Por Ismael Rocha: Una amenaza persistente avanzada (APT) trabaja para acceder a redes y sistemas informáticos sin ser detectada ni advertida. Estas amenazas, a veces ejecutadas por un Estado-nación o un grupo patrocinado por un Estado, pueden robar información privada y secreta, dañar los sistemas informáticos e interrumpir el funcionamiento de sistemas vitales. Defenderse de las amenazas persistentes avanzadas es una tarea difícil, ya que actúan con sigilo y sus intrusiones pueden ser difíciles de reconocer.
Brasil es un país con una gran variedad de sectores económicos, tales como: educación/investigación, finanzas, salud, gobierno/militar, comercio minorista, energía, comunicaciones, tecnología, entre otros. Estos sectores generan grandes sumas de dinero para gobiernos y organizaciones, despertando en consecuencia el interés de grupos de amenazas avanzadas. Como resultado, los ciberdelincuentes han experimentado un enorme aumento de los ciberataques dirigidos a obtener beneficios económicos, acceder a archivos secretos y confidenciales o perturbar el país.
Países y segmentos objetivo de APT41
El grupo APT es conocido por atacar a varios países de todo el mundo. Algunas de las regiones en las que la amenaza ya ha estado activa son Asia, Europa, Norteamérica y Sudamérica. Algunos de los países que son objetivos conocidos de APT41 incluyen:
Es importante señalar que APT41 es un grupo muy sofisticado y en constante evolución, por lo que la lista puede cambiar con el tiempo. Por esta misma razón, hacemos hincapié en que la lista de segmentos objetivo que figura a continuación también puede cambiar.
Modo de funcionamiento de la amenaza
La cadena de ataque del grupo de amenazas avanzadas APT41 puede variar en función del objetivo y de los objetivos específicos del ataque, pero generalmente implica los siguientes pasos:
- Reconocimiento y recopilación de información: se busca el objetivo y se recopila información para conocer la infraestructura de red, las tecnologías utilizadas y otros detalles relevantes;
- Entrega: se utilizan diversas técnicas para entregar el malware o la carga maliciosa al sistema o red de la organización, como phishing, spear phishing, malvertising, explotación de vulnerabilidades, entre otras;
- Explotación: una vez entregada la carga útil, el grupo utiliza técnicas de explotación para buscar vulnerabilidades en el sistema o la red de la organización con el fin de obtener acceso no autorizado;
- Evasión de la defensa: se establece una presencia en el sistema o red de la organización, utilizando técnicas de evasión para evitar la detección;
- Movimiento lateral: el grupo se desplaza lateralmente por el sistema o la red de la organización, en busca de información valiosa;
- Exfiltración de datos: APT41 recopila y exfiltra datos valiosos de la organización, incluida información confidencial, propiedad intelectual y otra información financiera y estratégica;
- Persistencia: APT41 mantiene una presencia persistente en el sistema o red de la organización, lo que le permite seguir recopilando información y llevando a cabo actividades maliciosas durante un periodo prolongado;
- Impacto y destrucción: en algunos casos, APT41 puede destruir datos o llevar a cabo sabotajes como parte de su estrategia global de ataque.
Es importante señalar que la cadena de ataque APT41 es muy sofisticada y está en constante evolución, y puede incluir otras etapas y/o variaciones en función del objetivo y de los objetivos específicos del ataque.
Herramientas ya utilizadas por APT41
Se identificó que APT41 utiliza una variedad de malware y herramientas, tanto públicas como exclusivas del grupo, para establecerse en el entorno de la víctima, tales como:
- ASPXEspía
- ACEHASH
- Faro
- CHINACHOP
- COLDJAVA
- CRACKSHOT
- CROSSWALK
- DEADEYE
- TIEMPO DE INACTIVIDAD
- EASYNIGHT
- Gh0st
- TARDE.LITE
- ALTA TARDE.PASTEBOY
- HOTCHAI
- HKDOOR
- JUMPALL
- LATELUNCH
- LIFEBOAT
- LOWKEY
- njRAT
- POISONPLUG
- POISONPLUG.SHADOW
- POTROAST
- SAGEHIRE
- SOGU
- VELA DULCE
- TERA
- TIDYELF
- XDOOR
- WINTERLOVE
- ZXSHELL
TTPs - MITRE ATT&CK
| Tácticas | Técnica | Detalles |
| Evasión de la defensa Escalada de privilegios | T1134 | APT41 utilizó un exploit BADPOTATO ofuscado por ConfuserEx para abusar de la representación de canal con nombre para la escalada de privilegios local NT AUTHORITY\SYSTEM . |
| Persistencia | T1098 | Se han añadido cuentas de usuario a los grupos Usuario y Administrador. |
| Mando y control | T1071 | APT41 utilizó HTTP para descargar cargas útiles para los exploits CVE-2019-19781 y CVE-2020-10189. |
| Colección | T1560 | Se ha creado un archivo RAR de archivos destinados a la exfiltración. |
| Defensa Evasión Persistencia | T1197 | APT41 utilizaba BITSAdmin para descargar e instalar cargas útiles. |
| Escalada de privilegios de persistencia | T1547 | Se han creado y modificado los archivos de inicialización para la persistencia. Se ha añadido una clave de registro HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost para establecer la persistencia de Cobalt Strike. |
| Acceso con credenciales | T1110 | Se realizaron ataques de fuerza bruta contra la cuenta de administrador local. |
| Ejecución | T1059 | Aprovechaba PowerShell para desplegar familias de malware en los entornos de las víctimas. |
| Impacto | T1486 | Se utilizó un ransomware llamado Encryptor RaaS para cifrar archivos en los sistemas objetivo y proporcionar al usuario una nota de rescate. |
| Persistencia de la escalada de privilegios | T1546 | El APT41 aprovechó las llaves de agarre para establecer la persistencia. |
Indicadores de compromiso (IOC)
ISH Technology realiza el tratamiento de varios indicadores de compromisos recogidos a través de fuentes abiertas, fuentes cerradas y también a partir de análisis realizados por el equipo de seguridad de Heimdall. En vista de ello, a continuación enumeramos todos los Indicadores de Compromisos (IOC) relacionados con el análisis del artefacto o artefactos de este informe.
| Indicadores de compromiso de artefacto malicioso/analizado | |
| md5: | 04fb0ccf3ef309b1cd587f609ab0e81e |
| sha1: | 44260a1dfd92922a621124640015160e621f32d5 |
| sha256: | 993d14d00b1463519fea78ca65d8529663f487cd76b67b3fd35440bcdf7a8e31 |
| Nombre del fichero: | VirusShare_04fb0ccf3ef309b1cd587f609ab0e81e |
| Indicadores de compromiso de artefacto malicioso/analizado | |
| md5: | f8c89ccd8937f2b760e6706738210744 |
| sha1: | f3c222606f890573e6128fbeb389f37bd6f6bda3 |
| sha256: | 4aa6970cac04ace4a930de67d4c18106cf4004ba66670cfcdaa77a4c4821a213 |
| Nombre del fichero: | 24BJCTGH.exe |
| Indicadores de compromiso de artefacto malicioso/analizado | |
| md5: | 46a557fbdce734a6794b228df0195474 |
| sha1: | 41bac813ae07aef41436e8ad22d605f786f9e099 |
| sha256: | 42d138d0938494fd64e1e919707e7201e6675b1122bf30ab51b1ae26adaec921 |
| Nombre del fichero: | |
| Indicadores de compromiso de artefacto malicioso/analizado | |
| md5: | 77c60e5d2d99c3f63f2aea1773ed4653 |
| sha1: | ad77a34627192abdf32daa9208fbde8b4ebfb25c |
| sha256: | 7566558469ede04efc665212b45786a730055770f6ea8f924d8c1e324cae8691 |
| Nombre del fichero: | 7566558469ede04efc665212b45786a730055770f6ea8f924d8c1e324cae8691.vir |
| Indicadores de compromiso de artefacto malicioso/analizado | |
| md5: | 849ab91e93116ae420d2fe2136d24a87 |
| sha1: | 3f1dee370a155dc2e8fb15e776821d7697583c75 |
| sha256: | 7cd17fc948eb5fa398b8554fea036bdb3c0045880e03acbe532f4082c271e3c5 |
| Nombre del fichero: | archivo.exe.app.dll |
| Indicadores de compromiso de artefacto malicioso/analizado | |
| md5: | 36711896cfeb67f599305b590f195aec |
| sha1: | 1036a7088b060250bb66b6de91f0c6ac462dc24c |
| sha256: | 490c3e4af829e85751a44d21b25de1781cfe4961afdef6bb5759d9451f530994 |
| Nombre del fichero: | 490c3e4af829e85751a44d21b25de1781cfe4961afdef6bb5759d9451f530994.bin |
| Indicadores de compromiso de artefacto malicioso/analizado | |
| md5: | 7d51ea0230d4692eeedc2d5a4cd66d2d |
| sha1: | 5ee7c57dc84391f63eaa3824c53cc10eafc9e388 |
| sha256: | 63e8ed9692810d562adb80f27bb1aeaf48849e468bf5fd157bc83ca83139b6d7 |
| Nombre del fichero: | 63e8ed9692810d562adb80f27bb1aeaf48849e468bf5fd157bc83ca83139b6d7.bin |
| Indicadores de compromiso de artefacto malicioso/analizado | |
| md5: | a0a96138b57ee24eed31b652ddf60d4e |
| sha1: | 03de2118aac6f20786043c7ef0324ef01dcf4265 |
| sha256: | 79190925bd1c3fae65b0d11db40ac8e61fb9326ccfed9b7e09084b891089602d |
| Nombre del fichero: | 79190925bd1c3fae65b0d11db40ac8e61fb9326ccfed9b7e09084b891089602d.bin |
| Indicadores de compromiso de artefacto malicioso/analizado | |
| md5: | ba08b593250c3ca5c13f56e2ca97d85e |
| sha1: | adde0644a572ed593e8b0566698d4e3de0fefb8a |
| sha256: | c51c5bbc6f59407286276ce07f0f7ea994e76216e0abe34cbf20f1b1cbd9446d |
| Nombre del fichero: | c51c5bbc6f59407286276ce07f0f7ea994e76216e0abe34cbf20f1b1cbd9446d |
| Indicadores de compromiso de artefacto malicioso/analizado | |
| md5: | 37e100dd8b2ad8b301b130c2bca3f1ea |
| sha1: | 32466d8d232d7b1801f456fe336615e6fa5e6ffb |
| sha256: | 2eea29d83f485897e2bac9501ef000cc266ffe10019d8c529555a3435ac4aabd |
| Nombre del fichero: | TSMSISrv.DLL |
| Indicadores de compromiso de artefacto malicioso/analizado | |
| md5: | 557ff68798c71652db8a85596a4bab72 |
| sha1: | 971bb08196bba400b07cf213345f55ce0a6eedc8 |
| sha256: | 5d971ed3947597fbb7e51d806647b37d64d9fe915b35c7c9eaf79a37b82dab90 |
| Nombre del fichero: | TSMSISrv.DLL |
| Indicadores de compromiso de artefacto malicioso/analizado | |
| md5: | 830a09ff05eac9a5f42897ba5176a36a |
| sha1: | 2366d181a1697bcb4f368df397dd0533ab8b5d27 |
| sha256: | 70c03ce5c80aca2d35a5555b0532eedede24d4cc6bdb32a2c8f7e630bba5f26e |
| Nombre del fichero: | BARLAIY-70c03ce5c80aca2d35a5555b0532eedede24d4cc6bdb32a2c8f7e630bba5f26e |
| Indicadores de compromiso de artefacto malicioso/analizado | |
| md5: | 7d51ea0230d4692eeedc2d5a4cd66d2d |
| sha1: | 5ee7c57dc84391f63eaa3824c53cc10eafc9e388 |
| sha256: | 63e8ed9692810d562adb80f27bb1aeaf48849e468bf5fd157bc83ca83139b6d7 |
| Nombre del fichero: | 63e8ed9692810d562adb80f27bb1aeaf48849e468bf5fd157bc83ca83139b6d7.bin |
| Indicadores de compromiso de artefacto malicioso/analizado | |
| md5: | b0877494d36fab1f9f4219c3defbfb19 |
| sha1: | 4dc5fadece500ccd8cc49cfcf8a1b59baee3382a |
| sha256: | 3e6c4e97cc09d0432fbbbf3f3e424d4aa967d3073b6002305cd6573c47f0341f |
| Nombre del fichero: | TSMSISrv.DLL |
| Indicadores de compromiso de artefacto malicioso/analizado | |
| md5: | ff8d92dfbcda572ef97c142017eec658 |
| sha1: | 6f065eea36e28403d4d518b8e24bb7a915b612c3 |
| sha256: | f4d57acde4bc546a10cd199c70cdad09f576fdfe66a36b08a00c19ff6ae19661 |
| Nombre del fichero: | TSMSISrv.DLL |
| Indicadores de compromiso de artefacto malicioso/analizado | |
| md5: | ffd0f34739c1568797891b9961111464 |
| sha1: | 82072cb53416c89bfee95b239f9a90677a0848df |
| sha256: | 0055dfaccc952c99b1171ce431a02abfce5c6f8fb5dc39e4019b624a7d03bfcb |
| Nombre del fichero: | ma_lockdown_service.dll |
| Indicadores de compromiso de artefacto malicioso/analizado | |
| md5: | 97363d50a279492fda14cbab53429e75 |
| sha1: | f1a181d29b38dfe60d8ea487e8ed0ef30f064763 |
| sha256: | 462a02a8094e833fd456baf0a6d4e18bb7dab1a9f74d5f163a8334921a4ffde8 |
| Nombre del fichero: | nssock.dll |
| Indicadores de compromiso de artefacto malicioso/analizado | |
| md5: | 5e87b09f9a3f1b728c9797560a38764b |
| sha1: | 67c957c268c1e56cc8eb34b02e5c09eae62680f5 |
| sha256: | 354c174e583e968f0ecf86cc20d59ecd6e0f9d21800428453b8db63f344f0f22 |
| Nombre del fichero: | =?utf-8?B?5Lit5p2x5ZG85ZC45Zmo55eH5YCZ576kKE1FUlMp44Gu5LqI6ZiyLjd6?= |
URL de distribución y direcciones IP de C2:
| byeserver[.]com |
| dnsgogle[.]com |
| gamewushu[.]com |
| gxxservice[.]com |
| ibmupdate[.]com |
| infestexe[.]com |
| kasparsky[.]net |
| linux-update[.]net |
| macfee[.]ga |
| micros0ff[.]com |
| micros0tf[.]com |
| notped[.]com |
| operatingbox[.]com |
| paniesx[.]com |
| servidorbye[.]com |
| sexyjapan.ddns[.]info |
| symanteclabs[.]com |
| techniciantext[.]com |
| win7update[.]net |
| xigncodeservice[.]com |
| agegamepay[.]com |
| ageofwuxia[.]com |
| ageofwuxia[.]info |
| ageofwuxia[.]net |
| ageofwuxia[.]org |
Nota: Los enlaces y direcciones IP listados arriba pueden estar activos; tenga cuidado al manipular estos IoCs, evite hacer clic en ellos y convertirse en víctima de contenido malicioso alojado en el IoC.
Cómo protegerse del grupo APT41
Además de los indicadores de compromiso enumerados anteriormente por el ISH, se pueden adoptar medidas para mitigar la infección de los mencionados a las amenazas persistentes avanzadas, tales como:
- Mantener el software actualizado: es importante mantener el sistema operativo, las aplicaciones y el software de seguridad al día con las últimas actualizaciones de seguridad. Esto ayuda a corregir vulnerabilidades conocidas que pueden ser explotadas por las APT.
- Utiliza la autenticación multifactor: puede ayudar a protegerse contra los ataques de phishing y el robo de credenciales. Añade una capa extra de seguridad al requerir que el usuario proporcione información adicional, además de una contraseña, para autenticarse.
- No descargue artefactos contenidos en correos electrónicos sospechosos y no haga clic en enlaces de correos electrónicos que parezcan tener un comportamiento malicioso.
- Utilizar el cifrado: esto puede ayudar a proteger la información sensible, como los datos de clientes y empresas, para evitar que las APT accedan a ella.
- Haga copias de seguridad con regularidad: cultivar esta práctica para los datos críticos puede ayudar a protegerse contra la pérdida de datos debida a ataques APT.
- La implantación de controles de seguridad en la red, como cortafuegos, IDS/IPS y detección avanzada de amenazas, puede ayudar a identificar y bloquear las APT antes de que causen daños.
- Impartir cursos de concienciación sobre seguridad: esto puede ayudar a educar a los usuarios sobre las amenazas a la seguridad y cómo protegerse contra ellas.
- Realizar análisis de comportamiento: esto puede ayudar a detectar actividades sospechosas dentro de la red, como la transferencia de grandes cantidades de datos a lugares desconocidos o el intento de acceder a recursos confidenciales fuera del horario laboral.
- Adoptar una postura de seguridad para toda la empresa: para ser eficaces contra las APT es importante que las empresas adopten un enfoque integral de la seguridad para toda la empresa, que incluya políticas y procedimientos, controles de seguridad y formación periódica de concienciación sobre la seguridad.
Referencias
- Heimdall de ISH Technology
- mandiant
- trendmicro
- hhs.gov