo de cuentas bancarias
El correo electrónico que se muestra en la Figura 2 pretende ser una notificación acerca de una infracción de tránsito por un valor cercano a los USD 250. Se adjunta un archivo PDF que promete una foto de la infracción, así como información sobre la hora y el lugar del incidente. Se ha falsificado al remitente para que parezca que el correo electrónico proviene de SIMIT (un sistema para pagar las infracciones de tránsito en Colombia).
El archivo pdf solo contiene un enlace externo que ha sido acortado con el servicio acortaurl. La URL acortada es:
https://acortaurl[.]com/httpsbogotagovcohttpsbogotagovcohttpsbogotagovco.
Una vez abierto el enlace acortado, se descarga un archivo RAR de:
http://www.mediafire[.]com/file/wbqg7dt604uwgza/SIMITcomparendoenlineasimitnumeroreferenciaComparendo2475569.uue/file.
La Figura 4 muestra parte del encabezado del correo electrónico. El remitente falsificado es [email protected][.]co pero podemos ver que el remitente real es la dirección IP 128.90.108[.]177, que está conectada con el nombre de dominio julian.linkpc[.]net, como se encuentra en los datos históricos de DNS. No es una coincidencia que en la muestra maliciosa contenida en el archivo RAR se use el mismo nombre de dominio para contactar al servidor C&C. Esta dirección IP pertenece a Powerhouse Management, un proveedor de servicios VPN.
En correos electrónicos más recientes, el enlace acortado en el archivo PDF resuelve en https://bogota.gov[.]co (un sitio legítimo) cuando se visita desde fuera de Colombia.
Además, en algunos casos se ha utilizado el servicio GetResponse para enviar el correo electrónico. Esto probablemente se hace para monitorear si la víctima ha hecho clic en el enlace. En estos casos no hay ningún archivo adjunto: un enlace a la plataforma GetResponse conduce a la descarga de malware.
Artefactos maliciosos
Droppers
Los archivos ejecutables contenidos en archivos comprimidos que son descargados a través de los correos electrónicos de phishing son responsables de descifrar y ejecutar troyanos de acceso remoto en la computadora de la víctima. En las siguientes secciones, describimos los distintos droppers que hemos visto.
Instaladores de NSIS
El dropper más utilizado por estos atacantes viene como un archivo que se compiló con NSIS (Nullsoft Scriptable Install System). Para intentar evadir la detección, este instalador contiene varios archivos benignos que fueron escritos en el disco (no forman parte de los binarios de NSIS y el instalador no los usa en absoluto) y dos archivos que son maliciosos: un ejecutable RAT cifrado y un archivo DLL que descifra y ejecuta el troyano. Los archivos benignos suelen ser diferentes en los diferentes droppers utilizados por los atacantes.
Los archivos Bonehead (RAT cifrado) y ShoonCataclysm.dll (DLL del dropper) se escriben en la misma carpeta y la DLL se ejecuta con rundll32.exe utilizando Uboats como argumento. Los nombres de estos archivos cambian entre ejecutables. Algunos ejemplos más:
- rundll32.exe Blackface,Breathing
- rundll32.exe OximeLied,Hostage
- rundll32.exe Conservatory,Piggins
Usamos el nombre de los archivos benignos contenidos en algunos de estos instaladores de NSIS para encontrar más instaladores maliciosos utilizados por los operadores de Spalax. La Tabla 1 enumera los detalles de tres instaladores de NSIS diferentes utilizados por los atacantes que contenían los mismos archivos benignos. La única diferencia entre ellos era el archivo cifrado, el cual apuntaba a diferentes servidores de C&C.
Tabla 1. Instaladores de NSIS con archivos benignos idénticos utilizados por este grupo
| SHA-1 | C&C |
|---|---|
| 6E81343018136B271D1F95DB536CA6B2FD1DFCD6 | marzoorganigrama20202020.duckdns[.]org |
| 7EDB738018E0E91C257A6FC94BDBA50DAF899F90 | ruthy.qdp6fj1uji[.]xyz |
| 812A407516F9712C80B70A14D6CDF282C88938C1 | dominoduck2098.duckdns[.]org |
Sin embargo, también encontramos instaladores NSIS maliciosos utilizados por otros grupos no relacionados que tenían los mismos archivos benignos que los utilizados por este grupo.
Esto significa que estos instaladores fueron generados con el mismo builder, pero por diferentes actores. El builder probablemente se ofrece en foros clandestinos e incluye estos archivos benignos. Esto, junto con un análisis completo del dropper, fue descrito a principios de este año por Sophos en su artículo RATicate. También hay un artículo de Lab52 que describe uno de los instaladores de NSIS utilizados en la Operación Spalax, y que ellos atribuyen a APT-C-36.
En la gran mayoría de los casos, estos droppers NSIS descifran y ejecutan Remcos RAT, pero también hemos visto casos en los que el payload es njRAT. Estos son descritos más adelante en la sección Payloads.
Empaquetadores de Agent Tesla
Hemos visto varios droppers que son diferentes variantes de un empaquetador que usa esteganografía y se sabe que es utilizado en muestras de Agente Tesla. Curiosamente, los atacantes utilizan varios payloads, pero ninguno de ellos es Agente Tesla. Aunque existen diferencias en todas las muestras en cuanto a las capas de cifrado, ofuscación o antianálisis utilizadas, podemos resumir las acciones realizadas por los droppers de la siguiente manera:
- El dropper lee una string (o datos binarios) de su sección recursos y la descifra. El resultado es una DLL que se cargará y se llamará en el mismo espacio de direcciones.
- La DLL lee píxeles de una imagen contenida en el primer binario y descifra otro ejecutable. Éste se carga y ejecuta en el mismo espacio de direcciones.
- Este nuevo ejecutable está empaquetado con CyaX. Lee datos de su propia sección de recursos y descifra un payload. Hay controles antianálisis; si pasan, el payload puede inyectarse en un nuevo proceso o cargarse en el mismo espacio de proceso.
Droppers en AutoIt
Para algunos de sus droppers, los atacantes han usado un empaquetador AutoIt que viene fuertemente ofuscado. A diferencia de los casos descritos anteriormente, en este caso el malware de primera etapa realiza la inyección y ejecución del payload. Lo hace utilizando dos shellcode contenidas en el script AutoIt compilado: uno para descifrar el payload y otro para inyectarlo en algún proceso.
Payloads
Los payloads utilizados en Operación Spalax son troyanos de acceso remoto. Estos brindan varias capacidades no solo para el control remoto, sino también para espiar a sus objetivos: registro de las pulsaciones de teclado, captura de pantalla, secuestro del portapapeles, exfiltración de archivos y la capacidad de descargar y ejecutar otro malware, por nombrar algunos.
Estos RAT no fueron desarrollados por los atacantes. Son:
- Remcos, vendido en línea
- njRAT, filtrado en foros clandestinos
- AsyncRAT, código abierto
No existe una relación de uno a uno entre los droppers y los payloads, ya que hemos visto diferentes tipos de droppers que ejecutan el mismo payload y también un solo tipo de dropper conectado a diferentes payloads. Sin embargo, podemos afirmar que los droppers NSIS droppean principalmente Remcos, mientras que los empaquetadores Agent Tesla y AutoIt generalmente droppean njRAT.
Remcos es una herramienta para el control remoto y vigilancia. Se puede comprar con una licencia de seis meses que incluye actualizaciones y soporte. También hay una versión gratuita con funcionalidades limitadas. Si bien la herramienta se puede utilizar con fines legítimos, los delincuentes también la utilizan para espiar a sus víctimas.
La mayoría de las muestras de Remcos utilizadas por este grupo son v2.5.0 Pro, pero también hemos visto todas las versiones que se lanzaron desde septiembre de 2019, lo que puede indicar que los atacantes compraron una licencia después de ese mes y han estado usando activamente las diferentes actualizaciones que recibieron durante su período de seis meses de licencia.
Con respecto a njRAT, este grupo usa principalmente v0.7.3 (también conocida como la versión Lime). Esa versión incluye funcionalidades como DDoS o cifrado de ransomware, pero los atacantes solo utilizan funciones de espionaje como el registro de las pulsaciones de teclado. Para obtener una descripción más completa de esta versión, consulte este artículo de Zscaler publicado en 2018.
Otra versión de njRAT utilizada por los atacantes es la v0.7d (la “edición verde”) que es una versión más simple enfocada en las capacidades de espionaje: registro de pulsaciones de teclado, captura de pantalla, acceso a cámara web y micrófono, carga y descarga de archivos y ejecución de otros binarios.
El último tipo de payload que mencionaremos es AsyncRAT. En todos los casos hemos observado que se ha utilizado la versión v0.5.7B, la cual se puede encontrar en GitHub. Las funcionalidades de esta RAT son similares a las de las RAT mencionadas anteriormente, que permiten a los atacantes espiar a sus víctimas.
Infraestructura de red
Durante nuestra investigación vimos aproximadamente 70 nombres de dominio diferentes utilizados para C&C en la segunda mitad de 2020. Esto equivale al menos a 24 direcciones IP. Al analizar datos de DNS pasivos para direcciones IP y nombres de dominio conocidos, descubrimos que los atacantes han utilizado al menos 160 nombres de dominio adicionales desde 2019. Esto corresponde a por lo menos 40 direcciones IP más.
Han logrado operar a tal escala utilizando servicios de DNS dinámico. Esto significa que cuentan con un grupo de nombres de dominio (y también registran nuevos de forma regular) que se asignan dinámicamente a direcciones IP. De esta manera, un nombre de dominio se puede relacionar con varias direcciones IP durante un período de tiempo y las direcciones IP se pueden relacionar con muchos nombres de dominio. La mayoría de los nombres de dominio que hemos visto fueron registrados con Duck DNS, pero también han utilizado DNS Exit para los subdominios publicvm.com y linkpc.net.
En cuanto a las direcciones IP, casi todas están en Colombia. La mayoría son direcciones IP relacionadas con ISP colombianos: el 60% son Telmex y el 30% EPM Telecomunicaciones (Tigo). Como es muy poco probable que los delincuentes posean tantas direcciones IP residenciales, es posible que utilicen algunas víctimas como proxies o algunos dispositivos vulnerables para reenviar la comunicación a sus servidores reales de C&C.
Finalmente, un subconjunto de las direcciones IP pertenece a Powerhouse Management, un proveedor de servicios VPN. Se utilizan junto con los subdominios DNS Exit. Se pueden encontrar hallazgos similares en este análisis de Lab52.
Conclusión
Los ataques de malware dirigidos contra entidades colombianas se han incrementado desde las campañas descritas el año pasado. El panorama ha cambiado y pasó de una campaña que tenía un puñado de servidores C&C y nombres de dominio a una campaña con una infraestructura muy grande y que cambia rápidamente con cientos de nombres de dominio utilizados desde 2019. Aunque los TTP han visto cambios, no solo en la forma en que el malware es entregado a través de correos de phishing sino también en las RAT utilizadas, un aspecto que permanece igual es que los ataques aún están dirigidos y enfocados en entidades colombianas, tanto del sector público como del privado. Es de esperar que estos ataques continúen en la región durante mucho tiempo, por lo que seguiremos monitoreando estas actividades.
Puede encontrar una lista completa de los Indicadores de Compromiso (IoC) y muestras en nuestro repositorio de GitHub.
Para cualquier consulta o para enviar muestra relacionadas con el tema, contáctenos a través de la siguiente dirección [email protected].
Welivesecurity.com – Matías Porolli
Oferta especial ESET 30%
