Los hackers bifurcan la herramienta de túnel inverso de código abierto para su persistencia.

Los expertos en seguridad han detectado un interesante caso de presunto ataque de ransomware que empleó herramientas personalizadas que suelen utilizar los grupos APT (amenazas persistentes avanzadas).

Aunque no se ha descubierto ninguna conexión concreta entre los grupos, las tácticas operativas, el alcance de los objetivos y la capacidad de personalización del malware indican una posible conexión.

Como se detalla en un informe enviado a Bleeping Computer por Security Joes, los actores de la amenaza observados en un ataque contra uno de sus clientes en la industria de las apuestas/juegos de azar donde se utilizó una mezcla de herramientas hechas a medida y de código abierto fácilmente disponibles.

Los casos más notables son una versión modificada de Ligolo, una utilidad de túnel inverso que está disponible gratuitamente para los pentesters en GitHub, y una herramienta personalizada para volcar las credenciales de LSASS.

Ataque en la naturaleza

Según los responsables del incidente en Security Joes, el ataque se desarrolló en una noche de fin de semana y siguió un desarrollo rápido, mostrando las habilidades de los actores y sus conocimientos de “red teaming”.

El acceso inicial se produjo a través de credenciales SSL-VPN comprometidas de los empleados, seguido de escaneos de administración y fuerza bruta RDP, y luego los esfuerzos de recolección de credenciales.

Los pasos siguientes implicaron el acceso a máquinas adicionales con altos privilegios, el despliegue de un túnel proxy personalizado para comunicaciones seguras y, finalmente, la caída de Cobalt Strike.

Aunque los actores de la amenaza nunca tuvieron la oportunidad de proceder más allá en este caso particular, Security Joes cree que el siguiente paso sería desplegar una carga útil de ransomware, ya que los métodos seguidos coinciden con los de las típicas operaciones de bandas de ransomware.

Herramientas personalizadas

Los actores de la amenaza utilizaron varias herramientas de código abierto de uso común por numerosos adversarios, como Mimikatz, SoftPerfect y Cobalt Strike.

Una diferenciación notable es el despliegue de ‘Sockbot‘, una utilidad escrita en GoLang y basada en la herramienta de túnel inverso de código abierto Ligolo.

Operation of the Ligolo tool

Los hackers modificaron Ligolo con adiciones significativas que eliminaban la necesidad de utilizar parámetros de línea de comandos e incluían varias comprobaciones de ejecución para evitar la ejecución de múltiples instancias.

Como dijo un investigador de Security Joes a Bleeping Computer, un Ligolo personalizado no es algo común en el arsenal de ningún actor de amenazas, aparte del grupo de hacking MuddyWater, patrocinado por el estado iraní, que es el único grupo de amenazas conocido por modificarlo.

La razón de esta rareza es que Ligolo no es apto para el despliegue malicioso, por lo que para que se adapte a las operaciones de intrusión, se requieren conocimientos de codificación.

“Comparando la nueva variante (Sockbot) con el código fuente original disponible en línea, los actores de la amenaza añadieron varias comprobaciones de ejecución para evitar que se ejecuten varias instancias al mismo tiempo, definieron el valor del Local Relay como una cadena codificada para evitar la necesidad de pasar parámetros de línea de comandos al ejecutar el ataque y establecieron la persistencia a través de una tarea programada.” – Joes de la seguridad

Otro caso de particular interés es ‘lsassDumper’, una herramienta personalizada también escrita en GoLang, utilizada por los actores para la exfiltración automática del proceso LSASS al servicio “transfer.sh”.

Security Joes afirma que esta es la primera vez que lsassDumper ha sido visto en la naturaleza, lo que demuestra una vez más la capacidad y sofisticación del actor de la amenaza en particular.

lsassDumper code snippet

Además, el volcado directo de credenciales desde LSASS es otro método típico de las bandas de ransomware, por lo que es otro elemento que respalda esta hipótesis.

Por último, los infiltrados en la red utilizaron ADFind para el reconocimiento de la red, una herramienta de libre acceso que los adversarios utilizan para recopilar información del Directorio Activo, también muy común en el espacio del ransomware.

“Basándonos en el comportamiento, las herramientas vistas en esta intrusión y los sectores objetivo, concluimos que los atacantes detrás de esta operación están estrechamente relacionados con una banda de ransomware de habla rusa, que está tomando herramientas usadas por otros grupos y añadiéndoles su firma personal” – concluye el informe de Security Joes.

Fuente: bleepingcomputer

Comments are closed.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies