Creado por el equipo de IBM X-Force Incident Response and Intelligence Services (IRIS).
Investigadores del equipo IBM X-Force Incident Response and Intelligence Services (IRIS) identificaron un eslabón perdido en las operaciones de un actor de amenazas implicado en los recientes ataques con el malware Shamoon contra organizaciones de los Estados del Golfo. Al parecer, estos ataques, que se produjeron en noviembre de 2016 y enero de 2017, afectaron a miles de ordenadores de múltiples organizaciones de gobierno y civiles en Arabia Saudí y en otros países del Golfo. Shamoon está diseñado para destruir los discos duros de los ordenadores borrando el registro maestro de arranque (MBR) y los datos de forma irrecuperable, a diferencia del ransomware, que mantiene los datos como rehenes a cambio de un pago.
Gracias a sus recientes investigaciones, nuestros analistas forenses han identificado el vector de compromiso inicial y las operaciones posteriores al compromiso que condujeron a la implementación del destructivo malware Shamoon en las infraestructuras objetivo. Cabe mencionar que, según X-Force IRIS, el compromiso inicial tuvo lugar semanas antes de que se lanzara la implementación y la activación reales de Shamoon.
Dado que los incidentes de Shamoon se caracterizan por las fases de infiltración y escalada de los ataques dirigidos, los responsables de la respuesta de X-Force IRIS buscaron el punto de entrada de los atacantes. Sus hallazgos apuntaron a lo que parece ser el punto inicial de compromiso que utilizaron los atacantes: un documento que contenía una macro maliciosa que, cuando se aprobaba para ejecutarse, permitía las comunicaciones C2 con el servidor del atacante y el shell remoto a través de PowerShell.
El documento no fue el único descubierto en las recientes oleadas de ataques. Los investigadores de X-Force IRIS habían estado siguiendo actividades anteriores asociadas con documentos maliciosos similares cargados de PowerShell, que eran currículos y documentos de recursos humanos, algunos de los cuales estaban relacionados con organizaciones en Arabia Saudí. Esta investigación identificó varios episodios de actividad ofensiva ocurridos en los últimos meses, que revelaron métodos operativos similares en los que los atacantes entregaban documentos maliciosos y otros ejecutables de malware desde servidores web a sus objetivos para establecer una posición inicial en la red.
Aunque Shamoon se documentó anteriormente en blogs de investigación, los métodos específicos de compromiso de la red que conducen a los ataques siguen sin estar claros en los casos denunciados. Los investigadores de X-Force IRIS estudiaron el ciclo de vida de los ataques de Shamoon y observaron sus tácticas en organizaciones con sede en Arabia Saudí y empresas del sector privado. Esta investigación les llevó a creer que el actor que utilizó Shamoon en ataques recientes se basó en gran medida en documentos armados creados para aprovechar PowerShell para establecer su punto de apoyo inicial en la red y las operaciones posteriores:
Figura 1: Shamoon Attack: flujo lógico de eventos
X-Force IRIS identificó el siguiente documento malicioso:
Nuestros investigadores examinaron el dominio que alojaba el primer archivo malicioso, mol.com-ho[.]me. Según el registro WHOIS del dominio, un registrante anónimo registró com-ho[.]me en octubre de 2016 y lo utilizó para servir documentos maliciosos con características de activación de macros similares. La siguiente lista de documentos incluidos:
Lo más probable es que estos archivos se entregaran a través de correos electrónicos de spear phishing para atraer a los empleados a lanzar involuntariamente la carga maliciosa.
Una revisión más detallada de los nombres de los archivos reveló “IT Worx” y “MCI”. Una búsqueda del nombre IT Worx muestra una organización global de servicios profesionales de software con sede en Egipto. MCI es el Ministerio de Comercio e Inversiones de Arabia Saudí. Es posible que estos nombres se hayan utilizado en correos electrónicos de spear phishing porque parecerían benignos para los empleados saudíes y les atraerían para abrir el archivo adjunto.
Los investigadores de X-Force IRIS identificaron además que el actor de amenazas detrás de los documentos maliciosos servía a muchos de ellos utilizando un esquema de acortamiento de URLs en el siguiente patrón: briefl[.]ink/{a-z0-9}[5].
La siguiente figura es un ejemplo visual de lo que los empleados pueden haber encontrado cuando abrieron los archivos maliciosos de Word que les enviaron en preparación para un ataque de Shamoon:
Figura 2: Documento malicioso de Word entregado en preparación para un ataque de malware Shamoon (Fuente: X-Force IRIS)
Los resultados del DNS pasivo en un dominio de comunicaciones asociado con el ataque Shamoon revelaron la infraestructura de red relacionada, identificando dominios adicionales utilizados por los actores de amenazas.
X-Force IRIS descubrió que el actor de amenazas alojaba al menos un ejecutable malicioso en un servidor alojado en ntg-sa[.]com. Este archivo engañaba a los objetivos haciéndoles creer que era un instalador de Flash Player que soltaría un lote de Windows para invocar PowerShell en las mismas comunicaciones C2.
El análisis de uno de los documentos del actor de amenazas descubrió que si la macro se ejecuta, lanza dos scripts de PowerShell separados. El primero ejecuta un script de PowerShell servido desde hxxp://139.59.46.154:3485/eiloShaegae1. Es posible que el host esté relacionado con ataques que sirvieron a Pupy RAT, una herramienta de acceso remoto multiplataforma disponible públicamente.
El segundo script llama a VirtualAlloc para crear un búfer, utiliza memset para cargar shellcode relacionado con Metasploit en ese búfer y lo ejecuta a través de CreateThread. Metasploit es un marco de código abierto popular como herramienta para desarrollar y ejecutar código para explotar contra una máquina objetivo remota. El shellcode realiza un DWORD XOR de 4 bytes en una compensación desde el principio del shellcode que cambia el código para crear un bucle para que el XOR continúe 0x57 veces.
Si esta ejecución tiene éxito, crea un búfer utilizando VirtualAlloc y llama a InternetReadFile en un bucle hasta que se recupera todo el contenido del archivo de hxxp://45.76.128.165:4443/0w0O6. A continuación, se devuelve como una cadena a PowerShell, que llama a invoke-expression (iex), indicando que la carga útil esperada es PowerShell.
Cabe destacar que la macro contenía una función DownloadFile() que usaba URLDownloadToFileA, pero esta nunca se utilizó realmente.
Basándonos en observaciones asociadas al documento malicioso, observamos sesiones de shell posteriores probablemente asociadas con el Meterpreter de Metasploit que permitieron la implementación de herramientas y malware adicionales antes del despliegue de tres archivos relacionados con Shamoon: ntertmgr32.exe, ntertmgr64.exe y vdsk911.sys.
Aunque la lista completa de víctimas de Shamoon no es pública, Bloomberg informó de que, en un caso, miles de ordenadores fueron destruidos en la sede de la Autoridad General de Aviación Civil de Arabia Saudí, borrando datos críticos y paralizando las operaciones durante varios días.
La actividad reciente de X-Force IRIS por parte de los atacantes Shamoon se ha detectado hasta ahora en dos oleadas, pero es probable que disminuyan tras la atención pública que los casos han atraído desde finales de 2016.
Arabia Saudí emitió una advertencia a las organizaciones locales sobre el malware Shamoon, alertando sobre posibles ataques y aconsejando a las organizaciones que se preparen. Los análisis y las advertencias sobre Shamoon están dando lugar a la preparación por parte de los objetivos, y es probable que los actores desaparezcan y cambien sus tácticas hasta la próxima ola de ataques.
Para obtener más información técnica sobre esta investigación y los indicadores de compromiso relacionados, consulte el aviso de X-Force en X-Force Exchange.