Hackers rusos usaron documentos falsos sobre la OTAN para hackear redes

Un grupo de hackers rusos conocido por sus nombres, APT28, Fancy Bear, Sofacy, Sednit y STRONTIUM, están detrás de una serie de ataques. Es una campaña de ataques dirigidos contra organismos gubernamentales.

El grupo envió una variante difícil de detectar del malware Zebrocy con el pretexto de proporcionar material de formación de la OTAN. 

Los investigadores inspeccionaron más a fondo los archivos que contiene el payload. Al revisarlos descubrieron archivos JPG suplantados que mostraban imágenes de la OTAN cuando se abrían en una computadora.

Lo hicieron pasar por materiales de formación de la OTAN

En agosto de este año, el equipo de Qi’anxin Red Raindrops informó haber descubierto una campaña de APT28 que envió malware Zebrocy. Enviaron el malware disfrazado de materiales de cursos de capacitación de la OTAN.

Sin embargo, la empresa de inteligencia de amenazas QuoIntelligence había alertado a sus clientes en el sector gubernamental de esta campaña el 8 de agosto. La alerta la emitieron antes de que se hiciera pública la información sobre esta campaña.

Los investigadores proporcionaron un análisis detallado y dedujeron con una confianza media-alta que la campaña se dirigió al menos a un país del Medio Oriente, Azerbaiyán. Aunque también apuntaron a otros países de la OTAN.

“Aunque Azerbaiyán no es miembro de la OTAN, coopera estrechamente con las organizaciones del Atlántico Norte y participa en los ejercicios de la OTAN. Además, la misma campaña probablemente apuntó a otros miembros de la OTAN o países que cooperan con los ejercicios de la OTAN”, afirmó la empresa.

Al descubrir la actividad maliciosa, QuoIntelligence habría informado de sus hallazgos a los cuerpos policiales franceses.

Más que una imagen, algo más peligroso

El archivo malicioso distribuido por APT28 se llama “Course 5 – 16 October 2020.zipx”

Naturalmente, para un usuario desprevenido, esto parecería ser un paquete ZIP que contiene materiales del curso. 

En las pruebas notamos que cuando se le cambió el nombre a “.jpg”, el archivo ZIP se comporta casi como un archivo de imagen legítimo. 

Esto se debe a que, como han explicado los investigadores de QuoIntelligence, el archivo comprende una imagen JPG legítima con un archivo ZIP adjunto.

Los metadatos y las propiedades del archivo también muestran un tipo MIME “imagen/jpeg” con referencias a “datos de imagen JPEG”.

“Esta técnica funciona porque los archivos JPEG se analizan desde el principio del archivo. Por su parte, algunas implementaciones Zip analizan los archivos Zip desde el final del archivo (ya que el índice se encuentra allí). Hacen esto sin observar la firma en el frente”, explican los investigadores.

Baja tasa de detección

En el momento de los análisis realizados tanto por el equipo de Qi’anxin Red Raindrops como por QuoIntelligence, la muestra de malware era casi indetectable. La muestra tenía una tasa de detección muy baja de 3/61 en VirusTotal.

Incluso hoy, menos de la mitad de los motores antivirus conocidos están marcando la infección en VirusTotal, tal como lo hemos observado:

“Los ciberdelincuentes también utilizan la técnica para evadir los AV u otros sistemas de filtrado; pueden confundir el archivo con un JPEG y omitirlo”.

Cuando se extrae, el ZIP contiene un archivo de Excel (.xls) dañado y otro archivo con el mismo nombre. El nombre es “Course 5 – 16 October 2020.exe”, pero con una extensión EXE.

En los sistemas Windows, el archivo “Course 5 – 16 October 2020.exe” muestra un ícono PDF. Los ejecutables permiten el uso de íconos de archivos personalizados en Windows.

Los investigadores de QuoIntelligence plantean la hipótesis de que esta podría ser una táctica intencional empleada por el grupo de hacking. Y, en el pasado se han visto técnicas similares para eludir las puertas de enlace de correo electrónico.

Proporcionar materiales del curso en un archivo ZIP que tiene un archivo XLS deliberadamente dañado puede tentar al usuario. El usuario se puede ver tentado a hacer doble clic en lo que parece un PDF: el archivo EXE.

También se sabe que la muestra deja varios archivos en un sistema infectado, lo que lo hace “bastante ruidoso”. Esto porque sus actividades generan alarmas en los principales productos de seguridad.

Roba y sube datos privados al servidor

Zebrocy, utilizado por esta campaña, es una infección de malware persistente y una puerta trasera conocida por tener múltiples capacidades. Entre sus capacidades destacan el reconocimiento del sistema y la creación/modificación de archivos.  También permite tomar capturas de pantalla en la máquina infectada, ejecutar comandos arbitrarios y crear tareas programadas de Windows.

En este caso, el payload de Zebrocy (presente en “Course 5 – 16 October 2020.exe”) funciona replicándose en “%AppData%\Roaming\Service\12345678\sqlservice.exe”. Además, agrega un blob aleatorio de 160 bytes a el archivo recién generado. Los datos empaquetados dificultan la detección basada en hash por parte de los motores antivirus basados ​​en firmas. Esto porque altera la suma de comprobación del archivo resultante.

Además, el malware creó una tarea programada de Windows que se ejecuta cada minuto publicando datos robados en el servidor de comando y control (C2). Según afirman los investigadores:

“La tarea se ejecuta con regularidad e intenta enviar datos robados (por ejemplo, capturas de pantalla) a hxxp://194.32.78[.]245/protect/get-upd-id[.]php”

Los datos transmitidos por el malware parecían tener bytes ocultos y cifrados, pero una identificación numérica (12345678 en este ejemplo) permaneció constante entre las solicitudes.

Los investigadores sospechan que se trata de un identificador único de la máquina infectada incluido en cada solicitud del malware.

Sospecha: Apuntan al gobierno de Azerbaiyán

QuoIntelligence sospecha que este malware se dirigió a los organismos gubernamentales de Azerbaiyán según una campaña anterior de ReconHellcat analizada por la empresa.

Las tres similitudes entre estas muestras proporcionan una confianza media-alta a los investigadores de que este ataque estaba dirigido a una organización gubernamental específica. Estaba dirigido a una organización en Azerbaiyán: 

• Tanto el malware Zebrocy comprimido como el señuelo con temática de la OSCE que se utilizó para liberar la puerta trasera de BlackWater se subieron el mismo día, el 5 de agosto.
• Ambas muestras fueron subidas por el mismo usuario en Azerbaiyán y es muy probable que sean de la misma organización.
• Ambos ataques ocurrieron en el mismo período de tiempo.

QuoIntelligence proporcionó una lista completa de indicadores de compromiso (IOC), reglas de detección de IDS y hallazgos de investigación detallados.