Los espÃas cibernéticos y criminales patrocinados por estados están utilizando cada vez más servicios de nube legÃtimos para atacar a sus vÃctimas, según los cazadores de amenazas de Symantec, quienes han detectado tres de tales operaciones en los últimos meses, además de nuevas herramientas de robo de datos y otros malware en desarrollo por estos delincuentes.
Marc Elias, de la firma de seguridad, discutió los diferentes grupos y sus plataformas de nube favoritas durante una charla el miércoles en la conferencia de seguridad Black Hat. Él comentó a The Register que los criminales utilizan la nube por muchas de las mismas razones que las organizaciones legÃtimas, además del hecho de que facilita evitar ser atrapados husmeando en las redes de las vÃctimas.
"Uno de los beneficios es que los costos de infraestructura son cero para los grupos patrocinados por estados", explicó Elias, un cazador de amenazas en Symantec, durante una entrevista en las afueras de la conferencia anual de hackers en Las Vegas.
"Ellos pueden crear cuentas gratuitas en Google Drive o Microsoft, y no tienen que pagar nada para mantener esa infraestructura", agregó. "Además, es difÃcil detectar este tipo de ataques porque el tráfico está cifrado y se dirige a dominios legÃtimos".
Algunas de las campañas más recientes incluyen un backdoor que Symantec nombró “Grager” después de detectarlo siendo utilizado contra tres organizaciones en Taiwán, Hong Kong y Vietnam en abril. Este malware utilizó la API de Graph de Microsoft para comunicarse con el servidor de comando y control del atacante, alojado en Microsoft OneDrive.
El grupo detrás del backdoor Grager "registró un dominio malicioso que imitaba el verdadero software 7-Zip y redirigió a las vÃctimas a ese dominio malicioso a través de motores de búsqueda. Asà que esa fue una cadena de infección muy interesante: los atacantes intentaron ser muy sigilosos en esa campaña", dijo Elias.
El grupo de inteligencia de amenazas de Symantec publicó hoy investigaciones sobre Grager y varias otras campañas patrocinadas por estados que abusan de herramientas en la nube. Con Grager, notaron vÃnculos tentativos con un grupo conocido como UNC5330, sospechado de tener lazos con el gobierno chino.
El dominio que aloja Grager – hxxp://7-zip.tw/a/7z2301-x64[.]msi – es una URL con errores tipográficos utilizada para atrapar a personas que buscan la verdadera herramienta de archivo de código abierto 7-Zip. Una vez que se descarga el malware, se instala una versión trojanizada de 7-Zip en la máquina infectada, que luego instala el verdadero software 7-Zip, un archivo malicioso llamado epdevmgr[.]dll, malware Tonerjam y el backdoor Grager.
Mandiant anteriormente conectó Tonerjam a UNC5330. "Y en nuestra telemetrÃa también encontramos la misma muestra de Tonerjam desplegada por otro ejecutable benigno asociado por Mandiant al mismo grupo", observó Elias.
Según Elias, en marzo su equipo encontró otro backdoor que se cree está en desarrollo y que fue nombrado "Moon_Tag" por su desarrollador. Este malware se basa en código publicado en este Grupo de Google y contiene funcionalidad para comunicarse con la API de Graph. Symantec atribuyó MoonTag a un grupo de habla china, basado en el Grupo de Google y la infraestructura utilizada.
Más recientemente, Symantec detectó un backdoor llamado Onedrivetools que fue desplegado contra empresas de servicios de TI en EE. UU. y Europa. Este software malicioso primero descarga un downloader que se autentica en Graph AI y luego descarga y ejecuta una segunda carga útil almacenada en OneDrive. Sin embargo, la carga útil principal es un archivo disponible públicamente en GitHub.
El malware crea una nueva carpeta en OneDrive para cada computadora comprometida y sube un archivo a OneDrive que alerta a los atacantes sobre una nueva infección. Este backdoor también le da a los criminales acceso a los archivos de las vÃctimas, que luego exfiltran descargándolos de OneDrive. La herramienta de intercambio de archivos en la nube de Microsoft también es fuente de malware enviado a máquinas infectadas.
Symantec señala que en estos ataques, el grupo utilizó una herramienta de tunelización – Whipweave – que sospechan está construida sobre el proyecto de VPN chino de código abierto Free Connect (FCN). Esto se conecta a la red Orbweaver Operational Relay Box (ORB) para oscurecer aún más el tráfico malicioso.
"En estos últimos dos años hemos visto muchos grupos APT patrocinados por estados de diversas geografÃas aprovechando los servicios en la nube para que sus campañas sean sigilosas", advirtió Elias, añadiendo que solo espera que esta tendencia crezca, debido a los beneficios para los atacantes.
Para ayudar a los defensores de redes, Symantec también ha publicado una lista de indicadores de compromiso y tácticas, técnicas y procedimientos MITRE utilizados por los atacantes, asà que también revÃsalos. Y feliz caza. ®
Fuente: The Register