Un nuevo informe revela detalles sobre una operación de ciberespionaje en curso dirigida por un actor de amenazas denominado UNC3524.
Los objetivos son personas que trabajan en empresas muy involucradas en fusiones y adquisiciones, desarrollo corporativo y grandes transacciones corporativas. Si bien dicha orientación puede sugerir motivaciones financieras, se cree que, en cambio, está motivada por el espionaje, porque el actor de amenazas mantiene su acceso y permanece sin ser detectado por un orden de magnitud más largo que el tiempo de permanencia promedio de 21 días.
El modus operandi de la operación indica una fuerte motivación para permanecer sin ser detectado y persistente: cada vez que una víctima limpia su entorno, el actor de la amenaza lo vuelve a comprometer inmediatamente con una variedad de mecanismos, reiniciando la campaña de robo de datos.
Veamos cómo funciona este malware y cómo detectarlo y prevenirlo.
Indice
Gran persistencia en dispositivos de red
Si bien el compromiso inicial sigue siendo desconocido en este punto, UNC3524 implementa una puerta trasera no informada anteriormente rastreada por Mandiant como QUIETEXIT inmediatamente después de obtener el acceso inicial.
El malware QUIETEXIT se basa en la herramienta cliente-servidor DropBear SSH de código abierto.
Según el desarrollador de este software, “Dropbear es particularmente útil para sistemas Linux (u otros Unix) de tipo ‘embebido’, como enrutadores inalámbricos” y puede ejecutarse en una gran variedad de sistemas. Esta es probablemente una de las razones por las que UNC3524 decidió desarrollar su malware basado en este software.
Por ejemplo, UNC3524 decidió instalar la puerta trasera QUIETEXIT en dispositivos de red opacos dentro de los entornos de las víctimas: puertas traseras en arreglos SAN, balanceadores de carga y controladores de punto de acceso inalámbrico.
Como menciona Mandiant, «este tipo de dispositivos no son compatibles con antivirus o herramientas de detección y respuesta de punto final, por lo que los sistemas operativos subyacentes quedan en manos de los proveedores».
Al instalar su malware en sistemas confiables que no admiten herramientas de seguridad, UNC3524 permaneció sin ser detectado en los entornos de las víctimas durante al menos 18 meses.
¿Cómo funciona la puerta trasera QUIETEXIT?
El malware funciona en un modo cliente-servidor SSH tradicional, pero al revés. El componente que se ejecuta en el sistema comprometido establece una conexión TCP con un servidor antes de desempeñar la función de servidor SSH. El componente que se ejecuta en el lado del atacante inicia la conexión SSH y envía una contraseña. Una vez que se establece la conexión, el atacante puede usar cualquiera de las opciones habituales del cliente SSH, incluido el tráfico de proxy a través del protocolo SOCKS.
La puerta trasera no tiene un método de persistencia propio, pero los atacantes instalan un comando de ejecución para ella y secuestran secuencias de comandos de inicio específicas de aplicaciones legítimas para iniciar el malware.
Los dominios utilizados para los servidores C2 están destinados a mezclarse con el tráfico legítimo que se origina en los dispositivos infectados. Como ejemplo, los investigadores mencionan un equilibrador de carga infectado cuyos dominios C2 contenían cadenas que posiblemente podrían estar relacionadas con el proveedor del dispositivo y el nombre del sistema operativo de la marca, lo que demuestra una vez más que UNC3524 es muy cauteloso y está decidido a pasar desapercibido con una preparación cuidadosa.
Segunda puerta trasera: malware REGEORG
En algunos casos, UNC3524 utiliza una segunda puerta trasera que desempeña el papel de acceso alternativo a los entornos de las víctimas. El malware REGEORG es un shell web y se coloca en un servidor web DMZ. Este shell web crea un proxy SOCKS que se puede usar para hacer túneles.
El malware se nombró para adaptarse a otros nombres de aplicaciones para pasar desapercibido. Mandiant también observó marcas de tiempo en algunos casos, donde las marcas de tiempo del shell web coincidían con los archivos legítimos en la misma carpeta.
Este shell web solo se observó cuando el malware QUIETEXIT dejó de funcionar y solo se usó para reinstalar QUIETEXIT en otro sistema de la red. Si bien existe una versión pública de REGEORG, el actor de amenazas utiliza una versión muy ofuscada y poco conocida.
Movimientos laterales y robo de correo electrónico
El actor de amenazas utiliza la puerta trasera QUIETEXIT para establecer un túnel SOCKS en el entorno de la víctima con cifrado SSH completamente funcional. Luego, el actor usaría el túnel para activar las herramientas de robo de datos que se ejecutan en su propia infraestructura, sin dejar rastro de las herramientas en los dispositivos infectados.
Para moverse lateralmente dentro de la red, UNC3524 usa una versión personalizada de WMIEXEC, lo que les permite establecer un shell semi-interactivo en un host remoto y guardar secciones de registro mientras extraen los secretos de LSA sin conexión.
Una vez que el autor de la amenaza tiene credenciales privilegiadas válidas, las solicitudes se envían a la API de servicios web de Exchange a la versión local de Microsoft Exchange o al entorno de Microsoft 365 Exchange Online, dirigidas a un subconjunto de buzones.
Los buzones a los que se dirigía UNC3524 pertenecían a equipos ejecutivos y empleados que trabajaban en desarrollo corporativo, fusiones y adquisiciones, o personal de seguridad de TI, posiblemente para comprobar si se detectaban o no.
Una vez autenticado en la infraestructura de Exchange, el actor de amenazas extrae los correos electrónicos seleccionados mediante un filtrado específico basado en los nombres de las carpetas y la fecha correspondiente a la última vez que accedió.
Servidores C2 en cámaras
Todos los dominios QUIETEXIT C2 observados usaban proveedores de DNS dinámico, lo que permitía a los atacantes actualizar sus registros de DNS de forma muy rápida y sencilla.
En algunas ocasiones, los dominios DNS dinámicos cambiaron para conducir a una infraestructura de VPS en lugar de la botnet de la cámara comprometida, tal vez debido a problemas de comunicación de la red.
Los aspectos más interesantes de esta infraestructura son los servidores que actúan como C2: son «principalmente sistemas de cámara de sala de conferencias heredados vendidos por LifeSize, Inc. y, en un caso, una cámara IP de D-Link».
Es probable que estos servidores sean servidores comprometidos que ejecutan el componente de servidor del malware QUIETEXIT. Mandiant sospecha que estos sistemas de cámara podrían estar ejecutando firmware anterior o permitir credenciales predeterminadas.
Detección
El uso de dispositivos comprometidos por parte de UNC3524 hace que la búsqueda y la detección basada en host sean extremadamente difíciles. La mejor oportunidad para la detección permanecer en el registro basado en la red, específicamente monitorizando el tráfico en el nivel de capa 7. Se recomienda buscar el tráfico etiquetado entornos como de salida de la aplicación «SSH» a través de puertos que no sean el 22. Este tráfico debe ser pequeño y cualquier hallazgo debe investigarse.
Las organizaciones también pueden buscar tráfico SSH que se origine en direcciones IP desconocidas o no en los sistemas de gestión de activos. Es más probable que estos sistemas de origen sean dispositivos que no se administren de forma centralizada. Finalmente, los grandes volúmenes de tráfico de red que se originan en las interfaces de «administración» de los dispositivos, como los arreglos NAS y los balanceadores de carga, también deben investigarse como sospechosos.
UNC3524 apunta a dispositivos de opacos rojos porque a menudo son los sistemas más inseguros y sin supervisión en un entorno víctima. Las organizaciones deben tomar medidas para hacer un inventario de sus dispositivos que están en la red y no sacar herramientas de monitorización. Es probable que cada dispositivo tenga acciones de refuerzo específicas del proveedor para garantizar que se habilite el registro adecuado y que los registros se envíen a un depósito central. Las organizaciones también pueden tomar medidas para usar controles de acceso a la red para limitar o operar completamente el tráfico de salida de estos dispositivos.
Para la búsqueda basada en host, Mandiant recomienda buscar QUIETEXIT en dispositivos que utilicen los comandos grep proporcionados. La mayoría de los dispositivos que brindan acceso de shell deben tener disponible el binario grep.
Protección
Se recomienda habilitar la autenticación multifactor para correos electrónicos y aplicar una política de contraseña segura. También se recomienda cambiar cualquier contraseña predeterminada en cada dispositivo de red y tomar medidas de protección específicas del proveedor.
El registro también debe habilitarse para cada dispositivo, y los registros se envían a un repositorio central. Actualiza y parchea cada sistema para mantenerte actualizado y evitar caer en una vulnerabilidad antigua.
Conclusión
Los grupos APT han evolucionado sus oficios y se han vuelto más sigilosos que nunca para cumplir su misión. Los investigadores han descubierto recientemente uno de esos grupos de espionaje UNC3524 con una seguridad operativa sofisticada, un conjunto de malware altamente funcional, huellas de malware bajas y un tiempo de permanencia más prolongado.
UNC3542, por medio de varias tácticas de ataque, que incluyen persistencia inmediata, puertas traseras múltiples, habilidades evasivas furtivas y estrategias bien planificadas, se ha establecido como una amenaza persistente avanzada. Con mayores tasas de éxito en tales operaciones, más piratas informáticos aumentarán su inversión en herramientas para facilitar la recopilación masiva de correo electrónico de los entornos de las víctimas.