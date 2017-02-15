Escrito por el equipo de IBM X-Force Incident Response and Intelligence Services (IRIS).
Investigadores del equipo de IBM X-Force Incident Response and Intelligence Services (IRIS) identificaron un eslabón perdido en las operaciones de un actor de amenazas involucrado en los recientes ataques con el malware Shamoon contra organizaciones de los Estados del Golfo. Estos ataques, que ocurrieron en noviembre de 2016 y enero de 2017, afectaron supuestamente a miles de computadoras en múltiples gobierno y organizaciones civiles en Arabia Saudita y otros países del Golfo. Shamoon está diseñado para destruir los discos duros de las computadoras borrando el registro de arranque maestro (MBR) y los datos de forma irrecuperable, a diferencia del ransomware, que mantiene los datos como rehenes por una tarifa.
A través de sus investigaciones recientes, nuestros analistas forenses identificaron el vector inicial de compromiso y las operaciones posteriores al compromiso que llevaron al despliegue del destructivo malware Shamoon en infraestructuras objetivo. Vale la pena mencionar que, según X-Force IRIS, el compromiso inicial tuvo lugar semanas antes de que se lanzara el despliegue y la activación reales de Shamoon.
Dado que los incidentes de Shamoon presentan las etapas de infiltración y escalada de ataques dirigidos, el personal de respuesta de X-Force IRIS buscó el punto de entrada de los atacantes. Sus hallazgos apuntaron a lo que parece ser el punto inicial de compromiso que utilizaron los atacantes: un documento que contenía una macro maliciosa que, cuando se aprobaba para ejecutarse, permitía las comunicaciones C2 con el servidor del atacante y el shell remoto a través de PowerShell.
El documento no fue el único descubierto en las recientes oleadas de ataques. Los investigadores de X-Force IRIS habían estado rastreando actividades anteriores asociadas con documentos maliciosos similares cargados de PowerShell, como currículos y documentos de recursos humanos, algunos de los cuales estaban relacionados con organizaciones en Arabia Saudita. Esta investigación identificó varios episodios de actividad ofensiva que tuvieron lugar en los últimos meses, lo que reveló métodos operativos similares en los que los atacantes enviaban documentos maliciosos y otros ejecutables de malware desde servidores web a sus objetivos para establecer un punto de apoyo inicial en la red.
Aunque Shamoon ya estaba documentado en blogs de investigación, los métodos específicos de compromiso de red que llevaron a los ataques permanecieron poco claros en los casos reportados. Los investigadores de X-Force IRIS estudiaron el ciclo de vida de los ataques de Shamoon y observaron sus tácticas en organizaciones con sede en Arabia Saudita y empresas del sector privado. Esta investigación les llevó a creer que el actor que utilizó Shamoon en ataques recientes se basó en gran medida en documentos armados creados para aprovechar PowerShell para establecer su punto de apoyo inicial en la red y las operaciones posteriores:
Figura 1: Shamoon Attack: flujo lógico de eventos
X-Force IRIS identificó el siguiente documento malicioso:
Nuestros investigadores examinaron el dominio que alojaba el primer archivo malicioso, mol.com-ho[.]me. Según el registro de WHOIS del dominio, un registrante anónimo registró com-ho[.]me en octubre de 2016 y lo utilizó para entregar documentos maliciosos con características de activación de macros similares. La siguiente lista de documentos incluye:
Lo más probable es que estos archivos se entregaran a través de correos electrónicos de phishing focalizado para atraer a los empleados para que lanzaran involuntariamente la carga maliciosa.
Una revisión más cercana de los nombres de los archivos reveló “IT Worx” y “MCI”. Una búsqueda del nombre IT Worx muestra una organización global de servicios profesionales de software con sede en Egipto. MCI es el Ministerio de Comercio e Inversiones de Arabia Saudita. Es posible que estos nombres se usaran en correos electrónicos de phishing focalizado porque parecerían benignos para los empleados con sede en Arabia Saudita y los atraerían para abrir el archivo adjunto.
Los investigadores de X-Force IRIS identificaron además que el actor de amenazas detrás de los documentos maliciosos atendió a muchos de ellos mediante un esquema de acortamiento de URL en el siguiente patrón: briefl[.]ink/{a-z0-9}[5].
La siguiente figura es un ejemplo visual de lo que los empleados pueden haber encontrado cuando abrieron los archivos maliciosos de Word que se les envió en preparación para un ataque de Shamoon:
Figura 2: Documento de Word malicioso entregado en preparación de un ataque de malware Shamoon (Fuente: X-Force IRIS)
Los resultados del DNS pasivo en un dominio de comunicaciones asociado con el ataque de Shamoon revelaron la infraestructura de red relacionada, identificando dominios adicionales utilizados por los actores de amenazas.
X-Force IRIS descubrió que el actor de amenazas alojaba al menos un ejecutable malicioso en un servidor alojado en ntg-sa[.]com. Este archivo engañó a los objetivos haciéndoles creer que era un instalador de Flash Player que soltaría un lote de Windows para invocar PowerShell en las mismas comunicaciones C2.
El análisis de uno de los documentos del actor de amenazas encontró que si la macro se ejecuta, lanza dos scripts de PowerShell separados. El primero ejecuta un script de PowerShell servido desde hxxp://139.59.46.154:3485/eiloShaegae1. Es posible que el host esté relacionado con ataques que sirvieron a Pupy RAT, una herramienta de acceso remoto multiplataforma disponible públicamente.
El segundo script llama a VirtualAlloc para crear un búfer, utiliza memset para cargar shellcode relacionado con Metasploit en ese búfer y lo ejecuta a través de CreateThread. Metasploit es un marco de código abierto popular como herramienta para desarrollar y ejecutar código de explotación contra una máquina objetivo remota. El shellcode realiza un DWORD XOR de 4 bytes en un desplazamiento desde el principio del shellcode que cambia el código para crear un bucle para que el XOR continúe 0x57 veces.
Si esta ejecución tiene éxito, crea un búfer mediante VirtualAlloc y llama a InternetReadFile en un bucle hasta que se recupera todo el contenido del archivo de hxxp://45.76.128.165:4443/0w0O6. A continuación, se devuelve como una cadena a PowerShell, que invoca la expresión de invocación (iex), lo que indica que la carga útil esperada es PowerShell.
Cabe destacar que la macro contenía una función DownloadFile() que utilizaba URLDownloadToFileA, pero que en realidad nunca se utilizó.
Con base en las observaciones asociadas con el documento malicioso, observamos sesiones de shell posteriores probablemente asociadas con Meterpreter de Metasploit que permitieron el despliegue de herramientas adicionales y malware antes del despliegue de tres archivos relacionados con Shamoon: ntertmgr32.exe, ntertmgr64.exe y vdsk911.sys.
Aunque la lista completa de víctimas de Shamoon no es pública, Bloomberg informó que, en un caso, miles de computadoras fueron destruidas en la sede de la Autoridad General de Aviación Civil de Arabia Saudita, borrando datos críticos y paralizando las operaciones durante varios días.
La actividad reciente de X-Force IRIS de los atacantes de Shamoon se ha detectado hasta ahora en dos oleadas, pero es probable que disminuyan tras la atención pública que los casos han atraído desde finales de 2016.
Arabia Saudita emitió una advertencia a las organizaciones locales sobre el malware Shamoon, alertando sobre posibles ataques y aconsejando a las organizaciones que se preparen. Los análisis y las advertencias sobre Shamoon están dando lugar a la preparación por parte de los objetivos, y es probable que los actores desaparezcan y cambien sus tácticas hasta la próxima ola de ataques.
Para obtener detalles técnicos sobre esta investigación e indicadores de compromiso relacionados, consulte el aviso de X-Force en X-Force Exchange.