El grupo de espías ruso actualiza el paquete de malware personalizado - Calendae | Informática, Electrónica, CMS, Ciberseguridad

El grupo de espías ruso actualiza el paquete de malware personalizado

Hola de nuevo. Yo soy Eduardo Arroyo y en esta ocasión vamos a hablar sobre El grupo de espías ruso actualiza el paquete de malware personalizado

El grupo de espías ruso actualiza el paquete de malware personalizado

Turla ha equipado un trío de puertas traseras con nuevos trucos C2 y una mayor interoperabilidad, como se vio en un ataque a un gobierno europeo.

La amenaza persistente avanzada (APT) conocida como Turla está dirigida a organizaciones gubernamentales que utilizan malware personalizado, incluido un trío actualizado de implantes que brindan persistencia al grupo a través del acceso de puerta trasera superpuesto.

Turla vinculado a Rusia (también conocido como Ouroboros, Snake, Venomous Bear o Waterbug) es un grupo de ciberespionaje activo desde hace más de una década. Es conocido por su compleja e interesante colección de malware. implementaciones de comando y control (C2). Tiene como objetivo objetivos gubernamentales, militares y diplomáticos.

Los investigadores de Accenture observaron una campaña reciente contra un gobierno extranjero en Europa que tuvo lugar entre junio y octubre, que incluyó tres armas heredadas, todas con actualizaciones importantes. Trabajaron juntos como una especie de conjunto de herramientas de amenazas de varias capas.

Una de las herramientas actualizadas es la puerta trasera basada en HyperStack RPC (llamada a procedimiento remoto) (llamada así por el archivo que le dieron los autores). Accenture primero lo vinculó al grupo, gracias a su uso en conjunto con las otras dos herramientas vistas en la campaña: el conocido troyano de acceso remoto (RAT) de segunda etapa Turla, Kazuar y Carbon.

«Las RAT difunden los resultados de la ejecución de comandos y extraen datos de la red de la víctima, mientras que las puertas traseras basadas en RPC [including HyperStack] utilizar el protocolo RPC para realizar movimientos laterales y emitir y recibir comandos en otras máquinas de la red local «, según un Análisis de Accenture, lanzado el miércoles. «Estas herramientas a menudo incluyen diferentes niveles de técnicas de ocultación y defensa-evasión».

Las actualizaciones observadas en la campaña giraron en gran medida en torno a la creación de redundancias integradas para la comunicación remota. Turla utilizó diferentes configuraciones de C2, para permitir diferentes puntos de reingreso en caso de que uno de ellos estuviera bloqueado.

«[These included] novela [C2] configuraciones para Turla’s Carbon y Kazuar [RATs] en la misma red que las víctimas, «según el análisis». La configuración de las instancias de Kazuar varió entre el uso de nodos C2 externos de la red de la víctima y nodos internos en la red afectada, y la instancia de Carbon se actualizó para incluir un proyecto Pastebin para recibir actividades cifradas junto con su infraestructura HTTP C2 tradicional «.

La puerta trasera HyperStack nació en 2018, pero recibió una actualización importante en septiembre que permitió a los investigadores de Accenture volver a conectarla a Turla.

«La funcionalidad actualizada … parece estar inspirada en las puertas traseras de RPC previamente divulgado públicamente por los investigadores de ESET y Symantec, así como con la puerta trasera de Carbon «, explicaron.» Basándonos en estas similitudes, estamos muy seguros de que HyperStack es una puerta trasera personalizada para Turla «.

La nueva versión de HyperStack utiliza canalizaciones con nombre para realizar llamadas RPC desde un controlador a un dispositivo que aloja el cliente HyperStack. Aproveche IPC $, que es una función para compartir que facilita la comunicación entre procesos (IPC) al exponer tuberías con nombre para escribir o leer.

«Para moverse hacia los lados, la planta intenta conectarse al recurso compartido IPC $ de otro dispositivo remoto, utilizando una sesión nula o credenciales predeterminadas», explicaron los investigadores de Accenture. «Si la conexión de la planta a IPC $ es exitosa, la planta puede enviar comandos RPC desde el controlador al dispositivo remoto y probablemente tenga la capacidad de copiarse a sí misma al dispositivo remoto».

Mientras tanto, una muestra de Kazuar utilizada en la campaña europea observada que Accenture analizó a mediados de septiembre se configuró para recibir comandos a través del Identificador uniforme de recursos (URI). Estos indicaron nodos C2 internos en la red de gobierno víctima.

Esta configuración de Kazuar actuó junto con otra muestra, analizada a principios de octubre.

«Según las referencias al nodo C2 interno, la muestra de octubre probablemente actúa como un agente de transferencia que se utiliza para enviar comandos desde operadores remotos de Turla a instancias de Kazuar en los nodos de la red interna, a través de una ubicación de red compartida con una conexión a Internet. «, según Accenture. «Esta configuración permite que los operadores de Turla se comuniquen con las máquinas infectadas con Kazuar en la red de la víctima que no son accesibles de forma remota».

Otra muestra de Kazuar encontrada en la red de la víctima se configuró para comunicarse directamente con un servidor C2 ubicado fuera de la red de la víctima, alojado en un sitio web legítimo comprometido. Esto fue utilizado por Turla para enviar comandos y exfiltrar datos en la infraestructura de backend de Turla, dijeron los investigadores.

Kazuar es un troyano multiplataforma descubierto en 2017 que permite a Turla cargar de forma remota complementos adicionales para aumentar sus capacidades. Los expone a través de una API (interfaz de programación de aplicaciones) a un servidor web integrado y tiene una derivación del código que se remonta al menos a 2005, los investigadores dijeron. Durante un tiempo se creyó que era el sucesor de Carbon.

La herramienta Carbon heredada antes mencionada también se ha actualizado para la campaña observada. Carbon es un marco de puerta trasera modular con capacidades avanzadas peer-to-peer que Turla se ha utilizado durante varios años, mucho antes de que Kazuar entrara en escena.

En junio, apareció una muestra actualizada que combinaba la infraestructura C2 patentada de Turla con las actividades de Pastebin, encontraron los investigadores. El instalador de ejemplo contenía un archivo de configuración con URL para servidores web comprometidos que alojaban un shell web que transmite comandos y extrae datos de la red de la víctima como se esperaba. Pero los investigadores notaron que también contenía un parámetro etiquetado [RENDEZVOUS_POINT], con una URL para un proyecto Pastebin.

«Cuando se accede a la URL de Pastebin, se descarga un blob cifrado que solicita una clave privada RSA coincidente del archivo de configuración», explicaron los investigadores. “El archivo de configuración analizado no contenía la clave privada RSA y, por lo tanto, no pudimos descifrar el contenido del enlace Pastebin. Estimamos que el blob descifrado probablemente fue una tarea para la instancia de Carbon «.

El uso de un servicio web legítimo como Pastebin para las actividades de C2 es una tendencia constante entre las APT, señalaron los investigadores, por varias razones.

«[For one], los servicios web permiten que el tráfico de red malicioso de los grupos de ciberespionaje se fusione fácilmente con el tráfico de red legítimo «, según los investigadores». Además, los grupos de amenazas pueden modificar o crear fácilmente una nueva infraestructura, lo que dificulta los defensores cierran o hunden su infraestructura. [And], el uso de servicios web complica la atribución, ya que la infraestructura C2 no es propiedad del grupo de amenazas «.

Turla probablemente seguirá utilizando sus herramientas heredadas, con actualizaciones, para comprometer y mantener el acceso a largo plazo a sus víctimas, dijeron los investigadores.

«Esta combinación de herramientas fue útil para Turla, ya que algunas de sus puertas traseras actuales usan códigos que datan de 2005», señalaron los investigadores de Accenture. «Es probable que el grupo de amenazas continúe manteniendo y dependiendo de este ecosistema y sus iteraciones, siempre que el grupo se dirija a redes basadas en Windows».

.

Recuerda compartir en una historia de tu Instagram para que tus colegas opinen

??? ? ? ???

Comparte