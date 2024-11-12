Desde noviembre de 2024, IBM® X-Force ha rastreado campañas en curso de Hive0145 que distribuyen el malware Strela Stealer a víctimas de toda Europa, principalmente España, Alemania y Ucrania. Los correos electrónicos de phishing utilizados en estas campañas son notificaciones reales de facturas, que han sido robadas a través de credenciales previamente exfiltradas. Strela Stealer está diseñado para extraer las credenciales de usuario almacenadas en Microsoft Outlook y Mozilla Thunderbird. Durante los últimos 18 meses, el grupo probó varias técnicas para mejorar la eficacia de sus operaciones. Es probable que Hive0145 sea un intermediario de acceso inicial (IAB) motivado financieramente, activo desde finales de 2022 y potencialmente el único operador de Strela Stealer. El ritmo operativo continuo de las campañas de Hive0145 pone de manifiesto un mayor riesgo para las posibles víctimas en toda Europa.
A partir de mediados de abril de 2023, X-Force comenzó a rastrear un aumento en la actividad de Hive0145. Hive0145 es probablemente un intermediario de acceso inicial (IAB) motivado financieramente y, potencialmente, el único operador de Strela Stealer. Strela Stealer es un malware diseñado para extraer las credenciales de correo electrónico de los usuarios almacenadas en Microsoft Outlook y Mozilla Thunderbird, lo que puede dar lugar a un correo electrónico empresarial comprometido (BEC). Los IAB recopilan de forma rutinaria credenciales y otros datos que se venden a actores de amenazas afiliados especializados en la explotación de redes de víctimas. Sin embargo, se desconoce si Hive0145 tiene una red de socios específica para vender el acceso obtenido a través de sus campañas.
Durante el último año, Hive0145 ha demostrado su competencia en la evolución de tácticas, técnicas y procedimientos (TTP) para atacar a las víctimas en toda Europa. Las víctimas italianas, españolas, alemanas y ucranianas continúan recibiendo archivos adjuntos armados que incitan a la víctima a abrir el expediente. Las campañas del actor presentan a la víctima facturas o recibos falsos y, a menudo, un mensaje breve y genérico de urgencia para que las víctimas aborden la dirección. Al cargar el archivo adjunto, la víctima ejecuta involuntariamente la cadena de infección que conduce al malware Strela Stealer.
Figura 1 Campaña de correo electrónico con temática del Banco Santander
Hive0145 continuó con este patrón de uso de mensajes genéricos y facturas y recibos falsos durante la primera mitad de 2024. Sin embargo, a principios de julio de 2024, el grupo adoptó un enfoque diferente y comenzó a convertir en armas los correos electrónicos robados de entidades reales en los sectores financiero, tecnológico, manufacturero, de medios de comunicación, de comercio electrónico y otros sectores. El cambio en la sencillez indica el cambio de Hive0145 en una capacidad de operaciones cibernéticas que está madurando.
En julio de 2024, X-Force observó un cambio a mitad de campaña en los correos electrónicos distribuidos por Hive0145, con los mensajes cortos y genéricos reemplazados por lo que parecían ser correos electrónicos legítimos robados. Los correos electrónicos de phishing coincidían exactamente con los correos electrónicos oficiales de comunicación de facturas y, en algunos casos, seguían dirigiéndose directamente a los destinatarios originales por su nombre. X-Force pudo verificar que los correos electrónicos eran en realidad notificaciones de facturas auténticas procedentes de diversas entidades de los sectores financiero, tecnológico, manufacturero, de los medios de comunicación, del comercio electrónico y otros sectores. Es probable que el grupo obtuviera los correos electrónicos a través de credenciales previamente exfiltradas de sus campañas anteriores.
El concepto de utilizar correos electrónicos robados no es nuevo, fue utilizado ampliamente por el grupo Emotet y distribuidores de malware como Hive0118 (también conocido como TA577), TA551 y TA570. En sus campañas, aprovecharon el secuestro de hilos, en el que se utilizaban nuevos hilos de correos electrónicos robados como forma de aumentar la apariencia de legitimidad. Los correos electrónicos modificados se enviaron a los contactos correspondientes de las víctimas anteriores, haciendo que el correo electrónico final pareciera una respuesta al correo electrónico robado, secuestrando así el hilo del correo electrónico. El texto que los distribuidores añaden a los correos electrónicos suele consistir en respuestas breves en las que instan a las víctimas a consultar los archivos adjuntos o las direcciones URL incluidos.
La técnica empleada por Hive0145 difiere del secuestro de hilos en que, en lugar de agregar un mensaje de respuesta al correo electrónico robado, el contenido original permanece en gran medida sin modificar y solo el archivo adjunto se cambia para incluir una carga maliciosa utilizando el nombre de archivo original (sin la extensión original). Dentro del cuerpo del correo electrónico, Hive0145 también reemplaza tanto la parte local como el dominio del remitente del correo electrónico original con la de la nueva víctima de phishing para personalizar el correo electrónico. A continuación, los correos electrónicos con archivos adjuntos secuestrados se envían en campañas masivas de phishing. Hive0145 también parece considerar detenidamente los correos electrónicos secuestrados y solo selecciona los que hacen referencia a las facturas y contienen archivos adjuntos. X-Force ha observado la técnica de secuestro de archivos adjuntos desde mediados de 2024 en campañas dirigidas a personas de habla alemana, española y ucraniana.
Figura 2 Ejemplo de correo electrónico original robado de una factura de Deutsche Bahn con un archivo adjunto secuestrado
La campaña de julio de 2024 comenzó a mostrar bajos volúmenes de envíos de correos electrónicos durante la semana del 8 de julio. Hive0145 pareció tomarse un breve descanso antes de regresar con una campaña más grande la semana del 22 de julio, seguida de un período de inactividad. A mediados de octubre de 2024, Hive0145 regresó con una campaña generalizada de secuestro de archivos adjuntos dirigida a víctimas españolas, alemanas y ucranianas. A diferencia de la breve campaña de julio, esta ha seguido enviando volúmenes notables de correos electrónicos, la mayoría enviados entre semana.
Figura 3 La campaña en curso a finales de octubre de 2024
Los correos electrónicos robados en los sectores financiero, tecnológico, manufacturero, de medios de comunicación, de comercio electrónico y otros siguen como armas a principios de noviembre de 2024, en una de las mayores campañas de Hive0145 observadas hasta la fecha. En la campaña en curso, la víctima recibe un archivo que contiene un archivo JavaScript muy ofuscado que descarga y ejecuta una DLL Strela Stealer cifrada. A partir del 7 de noviembre de 2024, Hive0145 incluirá hablantes de ucraniano en la campaña en curso, lo que indica un avance significativo en comparación con la victimología observada anteriormente.
Figura 4 Ejemplo del correo electrónico original robado de una factura dirigida a Ucrania
El aumento del volumen de entregas de Hive0145 mediante secuestro de archivos adjuntos y un suministro constante de correos electrónicos recién robados puede sugerir que el grupo ha adoptado la automatización para la recolección, armamentización, empaquetado y envío de sus correos electrónicos de phishing. El grupo continúa mostrando una preferencia por la explotación de las víctimas españolas, alemanas y ucranianas en toda Europa.
Hive0145 destaca entre otros distribuidores de malware por su nivel de esfuerzo para adoptar métodos cada vez más sofisticados para entregar Strela Stealer. El nivel de sofisticación se refleja en otros distribuidores masivos exitosos de malware como Emotet, Pikabot y Qakbot, que a menudo llevaron a la implementación de ransomware. A continuación se muestra un desglose de las técnicas notables utilizadas por Hive0145 a lo largo del tiempo, algunas probadas brevemente y otras completamente adoptadas.
Las primeras campañas de Strela Stealer observadas por X-Force utilizaron archivos poliglotas, tal y como se informó por primera vez en un blog de DCSO (Deutsche Cyber-Sicherheitsorganisation) a finales de 2022. Estos archivos tienen varios formatos válidos y pueden ser analizados por diferentes aplicaciones. El mismo archivo podría representarse como HTML para mostrar una factura señuelo y como DLL válido, implementando Strela Stealer. Esta es una técnica poco común para intentar eludir las soluciones de seguridad.
Varias campañas a lo largo de 2023 utilizaron certificados de firma de código válidos para los binarios maliciosos de Strela Stealer. Por ejemplo, las campañas dirigidas a víctimas de habla hispana que se remontan a abril de 2023 contenían cargas útiles con un certificado válido firmado por Tecfinance Informatica E Projetos De Sistemas Ltda, una empresa de software de Brasil.
Figura 5 Certificado de empresa brasileña utilizado en las campañas de 2023
El 5 de mayo de 2024, X-Force tomó medidas para informar a las partes pertinentes del hallazgo, y desde entonces el certificado ha sido revocado.
Cabe destacar que una campaña dirigida a Italia a mediados de 2023 utilizó un certificado diferente:
Figura 6 Otro certificado robado utilizado a mediados de 2023 para atacar a víctimas italianas
Las campañas de phishing de Strela Stealer también adaptaron los nombres de archivo para incluir nombres de dominio específicos. Los nombres de los archivos suelen ser idénticos al nombre de la organización o empresa, lo que podría ser un intento de generar autenticidad. El siguiente ejemplo es un correo electrónico de phishing de 2023 que se hace pasar por una factura o recibo de pago.
Figura 7 Campaña de correo electrónico con el tema de Factura
Como sugiere el correo electrónico, los archivos adjuntos son archivos ZIP cifrados, con contraseñas ligeramente diferentes entre cada correo electrónico. Los actores de amenazas cifran los archivos adjuntos de correo electrónico, ya que las soluciones básicas de filtrado de correo electrónico y entorno aislado a menudo no pueden inspeccionar ni detonar esos archivos.
Strela Stealer también ha utilizado extensiones poco comunes para sus archivos ejecutables PE como .com en lugar de .exe:
Esto aprovecha una condición de los sistemas operativos Microsoft Windows en los que se pueden utilizar tres extensiones diferentes para marcar un archivo como ejecutable: .exe, .com ,y .pif.
Si el contenido es un archivo PE ejecutable, Microsoft Windows lo ejecutará automáticamente una vez abierto. Al utilizar las extensiones más poco comunes y desconocidas, la campaña puede eludir las simples soluciones antivirus o las sospechas de la víctima. También se observó que las campañas anteriores con la misma carga útil utilizaban la extensión .pif .
Además de los archivos ZIP directamente adjuntos con los ejecutables maliciosos, las campañas Strela Stealer también suelen usar scripts ofuscados como Batch, JavaScript o PowerShell para descargar o eliminar su carga útil.
Las campañas de 2024 se basaron principalmente en estos guiones ofuscados para ejecutar un comando de PowerShell, conectarse a un servidor WebDAV y descargar y ejecutar una DLL cifrada:
Los servidores de almacenamiento WebDAV albergan un gran número de DLL, con diferentes nombres y hashes. Parece que se han creado utilizando un crypter que X-Force identifica como "Stellar Crypter", que probablemente ha estado en uso exclusivamente por Hive0145 desde al menos mayo de 2023. Los binarios maliciosos identificados como "Stellar Loader" contienen la carga útil cifrada Strela Stealer.
Stellar Loader es un crypter que ha estado en uso desde al menos abril de 2023 y es predominantemente un precursor a seguir en las cargas útiles de Strela Stealer. Las muestras estelares suelen estar muy ofuscadas y emplean técnicas como la ofuscación de flujo de control, además de incluir grandes cantidades de instrucciones basura para dificultar el análisis y la creación de firmas. La carga útil de Stellar está cifrada con XOR y almacenada en la sección .data del binario del cargador Stellar. Los datos cifrados de la carga útil van precedidos de la clave XOR que, en muestras recientes, consta únicamente de letras mayúsculas y minúsculas y puede tener miles de caracteres.
Tras la ejecución, Stellar Loader descifra los datos de la carga útil utilizando XOR y la clave almacenada. El proceso de descifrado también puede implicar una ronda adicional de XOR utilizando una clave codificada de un solo byte. Como parte de la ofuscación del código Stellar Loader, el algoritmo de descifrado dentro del código suele ampliarse para incluir cientos de operaciones. Sin embargo, la gran mayoría de estas operaciones se cancelan entre sí, y lo que parece un algoritmo complejo puede reducirse a una simple operación XOR. La siguiente captura de pantalla muestra una versión de Stellar Loader con una ofuscación mínima, donde la estructura del código del cargador y el algoritmo de descifrado se pueden ver fácilmente.
En las versiones más recientes del cargador, los datos cifrados de la carga útil van seguidos de un bloque cifrado adicional que contiene una lista de los nombres de API requeridos por el código del cargador, como VirtualAlloc. El cargador descifra este bloque usando la misma clave que la carga útil pero sin el XOR adicional de un solo byte. El cargador puede entonces usar los nombres de las API en el bloque para recuperar las direcciones correspondientes de la API.
Una vez descifradas la carga útil y la lista de API, Stellar asigna el espacio de la memoria mediante VirtualAlloc y asigna la carga útil PE a la dirección asignada. Luego realiza los pasos estándar de carga del PE, como cargar sus importaciones y procesar cualquier sección de reubicación (.relocs), y finalmente, ejecuta la carga útil en su dirección de entrada.
Strela Stealer ha cambiado poco en cuanto a funcionalidad en los últimos dos años. A partir de la versión inicial informada por DCSO a fines de 2022, el objetivo principal del ladrón es extraer credenciales de correo electrónico de dos clientes de correo electrónico comunes: Microsoft Outlook y Thunderbird. Esto es consistente en todas las variantes, sin embargo, la última variante sí admite más claves de registro para buscar credenciales de Microsoft Outlook que las versiones anteriores.
Strela Stealer ejecuta dos funciones encargadas de robar credenciales de dos clientes de correo electrónico:
Cliente de correo electrónico
Thunderbird
Microsoft Outlook
Ubicación
Sistema de archivos
Registro
Ruta
%APPDATA%
%APPDATA%
SOFTWARE\\Microsoft\\Office\\16.0\\Outlook\\Profiles\\Outlook\\
SOFTWARE\\Microsoft\\Office\\15.0\\Outlook\\Profiles\\Outlook\\
Software\\Microsoft\\Windows Messaging Subsystem\\Profiles\\9375CFF0413111d3B88A00104B2A6676
Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows MessagingSubsystem\\Profiles\\Outlook\\
Para Outlook, Strela Stealer busca específicamente los valores de registro:
Los datos se formatean y se anteponen con la cadena "FF" u "OL" para los datos de Thunderbird y los datos de Outlook, respectivamente. A continuación, también se cifra con una clave XOR estática, que representa una cadena GUID como:
A continuación, Strela Stealer envía una solicitud POST para cada cliente de correo electrónico a su servidor C2 codificado:
La respuesta se descifra mediante la misma clave XOR mencionada anteriormente. Strela Stealer continúa enviando solicitudes POST en intervalos de un segundo hasta que una solicitud falla o recibe de vuelta la cadena “KH” (versiones de 2023), “ANTIROK” (versiones de 2024) o “CHOLLIMA” (versiones de noviembre de 2024).
A partir de octubre de 2024, Strela Stealer también incluye dos funciones de exfiltración más. La primero recopila información del sistema en el host y la escribe en un archivo mediante el comando:
La segunda función de exfiltración utiliza objetos COM para enumerar la lista de aplicaciones instaladas de la "Carpeta de aplicaciones" (una carpeta virtual, que se muestra como "Aplicaciones") en la máquina víctima.
El archivo eliminado, así como la lista de aplicaciones instaladas, se leen y cifran antes de la exfiltración de la misma manera que los demás. Se envían al servidor C2 con los identificadores “SI” y “LA” respectivamente.
Strela Stealer comenzó a implementar comprobaciones de idioma verificando el idioma del teclado en el host de la víctima. Las versiones de 2024 solo se ejecutan en hosts con uno de los siguientes idiomas de teclado:
A principios de noviembre, Hive0145 también comenzó a distribuir correos electrónicos robados en ucraniano y modificó ligeramente la lógica de verificación del idioma, agregando ucraniano (0x422) a la lista de diseños de teclado. Además, los desarrolladores pasaron a usar la API GetKeyboardLayoutList para cubrir todos los diseños de teclado instalados. Si ninguno de los idiomas coincide, Strela Stealer tiene una comprobación secundaria que compara el resultado de la configuración regional predeterminada del usuario de GetLocaleInfoA con "AU" y "UA", que son los códigos para Australia y Ucrania. Es posible que el desarrollador no estuviera seguro del endianismo del valor devuelto y no tuviera la intención de dirigirse a Australia. En general, estos cambios aumentan el alcance de las máquinas disponibles para una infección por Strela Stealer.
Anteriormente, el malware mostraba un mensaje de error discreto al usuario después de ejecutarse para no levantar sospechas. Indica que el archivo estaba dañado y no se pudo abrir, en el idioma que depende del teclado instalado. Las últimas versiones utilizan el mensaje de error más universal "Err 100", que se muestra después de cinco segundos desde el inicio de la ejecución.
En junio de 2023, X-Force observó una única campaña Hive0145 dirigida a Italia que ofrecía una nueva variante de Strela Stealer que se reescribió por completo en .NET. Al igual que las campañas anteriores, también hizo uso de certificados de firma de código válidos. La reimplementación del malware en un lenguaje diferente muestra un esfuerzo significativo por parte del actor de amenazas. Para ocultar cadenas, nombres de funciones y controlar el flujo, los desarrolladores utilizaron el "Aldaray Rummage Obfuscator" comercial para .NET. La siguiente captura de pantalla muestra el código utilizado para acceder y desproteger las credenciales IMAP de las claves de registro de Microsoft Outlook.
Cabe destacar que el ofuscador comercial sí incluye una marca de agua en la licencia, que se observó como:
El ejemplo anterior muestra el siguiente mensaje de error en italiano:
El enfoque de Hive0145 en la recopilación de credenciales de correo electrónico los diferencia de otros operadores de malware de robo o botnet, que a menudo se comercializan y se dirigen a una gama más amplia de credenciales y datos, o facilitan cargas útiles de seguimiento destinadas al acceso inicial. El uso que hace Hive0145 de correos electrónicos robados para el secuestro de archivos adjuntos es un indicador de que una parte de las credenciales de correo electrónico robadas puede utilizarse para recopilar correos electrónicos legítimos para su posterior distribución. Tanto los correos electrónicos robados como los creados por actores utilizados por Hive0145 tienen predominantemente facturas como característica, lo que apunta a una posible motivación financiera. Es posible que Hive0145 venda correos electrónicos robados a socios afiliados con el fin de comprometer aún más el correo electrónico empresarial.
Hive0145 es un actor de amenazas ciberdelincuentes que está madurando rápidamente y busca infectar a las víctimas con la intención de obtener credenciales de correo electrónico válidas. Las observaciones sugieren que el robo de credenciales de correo electrónico, a través de campañas iniciales, condujo a un robo adicional de correos electrónicos válidos utilizados en campañas posteriores de secuestro de archivos adjuntos. El malware Stela Stealer sigue siendo una herramienta eficaz para que Hive0145 extraiga credenciales de correo electrónico.
La amplia variedad de sectores emulados por las campañas de correo electrónico de Hive0145 aumenta el riesgo potencial de ser objetivo de organizaciones comerciales de toda Europa. Es de destacar que las organizaciones de regiones de habla italiana, española, alemana o ucraniana pueden correr un riesgo más inmediato de una campaña Hive0145. X-Force recomienda una mayor vigilancia respecto a los archivos adjuntos de correo electrónico recibidos y una revisión detallada del tipo de archivo esperado entregado.
X-Force recomienda a las organizaciones:
Indicador
Tipo de indicador
Contexto
03853c56bcfdf87d71ba
SHA256
Stellar Loader (octubre de 2024)
e50bea80513116a1988822
SHA256
Stellar Loader (mayo de 2024)
2cac42735170cd3f67111807
SHA256
Stellar Loader - ofuscación mínima (enero de 2024)
9a032497b82c3db8146cb6
SHA256
Carga útil de Strela Stealer
e4a7ad38aaea4bd27c32c57
SHA256
Carga útil de Strela Stealer
2f7ac330e100b577748bb34
SHA256
Stellar Loader (noviembre de 2024)
94.159.113[.]48
IPv4
Strela Stealer C2
94.159.113[.]86
IPv4
Strela Stealer C2
193.109.85[.]231
IPv4
Strela Stealer C2
5906c8e683b8eb9d2bc104f
SHA256
Variante .NET de Strela Stealer
