LOS ATACANTES PITTYTIGER PRESENTAN PÁGINAS WEB FALSAS A SUS OBJETIVOS
- El
tigre acecha desde 2008 para aprovechar vulnerabilidades y atacar
- El
grupo de atacantes PittyTiger utiliza una variedad de malware y
herramientas y aprovecha la ingeniería social para enviar emails
spearphish y presentar páginas web falsas.
FireEye, Inc. (NASDAQ: FEYE), líder en frenar los
ciberataques avanzados de hoy en día, ha dado a conocer un reciente informe que documenta un grupo de
atacantes conocidos como "PittyTiger" que parece haber estado activo
desde al menos 2011. La compañía ha monitoreado las actividades de este grupo y
cree que también ellos están operando desde China, sin embargo, estos puede
haber estado operando desde 2008.
Este grupo aprovecha la ingeniería social para enviar emails
spearphish y presentar páginas web falsas a sus objetivos. Los atacantes
utilizan una variedad de malware y herramientas con el fin de mantener comando
y control y se mueven lateralmente a través de las redes de sus objetivos.
En un reciente ataque contra una empresa francesa, los
atacantes enviaron mensajes sencillos y directos en francés e inglés desde
direcciones gratuitas de correo electrónico utilizando los nombres de empleados
actuales de las empresas que tenían como objetivo.
FireEye también ha observado a este grupo utilizando un
kit de phishing de correo electrónico de Yahoo!, con las páginas de phishing
para múltiples regiones y en varios idiomas.
Los documentos maliciosos aprovechan versiones
vulnerables de Microsoft Office. Los atacantes utilizaron dos vulnerabilidades
diferentes: CVE-2012-0158 y CVE-2014-1761. Los documentos que vulneran con
CVE-2012-0158 parecen haber sido construidos utilizando una herramienta que
deja los metadatos que indican que el autor es "Tran Duy Linh". (Este
constructor se ha compartido a través de múltiples grupos de amenazas que de
otra manera serían inconexos).
El segundo constructor, conocido como Jdoc, se utiliza
para crear documentos que vulneran con CVE-2014-1761. Ambos constructores son
también utilizados por una variedad de grupos de amenaza que de otro modo no
tendrían conexión.
El constructor Jdoc permite al atacante especificar el
ejecutable que se lanza después de la explotación, así como un documento de
"señuelo" que se abre después de la explotación, de manera que el
objetivo no sospecha se ha producido algo malicioso.
Este grupo de amenaza utiliza un malware de primera fase
conocido como Backdoor.APT.Pgift (también conocido como Troj/ReRol.A) que se lanza
a través de documentos maliciosos y se conecta de nuevo a C2. Este malware comunica
alguna información sobre el equipo afectado, sin embargo, su función principal
es entregar un malware de segunda fase en el ordenador comprometido.
Constructor
Backdoor.APT.Pgift
Durante la investigación de FireEye, la compañía
descubrió que el constructor se utiliza junto con el malware
Backdoor.APT.Pgift. Este constructor se utiliza para crear y probar los
archivos que se colocan en el servidor C2.
El constructor crea tres archivos:
• 25dd831ae7d720998a3e3a8d205ab684 dr.asp
• 4b89c31d1d7744bcf5049d582d35e717 Install-Dll.bat
• e738286a0031621d50aeb5fc1d95d7a4 JHttpSrv.dll
El archivo dr.asp se coloca en un servidor web; este es
el archivo que el malware guía en sistemas comprometidos. Contiene
funcionalidad para recuperar la dirección IP del host comprometido y devolverá un
ejecutable de segunda fase ya sea de 32 bits o de 64 bits, dependiendo del
entorno del host comprometido.
El archivo Install-Dll.bat simplemente instala JHttpSrv.dll
ejecutando el comando:
• regsrv
jhttpsrv
El JHttpSrv.dll maneja los datos entrantes codificados,
entrantes de equipos comprometidos.
Estos datos se escriben en un archivo de texto en un
directorio llamado "log" con el siguiente formato:
• IP
Address-YYYYMMDD-HHMMSS.[3 digits].txt
Estos datos contienen información sobre el sistema
comprometido incluyendo:
• Nombre
del host
• Nombre
de usuario
• Tipo
de sistema (32-bin or 64-bit)
• Sistema
operativo
• Organización
• Propietario
• Puertos
y Procesos
• Software
corriendo
• Software
instalado
• Configuración
de red
Aunque esta herramienta tiene algunas capacidades de
recopilación de información, es ante todo un "downloader", diseñado
para empujar la segunda etapa de malware a un sistema comprometido.
El malware Backdoor.APT.Pgift parece haber sido utilizado
en un ataque anterior contra un objetivo en Taiwán. Aunque el correo
electrónico es de septiembre de 2010, el correo electrónico actual parece haber
sido enviado en enero de 2014. El archivo adjunto malicioso 中秋节 酒 品 礼 荟萃.doc
(4c350726bb7773f0ac98bdd665ef93dc) vulnera CVE-2012-0158 para lanzar
f3b1a1c18c783c2e949e68f0dd047eae. La red de comunicación es:
POST /pgift.asp
HTTP/1.1
Content-Length:
9637
User-Agent: Mozilla/4.0 (compatible;)
Host:
113.10.221.196:8080
Connection:
Keep-Alive
Cache-Control:
no-cache
Aunque el malware es el mismo, esta versión utiliza el
nombre de archivo "pgift.asp" en lugar de "dr.asp". Se han observado ataques contra objetivos en Taiwán utilizando correos
electrónicos de phishing escritos
en chino tradicional. El uso repetido de los dominios .Tw como
servidores de comando y control
puede indicar un interés en
Taiwán también.
El grupo PittyTiger utiliza una variedad de otros
malware, incluyendo:
• Backdoor.APT.Colt (también conocido como CT RAT) -
Probablemente este malware es utilizado como una puerta trasera de la segunda
etapa. El comportamiento de esta muestra es similar al "viejo"
PittyTiger pero es distinto. Los lo tienen etiquetado como PittyTiger v.1.3 y
utiliza una interfaz que muestra la información del sistema asociada con el
equipo comprometido y proporciona al atacante un shell remoto. Los atacantes
pueden estar utilizando este malware de segunda etapa.
• Backdoor.APT.PittyTiger - Este malware es el clásico malware
“PittyTiger” (PittyTigerV1.0) que fue muy usado por este grupo en 2012-2013.
Este malware permite a los atacantes utilizan un shell remoto, cargar y
descargar archivos y realizar capturas de pantalla.
• Backdoor.APT.Lurid (también conocido como MM RAT /
Troj/Goldsun-B) - Este malware es una variante del malware Enfal/Lurid que ha
sido utilizado por una variedad de diferentes grupos desde por lo menos 2006.
Esta variante tiene la misma funcionalidad, pero los nombres de los archivos
han sido cambiados. Hemos observado que el malware Enfal/Lurid utilizado desde
2011 y en conjunto con el Backdoor.APT.Pgift como la carga útil de un documento
malicioso utilizado en los ataques spearphishing. También parece como si los
atacantes lo utilizan como malware de segunda fase.
•Variantes Gh0st - El informe de Cassidian Cyber Security
revela que también los atacantes están utilizando variantes de Gh0st RAT, un
RAT muy conocido utilizado por una variedad de diferentes atacantes. Estas
variantes se conocen como Paladin RAT y Leo RAT.
•PoisonIvy - Creemos que este grupo utilizó el malware
Poison Ivy durante 2008-2009. Se analizaron muestras de Poison Ivy que se
conectan a los nombres de dominio utilizados por este grupo. Las muestras se
recogieron en 2008 y 2009 (una de las muestras con la fecha de compilación en
2008 se presentó a Virustotal en 2008, lo que nos lleva a creer que las marcas
de tiempo no han sido alteradas).
El grupo PittyTiger utiliza una variedad de malware para
lograr sus objetivos. FireEye no ha observado a estos atacantes utilizando
vulnerabilidades del día cero; más bien, parecen adquirir acceso a los
constructores están distribuidos más ampliamente que se pueden utilizar para
crear documentos maliciosos.
No hay comentarios:
Publicar un comentario