Hackers bifurcan tool de túnel inverso de código abierto para la persistencia

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los expertos en seguridad han detectado un caso interesante de un presunto ataque de ransomware que empleó herramientas personalizadas que suelen utilizar los grupos APT (amenazas persistentes avanzadas).

Aunque no se ha descubierto una conexión concreta entre los grupos, las tácticas operativas, el alcance de la orientación y las capacidades de personalización de malware significan una conexión potencial.

Como se detalla en un informe, los actores de amenazas observaron un ataque contra uno de sus clientes en la industria de los juegos de azar donde se utilizó una combinación de herramientas de código abierto hechas a la medida y fácilmente disponibles.

Los casos más notables son una versión modificada de Ligolo, una utilidad de tunelización inversa que está disponible gratuitamente para pentesters en GitHub y una herramienta personalizada para descargar credenciales de LSASS.

Ataque en la naturaleza

El ataque se desarrolló en una noche de fin de semana y siguió un desarrollo rápido, mostrando las habilidades de los actores y el conocimiento del "equipo rojo".

El acceso inicial se produjo a través de credenciales SSL-VPN de empleados comprometidos, seguido de escaneos de administrador y fuerza bruta RDP, y luego esfuerzos de recolección de credenciales.

Los pasos posteriores incluyeron el acceso a máquinas adicionales con privilegios elevados, la implementación de un túnel de proxy personalizado para comunicaciones seguras y, por último, la eliminación de Cobalt Strike.

Aunque los actores de la amenaza nunca tuvieron la oportunidad de avanzar más, en este caso en particular, se cree que el siguiente paso sería implementar una carga útil de ransomware, ya que los métodos seguidos coinciden con los de las operaciones típicas de pandillas de ransomware.

Sin embargo, esta parte no ha sido confirmada ya que los respondedores detuvieron la ejecución de la carga útil antes de que los infiltrados estuvieran listos para implementar algo en la red comprometida.

Herramientas personalizadas

Los actores de amenazas utilizaron varias herramientas de código abierto listas para usar comúnmente utilizadas por numerosos adversarios, como Mimikatz, SoftPerfect y Cobalt Strike.

Una diferenciación notable es la implementación de 'Sockbot', una utilidad escrita por GoLang basada en la herramienta de túnel inverso de código abierto Ligolo.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Los piratas informáticos modificaron Ligolo con adiciones significativas que eliminaron la necesidad de usar parámetros de línea de comandos e incluyeron varias comprobaciones de ejecución para evitar ejecutar varias instancias.

Un Ligolo personalizado no es una vista común en el arsenal de ningún actor de amenazas, aparte del grupo de piratería MuddyWater patrocinado por el estado iraní, que es el único grupo de amenazas conocido que lo modifica.

La razón de esta rareza es que Ligolo no es adecuado para la implementación maliciosa, por lo que para que se ajuste a las operaciones de intrusión, se requieren habilidades de codificación.

    "Al comparar la nueva variante (Sockbot) con el código fuente original disponible en línea, los actores de amenazas agregaron varias comprobaciones de ejecución para evitar que se ejecuten varias instancias al mismo tiempo, definieron el valor de Local Relay como una cadena codificada para evitar la necesidad de pasar parámetros de línea de comando al ejecutar el ataque y establecer la persistencia a través de una tarea programada".

Otro caso de particular interés es 'lsassDumper', una herramienta personalizada también escrita en GoLang, utilizada por los actores para la exfiltración automática del proceso LSASS al servicio "No tienes permitido ver los links. Registrarse o Entrar a mi cuenta".

Security Joes afirma que esta es la primera vez que lsassDumper ha sido visto en la naturaleza, lo que nuevamente demuestra la capacidad y sofisticación del actor de amenazas en particular.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Además, el volcado directo de credenciales de LSASS es otro método típico de las pandillas de ransomware, por lo que es otro elemento que respalda esta hipótesis.

Finalmente, los infiltrados en la red usaron ADFind para el reconocimiento de la red, una herramienta disponible gratuitamente que los adversarios usan para recopilar información de Active Directory, también muy común en el espacio del ransomware.

"Según el comportamiento, las herramientas vistas en esta intrusión y los sectores objetivo, concluimos que los atacantes detrás de esta operación están estrechamente relacionados con una pandilla de ransomware de habla rusa, que está tomando herramientas utilizadas por otros grupos y agregando su firma personal a ellos." - concluye el informe de Security Joes.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta