Elephant: una nueva amenaza
Elephant: una nueva amenaza
Al comienzo de la invasión de Ucrania, publicamos un aviso de seguridad con recomendaciones basadas en diferentes niveles de riesgo. Desde entonces, nuestros equipos de Threat Intelligence (TI) y Managed Detection and Response (MDR) han estado monitoreando activamente la situación e identificando amenazas activas. No es sorprendente que el grupo de mayor riesgo incluya empresas y organizaciones ubicadas en Ucrania, especialmente entidades gubernamentales e infraestructura crítica.
Uno de los grupos que participa activamente en ciberataques prorrusos es UAC-0056. Este grupo ha estado activo desde al menos marzo de 2021, y su objetivo principal parece ser el espionaje cibernético con un enfoque en sectores clave del estado. Otros nombres para este grupo son Lorec53, UNC2589, EmberBear, LorecBear, BleedingBear, SaintBear y TA471.
Este grupo se ha asociado con ataques que utilizan los ladrones de OutSteel y GraphSteel (software malicioso diseñado para robar datos). OutSteel se escribió en el lenguaje AutoIt, mientras que GraphSteel se escribió en el lenguaje Go (a menudo denominado Golang). Si bien ambos lenguajes son conocidos por su facilidad de uso, AutoIt es un lenguaje más simple que suelen utilizar los administradores de sistemas y los scripters. El comportamiento de GraphSteel basado en Go también es más sofisticado: si bien su objetivo principal es recopilar credenciales, también intenta exfiltrar los archivos más comunes y los formatos de Office como .docx
o .xlsx
y ubicar archivos confidenciales como .ssh
, .crt
, .key
, .ovpn
o .json
.
Debido a la inclusión de archivos multimedia con extensiones como .jpg
, .png
, .gif
, , , , , y , GraphSteel limita sus búsquedas a archivos de 50 MB o menos. Si bien existen ciertas similitudes entre OutSteel y GraphSteel, actualmente no existe una conexión clara entre ellos. El anuncio original del Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) con respecto a GraphSteel indica un nivel promedio de certeza para la atribución a UAC-0056..webp
.avi
.mkv
.mpg
.mpeg
.3gp
En el resto de este informe, nos centraremos en los ataques que implican el uso del malware GraphSteel. GraphSteel es parte de Elephant Framework, una colección de herramientas también escritas en el lenguaje Go e implementadas en una ola reciente de ataques de phishing contra .gov.ua
objetivos. Recientemente, se han observado tres ataques diferentes que se basaron en Elephant Framework:
Anatomía de un ataque
En todos los ataques conocidos de Elephant Framework, se utilizó la táctica de spear-phishing para el compromiso inicial. El grupo demostró un buen conocimiento de las técnicas de ingeniería social, con correos electrónicos que se originaron en direcciones de correo electrónico ucranianas falsificadas. El asunto y el cuerpo del correo electrónico a menudo usaban temas de tendencia (COVID) o usaban texto de aspecto oficial.
En uno de los correos electrónicos, el actor de amenazas incluyó recomendaciones para controles de seguridad efectivos después de advertir sobre la intensificación de los ataques informáticos por parte de la Federación Rusa, incluidas recomendaciones para usar el filtrado de correo electrónico y tráfico web, evitar el uso de servidores DNS de terceros y proporcionar un informe. a los empleados sobre posibles ataques de phishing. Este correo electrónico “útil” incrustó hábilmente un enlace a una carga útil maliciosa (que se hace pasar por una herramienta antivirus recomendada).
Se utilizaron algunas técnicas diferentes para ejecutar el lanzador malicioso. En este ejemplo, el enlace a la descarga maliciosa se incluye en el cuerpo del correo electrónico. En otros casos, se utilizó una hoja de cálculo de Excel adjunta con macros incrustadas.
Componente lanzador
Hay algunas variantes diferentes de lanzadores para GraphSteel que hemos visto hasta la fecha. En el caso informado por SentinelOne , el iniciador descargado era un script de Python convertido en un ejecutable (usando pyinstaller ). En los otros casos, el iniciador se escribió en el lenguaje Go como el resto de Elephant Framework y el nombre del iniciador varía según el ataque.
¿Por qué los actores de amenazas podrían elegir el lenguaje Go, que no es un lenguaje de programación convencional, para este software malicioso? Las posibles razones incluyen:
- Algunos proveedores de seguridad pueden tener dificultades para detectar malware escrito en el lenguaje Go debido a su uso menos frecuente.
- La carga útil se puede compilar tanto para Windows como para Linux (sin cambios de código)
- Es fácil de usar y se puede ampliar con módulos de terceros .
Después de analizar el código GraphSteel, identificamos referencias a otros módulos comunitarios utilizados por Elephant Framework; por ejemplo, para el cifrado AES , generando una ID de cliente única , o Coldfire (un marco de desarrollo de malware para Golang).
El iniciador no tiene incrustada la carga útil del malware; en cambio, actúa como una combinación de un descargador y un cuentagotas. Tras la ejecución, el iniciador se conecta al servidor de comando y control (C&C), descarga la carga útil de malware codificada como cadena base64, la guarda en el disco local y luego la ejecuta. La dirección del servidor C&C está codificada en este ejecutable y, en todos los casos registrados, el archivo soltado por este ejecutable se llama Java-sdk.exe
.
Componente de descarga
Java-sdk.exe
actúa como un descargador de Elephant Framework y, como probablemente ya esté esperando, está escrito en el lenguaje Go. Utiliza una técnica similar a la del iniciador: primero se conecta a un servidor C&C, luego transmite una cadena codificada en base64 que contiene la carga útil maliciosa, la guarda como un ejecutable en el disco y la ejecuta. La dirección del servidor C&C no está incrustada; el iniciador la proporciona como argumento base64(AES(<C&C>))
. Se descargan dos archivos de malware diferentes: GraphSteel ( Microsoft-cortana.exe
) y GrimPlant ( ), que se ejecutan automáticamente. GrimPlant es una puerta trasera relativamente simple que permite la ejecución remota de comandos de PowerShell. GraphSteelOracle-java.exe
se utiliza para la exfiltración de datos de credenciales, certificados, contraseñas y otra información confidencial.
Este componente de descarga también es responsable de establecer la persistencia mediante la creación de un valor de registro Java-SDK
bajo la clave de registro HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
.
Flujo típico de un ataque basado en Elephant Framework
Esto cubre nuestros hallazgos para la fase inicial en la que se implementa Elephant Framework en la máquina comprometida. En la siguiente sección, veremos con más detalle los componentes principales de Elephant Framework, GrimPlant y GraphSteel. Ambos implantes están escritos en el lenguaje Go, Intezer ofrece una investigación exhaustiva.
Componente GrimPlant (puerta trasera)
El objetivo principal de GrimPlant es permitir que un actor de amenazas ejecute comandos de PowerShell de forma remota. La dirección del servidor C&C se proporciona Java-sdk.exe
mediante el parámetro de línea de comando -addr
. Esta dirección no se proporciona en texto sin formato, sino que utiliza la misma base64(AES(<C&C>))
sintaxis que el descargador.
La comunicación con el servidor C&C utiliza el puerto 80 y se basa en gRPC , un marco de llamada de procedimiento remoto (RPC) de código abierto, diseñado originalmente por Google. Las comunicaciones se cifran con TLS, con el certificado codificado en binario.
Después de establecer una conexión con el servidor C&C, GrimPlant envía un mensaje de latido cada 10 segundos. En el mensaje de latido se incluye información sobre el punto final infectado ( uploadSystemInfo
función) :
- Sistema operativo: nombre de host, sistema operativo, número de CPU
- Dirección IP: ejecuta una consulta
api.ipify.org
para recuperar una dirección IP pública - Información de usuario: nombre, nombre de usuario, HomeDir
Este malware y su mensaje de latido se ejecutan en un bucle infinito, a la espera de recibir comandos del servidor C&C y ejecutarlos mediante PowerShell.exe
.
Cuando una carga útil no es suficiente
Los incidentes analizados mencionados en la primera sección de este artículo anterior se basan en Elephant Framework y utilizan la misma cadena de eliminación, excepto por un incidente que involucra una copia falsificada del software Bitdefender. El 11 de marzo de 2022 , CERT-UA informó sobre una campaña de phishing que incluía instrucciones para descargar un producto antivirus falso de Bitdefender.
El correo electrónico de phishing original. Fuente: CERT-UA
A continuación se muestra el texto completo de este correo electrónico de phishing (traducido libremente del ucraniano):
An increased number of computer attacks on information systems of Ukraine was detected since the beginning of the armed aggression of the Russian Federation.
Under the Law of Ukraine "On Protection of Information in Information and Telecommunication Systems" based on the decision of The National Security and Defense Council of Ukraine dated 06.03.2022, the State Service of Special Communications together with the Security Service of Ukraine, with the financial support of the Government of France, are taking measures to strengthen information security.
To eliminate threats to the state security of Ukraine and ensure the protection of information resources of authorities, organizations, and institutions of all forms of ownership, the following recommendations must be followed:
Install additional critical security updates for the Microsoft Windows operating system with a pre-installed certified antivirus available for download from the official Bitdefender website;
Use SBU-certified up-to-date antivirus on all computers;
Filter incoming e-mails on the e-mail server for the presence of spam messages, as well as e-mails containing attachments of the following types: exe, bat, cpl, dll, jar, msi, scr, etc .;
Filter incoming web traffic using content filters for social networks, entertainment sites, and other potentially dangerous resources;
Brief employees on the possible "phishing" attacks;
Avoid the use of third-party DNS servers;
Familiarize the responsible employees with the provided instructions.
Responsibility for failure to comply with the above recommendations rests with the authorities, organizations, and institutions of all forms of ownership.
To organize cooperation in the investigation of computer incidents, contact the leading specialist of the State Special Service <REDACTED>
.
El enlace al “sitio web oficial de Bitdefender” apunta al dominio forkscenter[.]fr
. Este sitio de phishing falsifica el sitio web , una versión del sitio web de Bitdefender localizada en francés.bitdefender.fr
Todos los enlaces en este sitio web falso son descargas del archivo malicioso llamado . Tanto Francia como Bitdefender han declarado públicamente su apoyo a Ucrania, y esta puede ser una de las razones por las que UAC-0056 eligió este contexto para su sitio de phishing, ya que se alinea con el enfoque del correo electrónico de phishing selectivo (es decir, para proteger aún más los sistemas debido a la entorno geopolítico elevado después de la invasión de Ucrania).BitdefenderWindowsUpdatePackage.exe
Esta campaña de phishing también es interesante debido a una diferencia clave en comparación con las implementaciones de Elephant Framework antes y después. Con otras campañas, el archivo BitdefenderWindowsUpdatePackage.exe
probablemente habría sido un iniciador, solo responsable de la implementación inicial de Elephant Framework. En este caso, también se activó una implementación paralela con una carga diferente. El ejecutable inicial implementó un descargador de Discord Alt.exe
, que a su vez implementó dos ejecutables. El primero es un lanzador Go familiar que implementó el resto de Elephant Framework como se describió anteriormente. El segundo ejecutable, , es un Cobalt Strike Beacon, que desplegó otro descargador de Discord, . La persistencia se estableció mediante la creación de un enlace de inicio llamado , que se ejecutaOne.exe
wisw.exe
BitdefenderControl.lnk
wisw.exe
. Finalmente, el malware descarga otro ejecutable, , de Discord. Lamentablemente, este archivo no está disponible para su análisis, ya que el servidor de descargas se cerró. Mientras que la implementación de Elephant Framework se usó como servidor de C&C, la implementación de Cobalt Strike usó el servidor de C&C ubicado en .cesdf.exe
hxxp://45[.]84.0.116:443
nirsoft[.]me
Conclusión y Recomendaciones
La mejor protección contra los ciberataques modernos es una arquitectura de defensa en profundidad. Comience por reducir su superficie de ataque y emplear controles automatizados para evitar la mayoría de los incidentes de seguridad. Para los pocos incidentes que atraviesan sus defensas, desea apoyarse en las operaciones de seguridad, ya sea internamente o a través de un servicio administrado, y aprovechar herramientas sólidas de detección y respuesta.
Los servicios de reputación integrados pueden detener un ataque durante múltiples etapas, desde un correo electrónico de phishing inicial, pasando por la ejecución de una carga previamente desconocida, hasta el compromiso exitoso y la llamada posterior a un servidor C&C.
Bitdefender Threat Intelligence (TI) es un servicio de reputación de este tipo y puede integrarse con su infraestructura de seguridad existente mediante la API REST. Los servicios son independientes de la plataforma y compatibles con cualquier SIEM, SOAR u otras herramientas de seguridad que admitan el consumo de datos de API de terceros. Para los socios OEM que buscan licenciar una solución de este tipo, ofrecemos inteligencia contextual actualizada sobre URL, IP, dominios, certificados, archivos, servidores de comando y control y amenazas persistentes avanzadas.
TI también se incluye en nuestra oferta de Detección y respuesta administrada de Bitdefender. Obtenga más información sobre el servicio MDR de Bitdefender y conozca a los expertos de Bitdefender que trabajan en nuestro centro de operaciones de seguridad (SOC) .
Nombres de Archivo
La red
BitdefenderWindowsUpdatePackage.exe
wisw.exe
microsoft-cortana.exe
oracle-java.exe
java-sdk.exe
IP/DNS | Fuente |
| Investigación de Bitdefender + Telemetría |
| Investigación de Bitdefender |
80.66.76[.]187 | Publicación de blog de Intezer , también investigación de Bitdefender |
| |
|
Te ayudamos con cualquier cuestión que desees conocer, no dudes en llamarnos al +34 91 633 75 07