Por Ismael Rocha: Una amenaza persistente avanzada (APT) trabaja para acceder a redes y sistemas informáticos sin ser detectada ni advertida. Estas amenazas, a veces ejecutadas por un Estado-nación o un grupo patrocinado por un Estado, pueden robar información privada y secreta, dañar los sistemas informáticos e interrumpir el funcionamiento de sistemas vitales. Defenderse de las amenazas persistentes avanzadas es una tarea difícil, ya que actúan con sigilo y sus intrusiones pueden ser difíciles de reconocer.
Brasil es un país con una gran variedad de sectores económicos, tales como: educación/investigación, finanzas, salud, gobierno/militar, comercio minorista, energía, comunicaciones, tecnología, entre otros. Estos sectores generan grandes sumas de dinero para gobiernos y organizaciones, despertando en consecuencia el interés de grupos de amenazas avanzadas. Como resultado, los ciberdelincuentes han experimentado un enorme aumento de los ciberataques para obtener beneficios económicos, acceder a archivos secretos y confidenciales o desestabilizar el país.
Acerca de Red Apollo (APT10)
APT10 (Red Apollo) es un grupo de ciberamenazas que se considera una operación patrocinada por el Estado chino. Es conocido por atacar a organizaciones de todo el mundo en diversos sectores, como las tecnologías de la información, las comunicaciones, la ingeniería y la industria aeroespacial, entre otros.
El principal objetivo de APT10 es robar propiedad intelectual, información confidencial y datos de organizaciones de todo el mundo para obtener beneficios económicos. Suelen llevar a cabo sus operaciones mediante phishing, malware personalizado y otras técnicas avanzadas de ingeniería social para acceder a las redes corporativas y exfiltrar datos.
El grupo también es conocido por sus operaciones a largo plazo y su capacidad para permanecer oculto en las redes de las víctimas durante meses o incluso años, lo que les permite obtener una cantidad significativa de datos confidenciales. APT10 Red Apollo está considerado uno de los grupos de ciberamenazas más avanzados y persistentes actualmente en activo.
TTPs - MITRE ATT&CK
| Tácticas | Técnica | Detalles |
| Descubrimiento | T1046 | Los atacantes intentan obtener una lista de servicios que se ejecutan en hosts remotos y dispositivos de infraestructura de red local, incluidos aquellos que pueden ser vulnerables a la explotación mediante software remoto. |
| Acceso inicial | T1566 | Envío de documentos maliciosos de Office por correo electrónico como parte de campañas de spearphishing, así como ejecutables camuflados como documentos. |
| Ejecución | T1204 | Intenta que las víctimas abran archivos maliciosos como accesos directos de Windows (.lnk) y/o documentos de Microsoft Office enviados por correo electrónico. |
| Ejecución | T1059 | Uso de PowerSploit para inyectar shellcode en PowerShell. |
| Movimiento lateral | T1021 | Uso de conexiones RDP para desplazarse por la red de la víctima. |
| Defensa Evasión | T1027 | Codificación de cadenas en su malware con base64, así como con una simple ofuscación XOR de un solo byte utilizando la clave 0x40. |
| Defensa Evasión | T1036 | Uso de esentutl para cambiar las extensiones de archivos a su verdadero tipo que estaban enmascarados como archivos .txt. |
| Acceso inicial | T1078 | Uso de cuentas válidas, incluidas las compartidas entre proveedores de servicios gestionados y clientes, para moverse entre los dos entornos. |
Indicadores de compromiso (IOC)
ISH Technology realiza el tratamiento de varios indicadores de compromisos recogidos a través de fuentes abiertas, fuentes cerradas y también a partir de análisis realizados por el equipo de seguridad de Heimdall. En vista de ello, a continuación enumeramos todos los Indicadores de Compromisos (IOC) relacionados con el análisis del artefacto o artefactos de este informe.
| Indicadores de compromiso de artefacto malicioso/analizado | |
| md5: | 577a47811b3c57a663bcbf2aab99c9e3 |
| sha1: | dbc48357bfbe41f5bfdd3045066486e76a23ad2d |
| sha256: | 70225015489cae369d311b62724ef0caf658ffdf62e5edbafd8267a8842e7696 |
| Nombre del fichero: | 70225015489cae369d311b62724ef0caf658ffdf62e5edbafd8267a8842e7696.bin |
| Indicadores de compromiso de artefacto malicioso/analizado | |
| md5: | 69ef2d7f9ed29840b60a7fd32030cbd1 |
| sha1: | b24e254f6fdd67318547915495f56f8f2a0ac4fe |
| sha256: | 91f8805e64f434099d0137d0b7ebf3db3ccbf5d76cd071d1604e3e12a348f2d9 |
| Nombre del fichero: | mpclient.dll |
| Indicadores de compromiso de artefacto malicioso/analizado | |
| md5: | f259765905cd16ff40132f35c85a862a |
| sha1: | d9efd4c4e1fb4e3d4a171c4ca0985839ad1cdee9 |
| sha256: | 7fe5674c9a3af8413d0ec71072a1c27d39edc14e4d110bfeb79d1148d55ce0b6 |
| Nombre del fichero: | 7fe5674c9a3af8413d0ec71072a1c27d39edc14e4d110bfeb79d1148d55ce0b6.bin |
| Indicadores de compromiso de artefacto malicioso/analizado | |
| md5: | bde2a3c8e034d30ce13e684f324c6702 |
| sha1: | a413f4bcb7406710b76fabdaba95bb4690b24406 |
| sha256: | f04f444d9f17d4534d37d3369bf0b20415186862986e62a25f59fd0c2c87562f |
| Nombre del fichero: | mpclient.dll |
| Indicadores de compromiso de artefacto malicioso/analizado | |
| md5: | 0c4a84b66832a08dccc42b478d9d5e1b |
| sha1: | 160320b920a5ef22ac17b48146152ffbef60461f |
| sha256: | 5b56c5d86347e164c6e571c86dbf5b1535eae6b979fede6ed66b01e79ea33b7b |
| Nombre del fichero: | 5b56c5d86347e164c6e571c86dbf5b1535eae6b979fede6ed66b01e79ea33b7b.exe |
| Indicadores de compromiso de artefacto malicioso/analizado | |
| md5: | 4c3c7053ec145ad3976b2a84038c5feb |
| sha1: | 3246867705e8aad60491fe195bcc83af79470b22 |
| sha256: | 15b52c468cfd4dee4599ec22b1c04b977416fbe5220ab30a097f403903d28a3a |
| Nombre del fichero: | vmtools.ini |
| Indicadores de compromiso de artefacto malicioso/analizado | |
| md5: | a4a6abf4ed4c9447683fba729a17197b |
| sha1: | ead02cb3f6b811427f2635a18398392bc2ebca3a |
| sha256: | b0fb6c7eecbf711b2c503d7f8f3cf949404e2dd256b621c8cf1f3a2bdfb54301 |
| Nombre del fichero: | glib-2.0.dll |
| Indicadores de compromiso de artefacto malicioso/analizado | |
| md5: | 809fcab1225981e87060033d72edaeaf |
| sha1: | 64f5044709efc77230484cec8a0d784947056022 |
| sha256: | 62fea3942e884855283faf3fb68f41be747c5baa922d140509237c2d7bacdd17 |
| Nombre del fichero: | 62fea3942e884855283faf3fb68f41be747c5baa922d140509237c2d7bacdd17.bin |
| Indicadores de compromiso de artefacto malicioso/analizado | |
| md5: | b16bb2f910f21e2d4f6e2aa1a1ea0d8b |
| sha1: | a75e9b702a892cc3e531e158ab2e4206b939f379 |
| sha256: | 8502852561fcb867d9cbf45ac24c5985fa195432b542dbf8753d5f3d7175b120 |
| Nombre del fichero: | LockDown.dll |
| Indicadores de compromiso de artefacto malicioso/analizado | |
| md5: | 78c309be8437e7c1d2dd3f12d7c034c8 |
| sha1: | 8c4f32b532dcbec914228baf16cf6b21fb12e2fc |
| sha256: | c10d7ea92fa96c79cfc3dd6957cad346ae3efd611eb4cca6e368c5c0fcad87be |
| Nombre del fichero: | muestra.doc |
| Indicadores de compromiso de artefacto malicioso/analizado | |
| md5: | 77c02893cf4a86ad2fd629aea4db772f |
| sha1: | 851234d83f283c87b9195178b8e6af6e7836fb1a |
| sha256: | 00d33ab9a73211ba9ed30d0afbe8cc2a1a2a4a60c90fe7f13fa2250d92a7ad85 |
| Nombre del fichero: | tw.rtf |
| Indicadores de compromiso de artefacto malicioso/analizado | |
| md5: | db212129be94fe77362751c557d0e893 |
| sha1: | 7fe6c8191749767254513b03da03cfbf6dd6c139 |
| sha256: | fadf362a52dcf884f0d41ce3df9eaa9bb30227afda50c0e0657c096baff501f0 |
| Nombre del fichero: | db212129be94fe77362751c557d0e893.vir |
| Indicadores de compromiso de artefacto malicioso/analizado | |
| md5: | faf9576ce2af23aac67d3087eb85a92b |
| sha1: | daadf23bf09519e77a8d9259164e893bddd6e621 |
| sha256: | db28df72ac3a076cc80eae301c4a1bcb1feab27331f33c928a99879f8290bcb3 |
| Nombre del fichero: | Adobechoose.exe |
| Indicadores de compromiso de artefacto malicioso/analizado | |
| md5: | e6c596cfa163fe9b8883c7618d594018 |
| sha1: | 4bc116cfb79ed3f116b8c1da4d82a435adf7c534 |
| sha256: | c5e9df74abe15f2751681117fd7efbce03f93157a3ccc314d51da9060dab3790 |
| Nombre del fichero: | scvhost |
| Indicadores de compromiso de artefacto malicioso/analizado | |
| md5: | 172ce304ce8946ae7be8d223d4520d80 |
| sha1: | c90b19dd970360ad8a0bc74ee6ecf3a002714698 |
| sha256: | d97e64eef62f109d19cb00651224fdfcfb2a14317c420096230627680be0bd78 |
| Nombre del fichero: | Invitación.doc |
| Indicadores de compromiso de artefacto malicioso/analizado | |
| md5: | b08694e14a9b966d8033b42b58ab727d |
| sha1: | 6716078e371d4bce479e35146c25a753b2b02202 |
| sha256: | af69ad95e6564d682b0f8220dd8c4cca61b60227add59c883eea960350747084 |
| Nombre del fichero: | PiShellPut |
| Indicadores de compromiso de artefacto malicioso/analizado | |
| md5: | 05ac9875df6a4e1b7b7a21099d27caaf |
| sha1: | 6a1ce9b2c7d8b1309941d8ce06278d3ab6eb6a2a |
| sha256: | 68bad787576e8766b6d1747c25829c784ddc9a9783872a50e6b5ee10fe17d6c3 |
| Nombre del fichero: | vt-upload-Db6R6 |
| Indicadores de compromiso de artefacto malicioso/analizado | |
| md5: | bd092cc922a8f83880b896a0911774a6 |
| sha1: | 06c9661095a9063c8028c493874f178b15aa73f4 |
| sha256: | 02b3114e249b11d6f051450356704ddf7871aecbdbab5657fc0ccd17ce13e514 |
| Nombre del fichero: | Live360.exe |
| Indicadores de compromiso de artefacto malicioso/analizado | |
| md5: | 056725205f97051a381ebe7894ba0671 |
| sha1: | 5fd8e622f205a2ffb408399eb3848a33058fdfc6 |
| sha256: | b88fe756176e2ee448bdc1f19c5c5675ecf465034a77e106679970b787942511 |
| Nombre del fichero: | kugou.dll |
| Indicadores de compromiso de artefacto malicioso/analizado | |
| md5: | 156ce6a9d3eaac1584b8df714a35c530 |
| sha1: | 75800a58d1c42ecba6415c3b5b3a07e65019b456 |
| sha256: | 98aefbea97d086f0bbe082b6bb7499f4ee1fbf707766f3b2739ed99857802ad8 |
| Nombre del fichero: | 1.xls |
| Indicadores de compromiso de artefacto malicioso/analizado | |
| md5: | 667989ffa5e77943f3384e78adf93510 |
| sha1: | aee17dbab01ed334bb94506fcbc2ed259242159e |
| sha256: | 7eeaa97d346bc3f8090e5b742f42e8900127703420295279ac7e04d06ebe0a04 |
| Nombre del fichero: | 667989ffa5e77943f3384e78adf93510.virobj |
URL de distribución y direcciones IP de C2:
| 114.55[.]109[.]199 |
| 185.225[.]17[.]39 |
| 43.254[.]216[.]104 |
| 45.124[.]115[.]103 |
| 161.82[.]181[.]4 |
| 43.254[.]219[.]153 |
| 45.124[.]115[.]103 |
| 185.225[.]19[.]17 |
| 94.158[.]245[.]249 |
| 5.252[.]179[.]227 |
| 222.186[.]151[.]141 |
| 47.111[.]22[.]65 |
| 154.223[.]141[.]36 |
| 103.139[.]2[.]93 |
| apple[.]ikwb[.]com |
| soporte1[.]mrface[.]com |
| unspa[.]hostport9[.]net |
| aotuo[.]9966[.]org |
| dedydns[.]ns01[.]us |
| servicios[.]arkouowi[.]com |
| creatos[.]kozow[.]com |
| quick[.]oldbmwy[.]com |
| jepsen[.]r3u8[.]com |
| sakai[.]unhamj[.]com |
| nttdata[.]otzo[.]com |
| forward[.]davidgagnon[.]org |
| cvnx[.]zyns[.]com |
| zebra[.]wthelpdesk[.]com |
| algoritmo[.]ddnsgeek[.]com |
| música[.]websegoo[.]net |
| hk[.]have8000[.]com |
| fbi[.]sexxxy[.]biz |
| friendlysupport[.]giize[.]com |
| idpmus[.]hostport9[.]net |
| leon[.]wchildress[.]com |
| vm[.]vmdnsup[.]org |
| escorpión[.]poulsenv[.]com |
| web[.]casacam[.]net |
| synssl[.]dnset[.]com |
| smo[.]gadskysun[.]com |
| abcd120719[.]6600[.]org |
| firtstdata[.]kozow[.]com |
| nunluck[.]re26[.]com |
| send[.]mofa[.]ns01[.]info |
| bulk[.]tmpxctl[.]com |
| yz[.]chromeenter[.]com |
| kawasaki[.]nube-maste[.]com |
| un[.]dnsrd[.]com |
| record[.]wschandler[.]com |
| tv [.]goldtoyota[.]com |
| cpu[.]4pu[.]com |
| av[.]ddns[.]us |
| send[.]have8000[.]com |
| contactos[.]rvenee[.]com |
| trems[.]rvenee[.]com |
| vídeo[.]vmdnsup[.]org |
| www[.]jadl-or[.]com |
| art[.]p6p6[.]net |
| vmyiersend[.]websago[.]info |
| trasul[.]mypicture[.]info |
| 1j[.]www1[.]biz |
| google[.]usrobothome[.]com |
| bak[.]have8000[.]com |
| google[.]macforlinux[.]net |
| arenque[.]kozow[.]com |
| be[.]yourtrap[.]com |
| grandeur[.]kozow[.]com |
| wike[.]wikaba[.]com |
| bk56[.]twilightparadox[.]com |
| kmd[.]crabdance[.]com |
| img[.]microtoo[.]info |
| inspgon[.]re26[.]com |
| iphone[.]vizvaz[.]com |
| babyprintf[.]2288[.]org |
| cia[.]toh[.]info |
| último[.]p6p6[.]net |
| jimin[.]jimindaddy[.]com |
| piedra[.]cangrejo saltarín[.]com |
| sky[.]oldbmwy[.]com |
| army[.]xxuz[.]com |
| sh[.]chromeenter[.]com |
| mailj[.]hostport9[.]net |
| dominio[.]casacam[.]net |
| applelib120102[.]9966[.]org |
| szdns[.]etfiber[.]net |
| 2014[.]zzux[.]com |
| voov[.]2288[.]org |
| documento[.]methoder[.]com |
| sbuudd[.]webssl9[.]info |
| baby[.]macforlinux[.]net |
| ducksow[.]ddnsgeek[.]com |
| jpn[.]longmusic[.]com |
| malware[.]dsmtp[.]com |
| zona[.]usrobothome[.]com |
| área[.]wthelpdesk[.]com |
| recurso[.]arkouowi[.]com |
| sendmsg[.]jumpingcrab[.]com |
| japón[.]fuckanti[.]com |
| hk[.]cmdnetview[.]com |
| record[.]hostport9[.]net |
| cao[.]p6p6[.]net |
| im[.]suibian2010[.]info |
| taipei[.]yourtrap[.]com |
| sstday[.]jkub[.]com |
| diamante[.]noveno[.]biz |
| inicio[.]usrobothome[.]com |
| amsidgoo[.]eldomais[.]info |
| janpan[.]bigmoney[.]biz |
| info[.]uroljp[.]com |
| iu[.]niushenghuo[.]info |
| usa[.]radiorig[.]com |
| fukuoka[.]nube-maste[.]com |
| sz[.]eldomais[.]info |
| whellbuy[.]wschandler[.]com |
| app[.]lehigtapp[.]com |
| firefoxcomt[.]arkouowi[.]com |
| kawasaki[.]unhamj[.]com |
| unidades[.]methoder[.]com |
| apple[.]cmdnetview[.]com |
| mensajea[.]emailencontrado[.]info |
| oro[.]polopúrpura[.]com |
| sdmsg[.]onmypc[.]org |
| fiveavmersi[.]websegoo[.]net |
| dick[.]ccfchrist[.]com |
| byeserver[.]com |
| dnsgogle[.]com |
| gamewushu[.]com |
| gxxservice[.]com |
| ibmupdate[.]com |
| infestexe[.]com |
| kasparsky[.]net |
| linux-update[.]net |
| macfee[.]ga |
| micros0ff[.]com |
| micros0tf[.]com |
| notped[.]com |
| operatingbox[.]com |
| paniesx[.]com |
| servidorbye[.]com |
| sexyjapan.ddns[.]info |
| symanteclabs[.]com |
| techniciantext[.]com |
| win7update[.]net |
| xigncodeservice[.]com |
| agegamepay[.]com |
| ageofwuxia[.]com |
| ageofwuxia[.]info |
| ageofwuxia[.]net |
| ageofwuxia[.]org |
Nota: Los enlaces y direcciones IP listados arriba pueden estar activos; tenga cuidado al manipular estos IoCs, evite hacer clic en ellos y convertirse en víctima de contenido malicioso alojado en el IoC.
¿Por qué tener un equipo de caza de amenazas?
El mayor peligro de una APT es que puede permanecer activa durante largos periodos de tiempo, a menudo sin ser detectada por las defensas de ciberseguridad, lo que permite a los atacantes exfiltrar información valiosa y causar daños significativos. Una de las principales características de una APT es su capacidad para evitar ser detectada por las soluciones de seguridad tradicionales, como cortafuegos y antivirus. Los grupos de amenazas avanzadas suelen utilizar sofisticadas técnicas de ingeniería social, phishing e ingeniería inversa para infiltrarse en redes corporativas e instituciones gubernamentales, causando importantes daños financieros.
Las soluciones de seguridad tradicionales, como los cortafuegos y los antivirus, son eficaces para detectar amenazas conocidas, pero pueden fallar a la hora de detectar nuevas amenazas diseñadas específicamente para prevenirlas. El equipo de Threat Hunting busca proactivamente amenazas en toda la infraestructura informática de la organización, utilizando técnicas avanzadas de análisis de amenazas e investigación forense para encontrar actividades sospechosas o anomalías que puedan indicar la presencia de una amenaza. Esto permite al equipo tomar medidas inmediatas para interrumpir o neutralizar una amenaza antes de que cause daños significativos a la organización.
En resumen, un equipo de Threat Hunting es importante porque proporciona una capa adicional de protección proactiva contra las ciberamenazas, permitiendo a las organizaciones identificar y responder a las ciberamenazas avanzadas con mayor rapidez y eficacia.
Cómo protegerse del grupo Red Apollo
Además de los indicadores de compromiso enumerados a continuación por el ISH, se pueden adoptar medidas para mitigar la infección de los anteriores a amenazas persistentes avanzadas, tales como:
- Mantener el software actualizado: es importante mantener el sistema operativo, las aplicaciones y el software de seguridad al día con las últimas actualizaciones de seguridad. Esto ayuda a corregir vulnerabilidades conocidas que pueden ser explotadas por las APT.
- Utiliza la autenticación multifactor: puede ayudar a protegerse contra los ataques de phishing y el robo de credenciales. Añade una capa extra de seguridad al requerir que el usuario proporcione información adicional, además de una contraseña, para autenticarse.
- No descargue artefactos contenidos en correos electrónicos sospechosos y no haga clic en enlaces de correos electrónicos que parezcan tener un comportamiento malicioso.
- Utilizar el cifrado: esto puede ayudar a proteger la información sensible, como los datos de clientes y empresas, para evitar que las APT accedan a ella.
- Haga copias de seguridad con regularidad: cultivar esta práctica para los datos críticos puede ayudar a protegerse contra la pérdida de datos debida a ataques APT.
- La implantación de controles de seguridad en la red, como cortafuegos, IDS/IPS y detección avanzada de amenazas, puede ayudar a identificar y bloquear las APT antes de que causen daños.
- Impartir cursos de concienciación sobre seguridad: esto puede ayudar a educar a los usuarios sobre las amenazas a la seguridad y cómo protegerse contra ellas.
- Realizar análisis de comportamiento: esto puede ayudar a detectar actividades sospechosas dentro de la red, como la transferencia de grandes cantidades de datos a lugares desconocidos o el intento de acceder a recursos confidenciales fuera del horario laboral.
- Adoptar una postura de seguridad para toda la empresa: para ser eficaces contra las APT es importante que las empresas adopten un enfoque integral de la seguridad para toda la empresa, que incluya políticas y procedimientos, controles de seguridad y formación periódica de concienciación sobre la seguridad.
Referencias
- Heimdall de ISH Technology
- Mitre att&ck
- Informe publicado por Cyware
- Alienvault