{"id":2737,"date":"2021-02-22T14:00:49","date_gmt":"2021-02-22T19:00:49","guid":{"rendered":"https:\/\/www.itechsas.com\/blog\/?p=2737"},"modified":"2021-04-12T08:29:14","modified_gmt":"2021-04-12T13:29:14","slug":"ataques-de-malware-dirigidos-en-colombia","status":"publish","type":"post","link":"https:\/\/www.itechsas.com\/blog\/ciberseguridad\/ataques-de-malware-dirigidos-en-colombia\/","title":{"rendered":"Incremento de Ataques a empresas y entidades Colombianas"},"content":{"rendered":"\n<p>Investigadores de ESET revelan detalles de ataques dirigidos a <strong>instituciones gubernamentales y compa\u00f1\u00edas de Colombia<\/strong>, especialmente empresas del sector industrial, energ\u00e9tica y metal\u00fargica.<\/p>\n\n\n\n<p>En 2020, ESET vio varios ataques dirigidos exclusivamente a entidades colombianas entre ellas empresas de servicios como <strong>cl\u00ednicas y hospitales<\/strong>. <strong>Estos ataques a\u00fan est\u00e1n en curso <\/strong>al momento de escribir este art\u00edculo y se centran tanto en instituciones gubernamentales como en empresas privadas, siendo sectores como el energ\u00e9tico y el metal\u00fargico los m\u00e1s apuntados. <\/p>\n\n\n\n<p>Los atacantes se apoyan en el uso de troyanos de acceso remoto probablemente para espiar a sus v\u00edctimas. Cuentan con una gran infraestructura de red para comando y control: ESET observ\u00f3 al menos 24 direcciones IP diferentes en uso en la segunda mitad de 2020. Estos probablemente son dispositivos comprometidos que act\u00faan como proxies para sus servidores C&amp;C (<strong>Comando y control<\/strong>). Esto, combinado  con el uso de servicios DNS din\u00e1micos, significa que su infraestructura nunca permanece quieta. Hemos visto al menos 70 nombres de dominio activos en este per\u00edodo de tiempo y registran nuevos de forma regular.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Los atacantes<\/h2>\n\n\n\n<p>Los ataques que vimos en 2020 comparten algunos TTP (<strong>T\u00e1cticas, T\u00e9cnicas y Procedimientos<\/strong>) con informes previos relacionados a grupos que apuntan a Colombia, pero tambi\u00e9n difieren en muchos aspectos, lo que dificulta la atribuci\u00f3n.<\/p>\n\n\n\n<p>Uno de esos informes fue publicado en febrero de 2019 por&nbsp;<a href=\"https:\/\/ti.qianxin.com\/blog\/articles\/apt-c-36-continuous-attacks-targeting-colombian-government-institutions-and-corporations-en\/\">investigadores de QiAnXin<\/a>. Las operaciones descritas en esa publicaci\u00f3n est\u00e1n conectadas a un grupo APT activo desde al menos abril de 2018. Hemos encontrado algunas similitudes entre esos ataques y los que describimos en este art\u00edculo:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Vimos una muestra maliciosa incluida en los IoC del informe de QiAnXin y una muestra de la nueva campa\u00f1a en la misma organizaci\u00f3n gubernamental. Estos archivos tienen menos de una docena de avistamientos cada uno.<\/li><li>Algunos de los correos electr\u00f3nicos de phishing de la campa\u00f1a actual se enviaron desde direcciones IP correspondientes a un rango que pertenece a Powerhouse Management, un servicio de VPN. Se utiliz\u00f3 el mismo rango de direcciones IP para los correos electr\u00f3nicos enviados en la campa\u00f1a anterior.<\/li><li>Los temas en los correos electr\u00f3nicos de phishing son similares y pretenden provenir de algunas de las mismas entidades, por ejemplo, <strong>la Fiscal\u00eda General de la Naci\u00f3n o la Direcci\u00f3n de Impuestos y Aduanas Nacionales (DIAN).<\/strong><\/li><li>Algunos de los servidores de C&amp;C en Operation Spalax usan subdominios <strong>linkpc.net&nbsp;y&nbsp;publicvm.com<\/strong>, junto con direcciones IP que pertenecen a Powerhouse Management. Esto tambi\u00e9n sucedi\u00f3 en la campa\u00f1a anterior.<\/li><\/ul>\n\n\n\n<p>Sin embargo, existen diferencias en: los archivos adjuntos utilizados para los correos electr\u00f3nicos de phishing, los troyanos de acceso remoto (RAT) utilizados y en la mayor parte de la infraestructura de C&amp;C del operador.<\/p>\n\n\n\n<p>Tambi\u00e9n est\u00e1 este&nbsp;<a href=\"https:\/\/blog.trendmicro.com\/trendlabs-security-intelligence\/spam-campaign-targets-colombian-entities-with-custom-proyecto-rat-email-service-yopmail-for-cc\/\">informe<\/a>&nbsp;de Trend Micro, de julio de 2019. Hay similitudes entre los correos electr\u00f3nicos de phishing y partes de la infraestructura de red de esa campa\u00f1a y la que describimos aqu\u00ed. Los ataques descritos en ese art\u00edculo estaban relacionados con el delito cibern\u00e9tico, no con el espionaje. Si bien no hemos visto ning\u00fan payload entregado por los atacantes que no sean RAT, algunos de los blancos de la campa\u00f1a actual (como una agencia de loter\u00eda) no tienen mucho sentido para actividades de espionaje.<\/p>\n\n\n\n<p>Estos actores de amenazas muestran un uso perfecto del idioma espa\u00f1ol en los correos electr\u00f3nicos que env\u00edan, solo apuntan a entidades colombianas y usan malware prefabricado y no desarrollan ninguno por s\u00ed mismos.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Resumen del ataque<\/h2>\n\n\n\n<p>Los blancos apuntados son abordados mediante correos electr\u00f3nicos que conducen a la descarga de archivos maliciosos. En la mayor\u00eda de los casos, estos correos electr\u00f3nicos tienen un documento PDF adjunto que contiene un enlace en el que el usuario debe hacer clic para descargar el malware. Los archivos descargados son archivos RAR regulares que tienen un archivo ejecutable dentro. Estos archivos se alojan en servicios de alojamiento de archivos leg\u00edtimos, como OneDrive o MediaFire. La potencial v\u00edctima tiene que extraer manualmente el archivo y abrirlo para que el malware se ejecute.<\/p>\n\n\n\n<p>Hemos encontrado una variedad de empaquetadores utilizados para estos ejecutables, pero su prop\u00f3sito es siempre tener un troyano de acceso remoto ejecut\u00e1ndose en la computadora v\u00edctima, generalmente a trav\u00e9s del descifrando del payload y su inyecci\u00f3n en procesos leg\u00edtimos. En la Figura 1 se muestra una descripci\u00f3n general de un ataque t\u00edpico. Hemos visto a los atacantes utilizar tres RAT diferentes: Remcos, njRAT y AsyncRAT.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><a href=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:auto\/h:auto\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/02\/image-14.png\"><img data-opt-id=201017176  fetchpriority=\"high\" decoding=\"async\" width=\"574\" height=\"605\" src=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:auto\/h:auto\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/02\/image-14.png\" alt=\"\" class=\"wp-image-2738\" srcset=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:574\/h:605\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/02\/image-14.png 574w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:285\/h:300\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/02\/image-14.png 285w\" sizes=\"(max-width: 574px) 100vw, 574px\" \/><\/a><figcaption><em>Figura 1. Descripci\u00f3n general del ataque<\/em><\/figcaption><\/figure>\n\n\n\n<p><a href=\"https:\/\/www.welivesecurity.com\/wp-content\/uploads\/2021\/01\/01.jpg\"><\/a><\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Correos de phishing<\/h2>\n\n\n\n<p>Los atacantes utilizan varios temas para sus correos electr\u00f3nicos, pero en la mayor\u00eda de los casos no est\u00e1n especialmente dise\u00f1ados para sus v\u00edctimas. Por el contrario, en la mayor\u00eda de estos correos electr\u00f3nicos se hace referencia a temas gen\u00e9ricos que podr\u00edan reutilizarse para diferentes objetivos.<\/p>\n\n\n\n<p>Encontramos correos electr\u00f3nicos de phishing con estos temas:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li><strong>Una notificaci\u00f3n sobre una infracci\u00f3n de tr\u00e1nsito<\/strong><\/li><li><strong>Una notificaci\u00f3n indicando que debe realizarse una prueba de COVID-19 obligatoria<\/strong><\/li><li><strong>Una notificaci\u00f3n para asistir a una audiencia judicial<\/strong><\/li><li><strong>Una investigaci\u00f3n abierta contra el destinatario por malversaci\u00f3n de fondos p\u00fablicos<\/strong><\/li><li><strong>Una notificaci\u00f3n de un embargo de cuentas bancarias<\/strong><\/li><\/ul>\n\n\n\n<p>El correo electr\u00f3nico que se muestra en la Figura 2 pretende ser una notificaci\u00f3n acerca de una infracci\u00f3n de tr\u00e1nsito por un valor cercano a los USD 250. Se adjunta un archivo PDF que promete una foto de la infracci\u00f3n, as\u00ed como informaci\u00f3n sobre la hora y el lugar del incidente. Se ha falsificado al remitente para que parezca que el correo electr\u00f3nico proviene de&nbsp;<a href=\"https:\/\/simit.org.co\/\">SIMIT<\/a>&nbsp;(un sistema para pagar las infracciones de tr\u00e1nsito en Colombia).<\/p>\n\n\n\n<figure class=\"wp-block-image size-large is-resized\"><a href=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:auto\/h:auto\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/02\/image-15.png\"><img data-opt-id=1806463224  fetchpriority=\"high\" decoding=\"async\" src=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:auto\/h:auto\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/02\/image-15.png\" alt=\"\" class=\"wp-image-2739\" width=\"642\" height=\"628\" srcset=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:476\/h:466\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/02\/image-15.png 476w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:300\/h:294\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/02\/image-15.png 300w\" sizes=\"(max-width: 642px) 100vw, 642px\" \/><\/a><figcaption><em>Figura 2. Ejemplo de un correo electr\u00f3nico de phishing<\/em><\/figcaption><\/figure>\n\n\n\n<p><a href=\"https:\/\/www.welivesecurity.com\/wp-content\/uploads\/2021\/01\/02.png\"><\/a><\/p>\n\n\n\n<p>El archivo pdf solo contiene un enlace externo que ha sido acortado con el servicio acortaurl. La URL acortada es:<\/p>\n\n\n\n<p><strong>https:\/\/acortaurl[.]com\/httpsbogotagovcohttpsbogotagovcohttpsbogotagovco.<\/strong><\/p>\n\n\n\n<p>Una vez abierto el enlace acortado, se descarga un archivo RAR de:<\/p>\n\n\n\n<p><strong>http:\/\/www.mediafire[.]com\/file\/wbqg7dt604uwgza\/SIMITcomparendoenlineasimitnumeroreferenciaComparendo2475569.uue\/file.<\/strong><a href=\"https:\/\/www.welivesecurity.com\/wp-content\/uploads\/2021\/01\/03.png\"><\/a><\/p>\n\n\n\n<p>La Figura 4 muestra parte del encabezado del correo electr\u00f3nico. El remitente falsificado es&nbsp;<strong>notificacionesmultas@simit.org[.]co<\/strong>&nbsp;pero podemos ver que el remitente real es la direcci\u00f3n IP&nbsp;<strong>128.90.108[.]177<\/strong>, que est\u00e1 conectada con el nombre de dominio&nbsp;<strong>julian.linkpc[.]net<\/strong>, como se encuentra en los datos hist\u00f3ricos de DNS. No es una coincidencia que en la muestra maliciosa contenida en el archivo RAR se use el mismo nombre de dominio para contactar al servidor C&amp;C. Esta direcci\u00f3n IP pertenece a Powerhouse Management, un proveedor de servicios VPN.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><a href=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:auto\/h:auto\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/02\/image-16.png\"><img data-opt-id=370766005  data-opt-src=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:auto\/h:auto\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/02\/image-16.png\"  decoding=\"async\" width=\"618\" height=\"671\" src=\"data:image/svg+xml,%3Csvg%20viewBox%3D%220%200%20100%%20100%%22%20width%3D%22100%%22%20height%3D%22100%%22%20xmlns%3D%22http%3A%2F%2Fwww.w3.org%2F2000%2Fsvg%22%3E%3Crect%20width%3D%22100%%22%20height%3D%22100%%22%20fill%3D%22transparent%22%2F%3E%3C%2Fsvg%3E\" alt=\"\" class=\"wp-image-2740\" old-srcset=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:618\/h:671\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/02\/image-16.png 618w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:276\/h:300\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/02\/image-16.png 276w\" \/><\/a><figcaption><em>Figura 4. Encabezado de un correo electr\u00f3nico de phishing<\/em><\/figcaption><\/figure>\n\n\n\n<p><a href=\"https:\/\/www.welivesecurity.com\/wp-content\/uploads\/2021\/01\/04.png\"><\/a><\/p>\n\n\n\n<p>En correos electr\u00f3nicos m\u00e1s recientes, el enlace acortado en el archivo PDF resuelve en&nbsp;<strong>https:\/\/bogota.gov[.]co<\/strong>&nbsp;(un sitio leg\u00edtimo) cuando se visita desde fuera de Colombia.<\/p>\n\n\n\n<p>Adem\u00e1s, en algunos casos se ha utilizado el servicio&nbsp;<a href=\"https:\/\/www.getresponse.com\/\">GetResponse<\/a>&nbsp;para enviar el correo electr\u00f3nico. Esto probablemente se hace para monitorear si la v\u00edctima ha hecho clic en el enlace. En estos casos no hay ning\u00fan archivo adjunto: <strong>un enlace a la plataforma GetResponse conduce a la descarga de malware<\/strong>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Artefactos maliciosos<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">Droppers<\/h3>\n\n\n\n<p>Los archivos ejecutables contenidos en archivos comprimidos que son descargados a trav\u00e9s de los correos electr\u00f3nicos de phishing son responsables de descifrar y ejecutar troyanos de acceso remoto en la computadora de la v\u00edctima. En las siguientes secciones, describimos los distintos droppers que hemos visto.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\"><strong>Instaladores de NSIS<\/strong><\/h4>\n\n\n\n<p>El dropper m\u00e1s utilizado por estos atacantes viene como un archivo que se compil\u00f3 con NSIS (<a href=\"https:\/\/nsis.sourceforge.io\/Main_Page\">Nullsoft Scriptable Install System<\/a>). Para intentar evadir la detecci\u00f3n, este instalador contiene varios archivos benignos que fueron escritos en el disco (no forman parte de los binarios de NSIS y el instalador no los usa en absoluto) y dos archivos que son maliciosos: un ejecutable RAT cifrado y un archivo DLL que descifra y ejecuta el troyano. Los archivos benignos suelen ser diferentes en los diferentes droppers utilizados por los atacantes.<a href=\"https:\/\/www.welivesecurity.com\/wp-content\/uploads\/2021\/01\/14.png\"><\/a><\/p>\n\n\n\n<p>Los archivos&nbsp;Bonehead&nbsp;(RAT cifrado) y&nbsp;ShoonCataclysm.dll&nbsp;(DLL del dropper) se escriben en la misma carpeta y la DLL se ejecuta con rundll32.exe utilizando&nbsp;Uboats&nbsp;como argumento. Los nombres de estos archivos cambian entre ejecutables. Algunos ejemplos m\u00e1s:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>rundll32.exe Blackface,Breathing<\/li><li>rundll32.exe OximeLied,Hostage<\/li><li>rundll32.exe Conservatory,Piggins<\/li><\/ul>\n\n\n\n<p>Usamos el nombre de los archivos benignos contenidos en algunos de estos instaladores de NSIS para encontrar m\u00e1s instaladores maliciosos utilizados por los operadores de Spalax. <strong>La Tabla 1<\/strong> enumera los detalles de tres instaladores de NSIS diferentes utilizados por los atacantes que conten\u00edan los mismos archivos benignos. La \u00fanica diferencia entre ellos era el archivo cifrado, el cual apuntaba a diferentes servidores de C&amp;C.<\/p>\n\n\n\n<p><em>Tabla 1. Instaladores de NSIS con archivos benignos id\u00e9nticos utilizados por este grupo<\/em><\/p>\n\n\n\n<figure id=\"tablepress-899\" class=\"wp-block-table is-style-stripes\"><table><thead><tr><th>SHA-1<\/th><th>C&amp;C<\/th><\/tr><\/thead><tbody><tr><td>6E81343018136B271D1F95DB536CA6B2FD1DFCD6<\/td><td>marzoorganigrama20202020.duckdns[.]org<\/td><\/tr><tr><td>7EDB738018E0E91C257A6FC94BDBA50DAF899F90<\/td><td>ruthy.qdp6fj1uji[.]xyz<\/td><\/tr><tr><td>812A407516F9712C80B70A14D6CDF282C88938C1<\/td><td>dominoduck2098.duckdns[.]org<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n<p>Sin embargo, tambi\u00e9n encontramos instaladores NSIS maliciosos utilizados por otros grupos no relacionados que ten\u00edan los mismos archivos benignos que los utilizados por este grupo. <a href=\"https:\/\/www.welivesecurity.com\/wp-content\/uploads\/2021\/01\/15.png\"><\/a><\/p>\n\n\n\n<p>Esto significa que estos instaladores fueron generados con el mismo builder, pero por diferentes actores. El builder probablemente se ofrece en foros clandestinos e incluye estos archivos benignos. Esto, junto con un an\u00e1lisis completo del dropper, fue descrito a principios de este a\u00f1o por Sophos en su&nbsp;<a href=\"https:\/\/news.sophos.com\/en-us\/2020\/05\/14\/raticate\/\">art\u00edculo RATicate<\/a>. Tambi\u00e9n hay un&nbsp;<a href=\"https:\/\/lab52.io\/blog\/apt-c-36-new-anti-detection-tricks\/\">art\u00edculo de Lab52<\/a>&nbsp;que describe uno de los instaladores de NSIS utilizados en la Operaci\u00f3n Spalax, y que ellos atribuyen a APT-C-36.<\/p>\n\n\n\n<p>En la gran mayor\u00eda de los casos, estos droppers NSIS descifran y ejecutan Remcos RAT, pero tambi\u00e9n hemos visto casos en los que el payload es njRAT. Estos son descritos m\u00e1s adelante en la secci\u00f3n&nbsp;<em>Payloads<\/em>.<\/p>\n\n\n\n<h4 class=\"wp-block-heading\"><strong>Empaquetadores de Agent Tesla<\/strong><\/h4>\n\n\n\n<p>Hemos visto varios droppers que son diferentes variantes de un empaquetador que usa esteganograf\u00eda y se sabe que es utilizado en&nbsp;<a href=\"https:\/\/blog.talosintelligence.com\/2019\/07\/sweed-agent-tesla.html\">muestras de Agente Tesla<\/a>. Curiosamente, los atacantes utilizan varios payloads, pero ninguno de ellos es Agente Tesla. Aunque existen diferencias en todas las muestras en cuanto a las capas de cifrado, ofuscaci\u00f3n o antian\u00e1lisis utilizadas, podemos resumir las acciones realizadas por los droppers de la siguiente manera:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>El dropper lee una string (o datos binarios) de su secci\u00f3n recursos y la descifra. El resultado es una DLL que se cargar\u00e1 y se llamar\u00e1 en el mismo espacio de direcciones.<\/li><li>La DLL lee p\u00edxeles de una imagen contenida en el primer binario y descifra otro ejecutable. \u00c9ste se carga y ejecuta en el mismo espacio de direcciones.<\/li><li>Este nuevo ejecutable est\u00e1 empaquetado con CyaX. Lee datos de su propia secci\u00f3n de recursos y descifra un payload. Hay controles antian\u00e1lisis; si pasan, el payload puede inyectarse en un nuevo proceso o cargarse en el mismo espacio de proceso.<\/li><\/ul>\n\n\n\n<h4 class=\"wp-block-heading\"><strong>Droppers en AutoIt<\/strong><\/h4>\n\n\n\n<p>Para algunos de sus droppers, los atacantes han usado un empaquetador AutoIt que viene fuertemente ofuscado. A diferencia de los casos descritos anteriormente, en este caso el malware de primera etapa realiza la inyecci\u00f3n y ejecuci\u00f3n del payload. Lo hace utilizando dos shellcode contenidas en el script AutoIt compilado: uno para descifrar el payload y otro para inyectarlo en alg\u00fan proceso.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">Payloads<\/h3>\n\n\n\n<p>Los payloads utilizados en Operaci\u00f3n Spalax son troyanos de acceso remoto. Estos brindan varias capacidades no solo para el control remoto, sino tambi\u00e9n para espiar a sus objetivos: <strong>registro de las pulsaciones de teclado, captura de pantalla, secuestro del portapapeles, exfiltraci\u00f3n de archivos y la capacidad de descargar y ejecutar otro malware, por nombrar algunos<\/strong>.<\/p>\n\n\n\n<p>Estos RAT no fueron desarrollados por los atacantes. Son:<\/p>\n\n\n\n<ul class=\"wp-block-list\"><li>Remcos, vendido en l\u00ednea<\/li><li>njRAT, filtrado en foros clandestinos<\/li><li>AsyncRAT, c\u00f3digo abierto<\/li><\/ul>\n\n\n\n<p>No existe una relaci\u00f3n de uno a uno entre los droppers y los payloads, ya que hemos visto diferentes tipos de droppers que ejecutan el mismo payload y tambi\u00e9n un solo tipo de dropper conectado a diferentes payloads. Sin embargo, podemos afirmar que los droppers NSIS droppean principalmente Remcos, mientras que los empaquetadores Agent Tesla y AutoIt generalmente droppean njRAT.<\/p>\n\n\n\n<figure class=\"wp-block-image\"><img data-opt-id=1734337051  data-opt-src=\"https:\/\/i.ytimg.com\/vi\/rffkJDcri18\/maxresdefault.jpg\"  decoding=\"async\" src=\"data:image/svg+xml,%3Csvg%20viewBox%3D%220%200%20100%%20100%%22%20width%3D%22100%%22%20height%3D%22100%%22%20xmlns%3D%22http%3A%2F%2Fwww.w3.org%2F2000%2Fsvg%22%3E%3Crect%20width%3D%22100%%22%20height%3D%22100%%22%20fill%3D%22transparent%22%2F%3E%3C%2Fsvg%3E\" alt=\"Remcos RAT Review - The Most Advanced Remote Access Tool - YouTube\"\/><figcaption>https:\/\/breaking-security.net\/remcos\/<\/figcaption><\/figure>\n\n\n\n<p>Remcos es una herramienta para el control remoto y vigilancia. Se puede comprar con una licencia de seis meses que incluye actualizaciones y soporte. Tambi\u00e9n hay una versi\u00f3n gratuita con funcionalidades limitadas. Si bien la herramienta se puede utilizar con fines leg\u00edtimos, los delincuentes tambi\u00e9n la utilizan para espiar a sus v\u00edctimas.<\/p>\n\n\n\n<p>La mayor\u00eda de las muestras de Remcos utilizadas por este grupo son v2.5.0 Pro, pero tambi\u00e9n hemos visto todas las versiones que se lanzaron desde septiembre de 2019, lo que puede indicar que los atacantes compraron una licencia despu\u00e9s de ese mes y han estado usando activamente las diferentes actualizaciones que recibieron durante su per\u00edodo de seis meses de licencia.<\/p>\n\n\n\n<figure class=\"wp-block-image\"><img data-opt-id=1719780903  data-opt-src=\"https:\/\/blog.malwarebytes.com\/wp-content\/uploads\/2018\/03\/Backdoor.NJRat-Program.WM_.png\"  decoding=\"async\" src=\"data:image/svg+xml,%3Csvg%20viewBox%3D%220%200%20100%%20100%%22%20width%3D%22100%%22%20height%3D%22100%%22%20xmlns%3D%22http%3A%2F%2Fwww.w3.org%2F2000%2Fsvg%22%3E%3Crect%20width%3D%22100%%22%20height%3D%22100%%22%20fill%3D%22transparent%22%2F%3E%3C%2Fsvg%3E\" alt=\"Backdoor.NJRat - Malwarebytes Labs | Malwarebytes Labs | Detections\"\/><\/figure>\n\n\n\n<p>Con respecto a njRAT, este grupo usa principalmente v0.7.3 (tambi\u00e9n conocida como la versi\u00f3n Lime). Esa versi\u00f3n incluye funcionalidades como DDoS o cifrado de ransomware, pero los atacantes solo utilizan funciones de espionaje como el registro de las pulsaciones de teclado. Para obtener una descripci\u00f3n m\u00e1s completa de esta versi\u00f3n, consulte este&nbsp;<a href=\"https:\/\/www.zscaler.com\/blogs\/research\/njrat-pushes-lime-ransomware-and-crypto-wallet-grabbers\">art\u00edculo de Zscaler publicado en 2018<\/a>.<\/p>\n\n\n\n<p>Otra versi\u00f3n de njRAT utilizada por los atacantes es la v0.7d (la \u201cedici\u00f3n verde\u201d) que es una versi\u00f3n m\u00e1s simple enfocada en las capacidades de espionaje: registro de pulsaciones de teclado, captura de pantalla, acceso a c\u00e1mara web y micr\u00f3fono, carga y descarga de archivos y ejecuci\u00f3n de otros binarios.<\/p>\n\n\n\n<figure class=\"wp-block-image\"><img data-opt-id=1310949083  decoding=\"async\" src=\"https:\/\/camo.githubusercontent.com\/d18d781cd97c7bf79cea70536555411ae9cd32289f1cb6ec28769685978eacac\/68747470733a2f2f692e696d6775722e636f6d2f4b626f6d45636f2e706e67\" alt=\"\"\/><figcaption>https:\/\/github.com\/NYAN-x-CAT\/AsyncRAT-C-Sharp<\/figcaption><\/figure>\n\n\n\n<p>El \u00faltimo tipo de payload que mencionaremos es AsyncRAT. En todos los casos hemos observado que se ha utilizado la versi\u00f3n v0.5.7B, la cual se puede encontrar en GitHub. Las funcionalidades de esta RAT son similares a las de las RAT mencionadas anteriormente, que permiten a los atacantes espiar a sus v\u00edctimas.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Infraestructura de red<\/h2>\n\n\n\n<p>Durante nuestra investigaci\u00f3n vimos aproximadamente 70 nombres de dominio diferentes utilizados para C&amp;C en la segunda mitad de 2020. Esto equivale al menos a 24 direcciones IP. Al analizar datos de DNS pasivos para direcciones IP y nombres de dominio conocidos, descubrimos que los atacantes han utilizado al menos 160 nombres de dominio adicionales desde 2019. Esto corresponde a por lo menos 40 direcciones IP m\u00e1s.<\/p>\n\n\n\n<p>Han logrado operar a tal escala utilizando servicios de DNS din\u00e1mico. Esto significa que cuentan con un grupo de nombres de dominio (y tambi\u00e9n registran nuevos de forma regular) que se asignan din\u00e1micamente a direcciones IP. De esta manera, un nombre de dominio se puede relacionar con varias direcciones IP durante un per\u00edodo de tiempo y las direcciones IP se pueden relacionar con muchos nombres de dominio. La mayor\u00eda de los nombres de dominio que hemos visto fueron registrados con&nbsp;<a href=\"https:\/\/www.duckdns.org\/\">Duck DNS<\/a>, pero tambi\u00e9n han utilizado&nbsp;<a href=\"https:\/\/www.dnsexit.com\/domains\/free-second-level-domains\/\">DNS Exit<\/a>&nbsp;para los subdominios&nbsp;publicvm.com&nbsp;y&nbsp;linkpc.net.<\/p>\n\n\n\n<p>En cuanto a las direcciones IP, casi todas est\u00e1n en Colombia. La mayor\u00eda son direcciones IP relacionadas con ISP colombianos: <strong>el 60% son Telmex y el 30% EPM Telecomunicaciones (Tigo).<\/strong> Como es muy poco probable que los delincuentes posean tantas direcciones IP residenciales, es posible que utilicen algunas v\u00edctimas como proxies o algunos dispositivos vulnerables para reenviar la comunicaci\u00f3n a sus servidores reales de C&amp;C.<\/p>\n\n\n\n<p>Finalmente, un subconjunto de las direcciones IP pertenece a Powerhouse Management, un proveedor de servicios VPN. Se utilizan junto con los subdominios DNS Exit. Se pueden encontrar hallazgos similares en&nbsp;<a href=\"https:\/\/lab52.io\/blog\/apt-c-36-recent-activity-analysis\/\">este an\u00e1lisis de Lab52<\/a>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Conclusi\u00f3n<\/h2>\n\n\n\n<p>Los ataques de malware dirigidos contra entidades colombianas se han incrementado desde las campa\u00f1as descritas el a\u00f1o pasado. El panorama ha cambiado y pas\u00f3 de una campa\u00f1a que ten\u00eda un pu\u00f1ado de servidores C&amp;C y nombres de dominio a una campa\u00f1a con una infraestructura muy grande y que cambia r\u00e1pidamente con cientos de nombres de dominio utilizados desde 2019. Aunque los TTP han visto cambios, no solo en la forma en que el malware es entregado a trav\u00e9s de correos de phishing sino tambi\u00e9n en las RAT utilizadas, un aspecto que permanece igual es que los ataques a\u00fan est\u00e1n dirigidos y enfocados en entidades colombianas, tanto del sector p\u00fablico como del privado. Es de esperar que estos ataques contin\u00faen en la regi\u00f3n durante mucho tiempo, por lo que seguiremos monitoreando estas actividades.<\/p>\n\n\n\n<p>Puede encontrar una lista completa de los Indicadores de Compromiso (IoC) y muestras en&nbsp;<a href=\"https:\/\/github.com\/eset\/malware-ioc\/tree\/master\/spalax\">nuestro repositorio de GitHub<\/a>.<\/p>\n\n\n\n<p><em>Para cualquier consulta o para enviar muestra relacionadas con el tema, cont\u00e1ctenos&nbsp;<\/em><em>a trav\u00e9s de la siguiente direcci\u00f3n&nbsp;<\/em><em><a href=\"mailto:threatintel@eset.com\">threatintel@eset.com<\/a><\/em><em>.<\/em><\/p>\n\n\n\n<p>Welivesecurity.com &#8211; <a href=\"https:\/\/www.welivesecurity.com\/la-es\/author\/mporolli\/\">Mat\u00edas Porolli<\/a> <\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Oferta especial ESET 30%<\/h2>\n\n\n\n<figure class=\"wp-block-image size-large\"><a href=\"https:\/\/forms.gle\/57B6ReiyWwpyZaoq9\"><img data-opt-id=2128843873  data-opt-src=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:auto\/h:auto\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/02\/image-18.png\"  loading=\"lazy\" decoding=\"async\" width=\"791\" height=\"605\" src=\"data:image/svg+xml,%3Csvg%20viewBox%3D%220%200%20100%%20100%%22%20width%3D%22100%%22%20height%3D%22100%%22%20xmlns%3D%22http%3A%2F%2Fwww.w3.org%2F2000%2Fsvg%22%3E%3Crect%20width%3D%22100%%22%20height%3D%22100%%22%20fill%3D%22transparent%22%2F%3E%3C%2Fsvg%3E\" alt=\"\" class=\"wp-image-2752\" old-srcset=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:791\/h:605\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/02\/image-18.png 791w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:300\/h:229\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/02\/image-18.png 300w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:768\/h:587\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/02\/image-18.png 768w\" \/><\/a><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\">&gt;&gt; <strong><a rel=\"noreferrer noopener\" href=\"https:\/\/forms.gle\/57B6ReiyWwpyZaoq9\" target=\"_blank\">Clic Aqu\u00ed para mas informaci\u00f3n  <\/a><\/strong>&lt;&lt;<\/h2>\n","protected":false},"excerpt":{"rendered":"<p>Investigadores de ESET revelan detalles de ataques dirigidos a instituciones gubernamentales y compa\u00f1\u00edas de Colombia, especialmente empresas del sector industrial, energ\u00e9tica y metal\u00fargica. En 2020, ESET vio varios ataques dirigidos exclusivamente a entidades colombianas entre ellas empresas de servicios como cl\u00ednicas y hospitales. Estos ataques a\u00fan est\u00e1n en curso al momento de escribir este art\u00edculo&hellip;<\/p>\n","protected":false},"author":1,"featured_media":2746,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[23],"tags":[],"class_list":["post-2737","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciberseguridad"],"_links":{"self":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts\/2737","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/comments?post=2737"}],"version-history":[{"count":0,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts\/2737\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/media\/2746"}],"wp:attachment":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/media?parent=2737"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/categories?post=2737"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/tags?post=2737"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}