Resumen: Un actor de amenazas está desviando fondos de empresas del sector financiero, estudiando por meses a sus objetivos e inyectando transacciones fraudulentas entre la actividad habitual.
Sygnia, una empresa israelí de respuesta a incidentes y consultoría en ciberseguridad, publicó un informe exhaustivo acerca de una operación de robo financiero apodado como "Elephant Beetle" o “TG2003”.
Durante los últimos dos años, el equipo de Respuesta a Incidentes (IR) de la compañía, ha estado rastreando esta amenaza que se dirige principalmente a organizaciones del mercado latinoamericano, utilizando un arsenal de más de 80 herramientas y scripts únicos.
En el informe se puntualiza en el modus operandi del grupo de amenazas, que ejecuta sus ataques pacientemente durante largos períodos de tiempo, camuflándose en el entorno comprometido y evitando su detección mientras libera silenciosamente grandes sumas de dinero.
Elephant Beetle opera con un patrón sigiloso y bien organizado, ejecutando cada fase de su plan de ataque en tiempo y forma.
Reconocimiento y Compromiso inicial: Para lograr infiltrarse en las organizaciones, el grupo se centra en explotar vulnerabilidades altamente conocidas, pero probablemente no parcheadas. Algunas vulnerabilidades observadas durante ataques previos son: 1. CVE-2017-1000486 - Inyección de lenguaje de expresión de aplicaciones en Primefaces 2. CVE-2015-7450 - Explotación de la deserialización de SOAP del servidor de aplicaciones WebSphere 3. CVE-2010-5326 - Explotación del Servlet Invoker de SAP NetWeaver 4. EDB-ID-24963 - Ejecución remota de código en ConfigServlet de SAP NetWeaver Así mismo, en la mayoría de los casos Elephant Beetle se dirige a aplicaciones Java que se ejecutan en máquinas basadas en Linux. Sus objetivos preferidos son los servidores web basados en Java: WebSphere y WebLogic. Una vez que los servidores han sido comprometidos, son utilizados para crear vectores de acceso persistente en la red y como medios para recolectar credenciales. Reconocimiento interno: Durante esta fase, los atacantes se centran en inyectar capacidades operativas en la red de la víctima. Con el objetivo de integrarse en el entorno, Elephant Beetle estudia el panorama digital y coloca puertas traseras mientras personaliza sus herramientas para que funcionen en el sistema comprometido. De igual forma, en esta etapa el grupo observa el software y la infraestructura de la víctima para entender el proceso técnico de las transacciones financieras legítimas. Hacerse pasar por un paquete legítimo: Cuando los atacantes están listos para desplegar el ataque, aumentan su agresividad. Suelen correr archivos WAR (Web Application Resource/Web Application Archive) maliciosos que contienen una variedad de web shells con diferentes capacidades, a fin de aprovechar las cuentas administrativas de los servidores web objetivo.
En ataques pasados, se ha observado que el archivo WAR que despliega el grupo, lleva diferentes variaciones de la palabra “example”, como “wsexample.war”, “wsexamples.war”, “examples.war” y “exampl3s.war”.
Posteriormente, los atacantes buscarán obtener las credenciales administrativas. Para lograr este objetivo, Elephant Beetle ha empleado la búsqueda de credenciales en texto claro dentro de scripts y archivos de configuración en archivos locales de las máquinas comprometidas. En diversas ocasiones en las que un servidor WebSphere Application (WAS) fue comprometido, los actores de amenaza buscaron a través de él las credenciales administrativas, utilizando “wasadmin”, que es el usuario administrador por defecto para la interfaz web de WebSphere.
Tras obtener las credenciales de administrador de WebSphere, los atacantes las emplearán para iniciar sesión en la interfaz de administración y ejecutar la aplicación WAR.
Más adelante para garantizar el acceso a los web shells desde otros servidores, los atacantes sustituyen los archivos de la página web por defecto. En los servidores web IIS modifican el “iisstart.aspx” o “default.aspx”. Técnicas de Pentesting: Es preciso destacar que en esta etapa, una vez que el servidor web ha sido comprometido, Elephant Beetle carga un escáner personalizado escrito en Java que se encarga de realizar el escaneo de un rango o de una lista de direcciones IP para un puerto en específico. Esta herramienta es utilizada para escanear objetivos e identificar las aplicaciones instaladas que podrían ser explotadas.
Otra de las herramientas de escaneo identificadas por Sygnia, se conoce como “SslTest” y se trata de un archivo JAR que permite hacer una huella digital SSL (Secure Sockets Layer) a un host remoto con el objetivo de indicarle a los atacantes la fecha de caducidad de un certificado.
Este acto combinado con que el grupo solía descargar el código fuente de la aplicación que residía en el servidor en busca de interfaces web específicas, indica que los atacantes tienen una amplia comprensión y conocimiento en el campo de pruebas de penetración, destacan los investigadores de Sygnia.
Movimiento Lateral y ejecución de código remoto: Elephant Beetle hace uso de servidores de aplicaciones web y servidores SQL para moverse lateralmente en la red, aprovechando técnicas llamadas las API de Windows (SMB/WMI) y "xp_cmdshell", combinadas con puertas traseras de ejecución remota personalizada.
Así mismo, para transferir herramientas y sus resultados en los ordenadores comprometidos, el grupo emplea una herramienta personalizada que descarga Java junto con varios web shells capaces de descargar archivos.
Los investigadores observaron que para facilitar esta etapa, el grupo hace uso de dos puertas traseras diferentes que son montadas de forma remota en las máquinas comprometidas. La primera es una puerta trasera de Powershell de una sola línea codificada en Base64, que imita un servidor web y otorga la capacidad de ejecutar código remoto. La segunda se trata de una puerta trasera de conexión de Perl de una línea, que es ejecutada únicamente en los ordenadores Linux y requiere de la dirección y el puerto C2 para establecer la conexión.
Para la actividad de ejecución de código remoto, los atacantes utilizan los mecanismos WMI y SMB, ya sea directamente (binario WMIC.exe) o con algunos scripts de apoyo para optimizar sus operaciones.
Aunque en algunos casos el grupo aprovechó el script de código abierto Invoke-SMBExec.ps1, un script de Powershell que permite la ejecución remota de código en máquinas Windows a través del mecanismo SMB. La principal herramienta que fue utilizada, es una versión modificada del script de pruebas de pluma de código abierto WmiExec.vbs13, un script VBS que permite la ejecución de código y el control remoto de máquinas Windows, a través del mecanismo WMI. Fingir la legitimidad: En una de las etapas finales del ataque, el grupo adoptó medios adicionales para ocultar cualquier archivo o salida sospechosos a fin de mantener un perfil bajo.
Una de las técnicas para conseguirlo, fue ejecutar una herramienta Java personalizada vinculada a un socket para guardar los datos entrantes en una ruta de archivo destino.
Otra de las maneras en las que el grupo fingió su legitimidad, consistió en copiar los archivos deseados para transferirlos a rutas accesibles de un directorio de aplicaciones web en servidores web, y luego acceder a ellos como si fueran páginas web legítimas mediante scripts VBS/Perl personalizados.
Sygnia ha señalado que con el uso de todas las técnicas mencionadas anteriormente, el grupo podría transferir archivos en diferentes activos comprometidos, sin la necesidad de una compleja herramienta de backdoor.
Recolección de credenciales: Finalmente, para la recolección de credenciales, el grupo de amenazas utilizó versiones renombradas del ejecutable ProcDump (pr.exe, pr64.exe y más) para volcar la memoria del proceso LSASS.exe. En otros casos, el grupo intentó ejecutar PWdump7 y una versión compilada de Out-Minidump.ps1 con el mismo fin. Además, fueron extraídos los archivos de registro SAM y SYSTEM empleando el binario Reg.exe para obtener los hash de las contraseñas. Después de recolectar las credenciales, el grupo comprimió el resultado del volcado con un binario 7zip que se subió a la máquina comprometida. En varios casos, el grupo observó la compresión de la salida de una manera organizada, en la que el nombre del archivo de salida comprimido estaba asociado al ordenador de la víctima.
Posteriormente, para la escalada de privilegios locales, el grupo usó “IISCrack.dll”, una técnica de carga lateral de DLL que descarga una versión maliciosa de “httpodbc.dll” en servidores IIS antiguos. Otra de las herramientas empleadas en este proceso, fue incógnito V217 para ejecutar las estrategias de manipulación de tokens y la suplantación de identidad.
Conclusión: Si bien el informe tiene como finalidad hacer una descripción técnica del ataque Elephant Beetle, indudablemente expone una amenaza que lleva dos años en el mercado latinoamericano y de la cual no se había hablado antes.
Sygnia ha confirmado que existe una alta conexión entre los ataques dirigidos a países de habla hispana. Entre los factores se incluyen: 1. Palabras y frases clave codificadas en las herramientas que el grupo utiliza, como una variable de código llamada "ELEPHANTE". 2. La mayoría de las IPs C2 utilizadas por el grupo de amenazas se encuentran en México. 3. En los archivos maliciosos con firmas YARA y los hashes de archivos de malware disponibles públicamente se encontró que los objetivos son en su mayoría organizaciones en América Latina.
Según el equipo de Respuesta a Incidentes (IR) de la compañía, todo lo anterior afirma que el origen del grupo de amenazas es latinoamericano, pero sobre todo que mantiene una gran conexión con México.
Por lo consiguiente, se le insta a todos los usuarios a tomar las medidas necesarias para mantener sus equipos y organizaciones seguros.
Recomendaciones: Algunas de las recomendaciones básicas para mitigar la posible entrada a actores de amenaza en este tipo de ataques son: - Evitar el uso de credenciales en texto claro. - Evitar emplear el procedimiento 'xp_cmdshell' y desactivarlo en los servidores MS-SQL. Vigilar los cambios de configuración y el uso de 'xp_cmdshell'. - Buscar y monitorizar la presencia y creación de archivos .class sospechosos en las carpetas temporales de las aplicaciones WebSphere. - Monitorizar los despliegues WAR y validar que la funcionalidad de despliegue de paquetes está incluida en la política de registro de las aplicaciones correspondientes. - Monitorear los procesos que fueron ejecutados por los procesos de servicios padres del servidor web (por ejemplo, 'w3wp.exe', 'tomcat6.exe') o por procesos relacionados con la base de datos (por ejemplo, 'sqlservr.exe'). - Implementar y verificar la segregación entre la DMZ y los servidores internos De igual manera, para proteger a las organizaciones, es importante mantener prácticas básicas de seguridad y todos los dispositivos al día. Si desea conocer mayor información sobre el tema, se le recomienda visitar el reporte de seguridadproporcionado por Sygnia. Referencias: https://f.hubspotusercontent30.net/hubfs/8776530/Sygnia-%20Elephant%20Beetle_Jan2022.pdf?
|
SÍGUENOS