Underc0de - La Casa de los Informáticos

Un sofisticado grupo de amenazas identificado como UNC6692 está detrás de una nueva campaña de ciberataques altamente dirigida que combina ingeniería social avanzada, herramientas legítimas y una suite de malware personalizada denominada "Snow". Este conjunto malicioso incluye múltiples componentes diseñados para garantizar persistencia, evasión y control total de sistemas comprometidos, con el objetivo final de robar credenciales y comprometer dominios empresariales completos.

De acuerdo con investigadores de Mandiant, la campaña evidencia una evolución significativa en las tácticas de acceso inicial, destacando el uso de técnicas de manipulación psicológica junto con herramientas corporativas legítimas para evadir la detección.

Ingeniería social: el vector de ataque inicial

El ataque comienza con una técnica conocida como "email bombing", mediante la cual los atacantes saturan a la víctima con grandes volúmenes de correos electrónicos para generar confusión y urgencia. Posteriormente, el actor malicioso contacta a la víctima a través de Microsoft Teams, haciéndose pasar por personal del soporte técnico.

Este enfoque coincide con hallazgos recientes de Microsoft, que advierten sobre el aumento del uso de herramientas de comunicación corporativa como vector de ataque. En muchos casos, los atacantes inducen a las víctimas a otorgar acceso remoto mediante herramientas legítimas como Quick Assist, facilitando el control inicial del sistema.

Cadena de infección: de dropper a persistencia avanzada

En el caso específico de UNC6692, la víctima es engañada para descargar un supuesto parche de seguridad que promete detener el spam. Sin embargo, este archivo actúa como un dropper malicioso que ejecuta scripts de AutoHotkey, iniciando la instalación de SnowBelt, una extensión maliciosa del navegador.

Una característica clave de esta técnica es que la extensión se ejecuta en una instancia oculta de Microsoft Edge, sin interfaz visible, lo que dificulta su detección por parte del usuario. Además, el malware establece persistencia mediante:

• Tareas programadas
• Accesos directos en la carpeta de inicio
• Ejecución automatizada en segundo plano

SnowBelt actúa como intermediario entre el sistema comprometido y otros componentes del malware.

Arquitectura del malware "Snow": SnowBelt, SnowGlaze y SnowBasin

La suite "Snow" está compuesta por tres módulos principales:

1. SnowBelt (Extensión maliciosa)

Funciona como mecanismo de persistencia y canal de comunicación. Recibe comandos del operador y los retransmite al backdoor principal.

2. SnowGlaze (Túnel WebSocket)

Establece un canal de comunicación cifrado mediante WebSockets para ocultar el tráfico entre el host infectado y la infraestructura de mando y control (C2). Además, permite crear proxies SOCKS, facilitando el enrutamiento de tráfico TCP arbitrario a través del sistema comprometido.

3. SnowBasin (Backdoor en Python)

Este componente ejecuta un servidor HTTP local y permite la ejecución remota de comandos mediante CMD o PowerShell. Entre sus capacidades destacan:

• Acceso remoto al sistema (shell)
• Exfiltración de datos sensibles
• Descarga de archivos
• Captura de pantallas
• Gestión de archivos
• Autodestrucción controlada del malware

Movimiento lateral y compromiso del dominio

Una vez dentro de la red, UNC6692 realiza un reconocimiento exhaustivo, escaneando servicios clave como SMB y RDP para identificar otros sistemas vulnerables. Posteriormente, ejecuta técnicas avanzadas como:

• Volcado de memoria del proceso LSASS para extraer credenciales
• Ataques Pass-the-Hash para autenticación lateral
• Escalada de privilegios hasta alcanzar controladores de dominio

En la fase final del ataque, los operadores utilizan herramientas forenses legítimas como FTK Imager para extraer:

• Base de datos de Active Directory
• Colmenas del registro (SYSTEM, SAM, SECURITY)

Estos datos son posteriormente exfiltrados utilizando aplicaciones como LimeWire, lo que les permite acceder a credenciales críticas y comprometer completamente el entorno empresarial.

Impacto y riesgos de la campaña

Esta campaña representa una amenaza crítica para organizaciones debido a:

• Uso de herramientas legítimas para evadir detección
• Técnicas avanzadas de persistencia
• Compromiso total de identidad (Identity Threat)
• Exfiltración silenciosa de datos sensibles
• Alto nivel de sofisticación en ingeniería social

Además, el uso combinado de extensiones de navegador, túneles encubiertos y backdoors personalizados demuestra un nivel de desarrollo significativo por parte del actor.

Detección y mitigación

El informe de Mandiant proporciona una amplia lista de indicadores de compromiso (IoCs) y reglas YARA que permiten identificar esta amenaza. Para mitigar el riesgo, se recomienda:

• Implementar autenticación multifactor (MFA)
• Restringir el uso de herramientas de acceso remoto
• Monitorizar extensiones de navegador no autorizadas
• Detectar tráfico anómalo WebSocket
• Auditar accesos a Active Directory
• Capacitar a empleados contra ataques de ingeniería social

En fin...

La campaña de UNC6692 con el malware "Snow" marca un nuevo nivel en ataques dirigidos, combinando ingeniería social, malware modular y técnicas avanzadas de movimiento lateral. Su capacidad para comprometer dominios completos y exfiltrar datos críticos la convierte en una amenaza prioritaria para equipos de ciberseguridad.

Las organizaciones deben adoptar un enfoque proactivo basado en Zero Trust, monitoreo continuo y concienciación del usuario para reducir la superficie de ataque y prevenir incidentes de gran impacto.

Fuente: https://www.bleepingcomputer.com/