La nueva campaña basada en correo electrónico se dirige a los clientes de Bloomberg con RAT - Calendae | Informática, Electrónica, CMS, Ciberseguridad

La nueva campaña basada en correo electrónico se dirige a los clientes de Bloomberg con RAT

Hola de nuevo. Yo soy Eduardo Arroyo y esta vez vamos a hablar sobre La nueva campaña basada en correo electrónico se dirige a los clientes de Bloomberg con RAT

La nueva campaña basada en correo electrónico se dirige a los clientes de Bloomberg con RAT

Los ataques denominados «Fajans» por los investigadores están dirigidos específicamente y parecen probar varias técnicas de amenaza para encontrar las que tienen el mayor impacto.

Una nueva campaña basada en correo electrónico de un actor de amenazas emergente tiene como objetivo difundir varios troyanos de acceso remoto (RAT) a un grupo muy específico de objetivos utilizando los servicios de la industria de Bloomberg.

Los investigadores de Cisco Talos Intelligence descubrieron la campaña, la bautizaron a ella ya su autor como «Fajan» y afirmaron que probablemente sea obra de un actor de un país de habla árabe.

Los investigadores han seguido la campaña por correo electrónico desde que Fajan inició el negocio en marzo, recuperando un «volumen relativamente bajo» de muestras que dificultan determinar «si las campañas están cuidadosamente dirigidas o enviadas como spam», según un informe. publicado Online el miércoles.

Los ataques comienzan en forma de lo que parecen ser correos electrónicos dirigidos a clientes de Bloomberg BNA, que desde entonces ha pasado a llamarse Bloomberg Industry Group. La subsidiaria de propiedad total de Bloomberg LLC agrega contenido de noticias en plataformas para diversas industrias, tales como leyes, impuestos y contabilidad, y gobierno, y las vende a los clientes.

«Creemos que esta es la primera vez que alguien ha documentado las operaciones de Fajan en un solo lugar», dijo Talos, investigador de Cisco. Vanja Svajcer escribió en el informe.

Los correos electrónicos afirman contener una factura para los clientes, pero en su lugar incluyen una hoja de cálculo de Excel adjunta que contiene el código macro para descargar el siguiente paso de infección o liberar y ejecutar la carga útil final, que siempre es un RAT o VB basado en Javascript «que permite que el atacante tome el control del sistema infectado mediante el uso de HTTP a través de un puerto TCP no estándar «, escribió.

«El nombre del archivo adjunto siempre contiene una forma del nombre de la factura de Bloomberg BNA combinado con un número aleatorio específico para una campaña en particular», explicó Svajcer. «Algunos ejemplos tempranos de correos electrónicos de campañas contienen un segundo archivo adjunto que contiene una copia del texto del cuerpo del correo electrónico como un archivo RTF limpio».

Un aspecto curioso de la campaña es que su alcance es muy pequeño, probablemente porque el actor de amenazas apunta a perfeccionar sus habilidades para desarrollar ataques más efectivos en el futuro, dijo Svajcer. «Los actores detrás de la campaña de Fajan mantienen y desarrollan activamente las capacidades para hacer que los ataques sean más efectivos», dijo.

Además, el uso de RAT como carga útil indica que el objetivo de Fajan es probablemente la vigilancia y la exfiltración de datos. Los servidores de comando y control no respondieron cuando los investigadores hicieron su análisis, sin embargo, finalmente no pudieron descubrir el objetivo final de la campaña, dijo Svajcer.

Descargue «La evolución del ransomware» para obtener información valiosa sobre las tendencias emergentes en medio de volúmenes de ataques en rápido crecimiento. ¡Haz clic arriba para perfeccionar tu inteligencia defensiva!

Svajcer ingresa al análisis detallado del ataque basado en las muestras de Fajan observadas por los investigadores. Si se encuentra un código de macro VBA ligeramente ofuscado en el documento malicioso, «generalmente se trata de eliminar y ejecutar una carga útil basada en JavaScript o VB», escribió.

Estos «son RAT bastante simples que se conectan a una dirección IP codificada y escuchan los comandos enviados usando HTTP a través de un número de puerto TCP no estándar», escribió Svajcer.

Una de las RAT observadas en la campaña se identificó como NanoCore RAT, un troyano comercial que ha estado disponible para su compra desde al menos 2013, según el informe. El autor de la RAT fue detenido en 2017 y condenado a casi tres años de prisión. Aunque esto detuvo el desarrollo de la RAT, «algunas versiones se han descifrado con éxito y son ampliamente utilizadas por los atacantes», escribió Svajcer.

El vector de ataque macro / RAT de VBA se encontró en aproximadamente el 60 por ciento de las campañas que observaron los investigadores, dijo. El resto de los archivos adjuntos maliciosos contenían fórmulas de macro de Excel 4.0 diseñadas para ejecutarse cuando los archivos están abiertos, y todos contienen código simple para ejecutar una línea de comandos de PowerShell para descargar y ejecutar el siguiente paso desde una URL de Pastebin.

«El contenido sin procesar de la URL de Pastebin se proporciona como un argumento para el scriptlet de Invoke-Expression (IEX), que ejecuta el código descargado de la memoria», escribió Svajcer.

Todos los Pastebins recuperados contenían código para descargar y ejecutar una carga útil desde un sitio gratuito para compartir archivos Top4top.io, con la excepción de una primera muestra alojada por el servicio Amazon S3, agregó.

Mirar bajo el capó de la carga útil final de Javascript RAT muestra que utiliza HTTP para comunicarse con el servidor de comando y control y recopilar información sobre el sistema infectado. Luego usa esta información como una cadena de usuario-agente en el encabezado HTTP, «presumiblemente para mantener el estado de cada uno de los sistemas infectados», señaló Svajcer.

Las RAT basadas en VB se comportan de manera similar a las cargas útiles de Javascript una vez ejecutadas, pero también incluyen código que proporciona a los investigadores pistas sobre la identidad y nacionalidad del atacante, escribió.

En el script VB de muestra observado por los investigadores, el cliente envía una solicitud al servidor C2 y espera una respuesta que luego se divide en función de la cadena especificada en una variable, según el informe. La cadena dividida para esta muestra es «NAJAF», que los investigadores invirtieron para crear el nombre de la campaña.

«Se han subido previamente varios scripts similares a VirusTotal y su autoría la reclama un actor con un identificador ‘Security.Najaf'», escribió Svajcer. «Esto podría implicar que el origen del autor de Fajan es Irak, aunque también podría ser solo una coincidencia o una falsa bandera».

.

Deberías compartir en tu Facebook para que tus colegas lo flipen

??? ? ? ???

Comparte