Treo Blog

"FASTCash 2.0: BeagleBoyz robando bancos de Corea del Norte"

Actualizado: hace 2 días



Por Val Sangphaibul | 27 de agosto de 2020

Plataformas afectadas: Microsoft Windows

Partes afectadas: Usuarios empresariales de Windows, específicamente instituciones financieras

Impacto: Intercepción de mensajes del sistema de punto de venta (POS) ISO 8583, solicitudes de transacciones en cajeros automáticos y consultas de saldo en cajeros automáticos

Nivel de gravedad: Crítico

Hoy, la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA), junto con el Departamento del Tesoro (TREASURY), la Oficina Federal de Investigaciones (FBI) y el Comando Cibernético de los Estados Unidos (USCYBERCOM), emitieron una Alerta Técnica Conjunta que atribuyó actividad cibernética maliciosa al gobierno de Corea del Norte.


La Alerta técnica proporciona un análisis detallado del papel del gobierno de Corea del Norte en un esquema de retiro de efectivo de un cajero automático (ATM), al que el gobierno de los Estados Unidos se refiere como "FASTCash 2.0: BeagleBoyz Robando bancos de Corea del Norte". Este blog tendrá como objetivo proporcionar un breve desglose de los informes conjuntos de alerta técnica y análisis de malware (MAR) publicados hoy por CISA. 

Los informes MAR publicados hoy son: 

  • MAR-10301706-1.v1 - 4 muestras (ECCENTRICBANDWAGON)

  • MAR-10301706-2.v1 - 6 muestras (VIVACIOUSGIFT)

  • MAR-10257062-1.v2 - 3 muestras (FASTCASH para Windows)

La alerta técnica conjunta proporciona información detallada para esta última campaña, mientras que los informes de análisis de malware por separado contienen reseñas detalladas de las muestras utilizadas por BeagleBoyz que se mencionaron en la alerta técnica conjunta CISA de hoy.

Antecedentes de la alerta técnica conjunta

COBRA OCULTA se ha relacionado con múltiples ataques de alto perfil que han causado interrupciones masivas de la infraestructura, así como ataques con motivaciones financieras en varias partes del mundo. Los ataques notables incluyen el ataque de 2014 a una importante compañía de entretenimiento y un atraco a una institución financiera de Bangladesh en 2016 que casi generó cerca de $ 1 mil millones (USD) para los atacantes. Si no hubiera sido por una falta de ortografía en una instrucción que provocó que un banco marcara y bloqueara treinta transacciones, HIDDEN COBRA habría llevado a cabo un atraco como ningún otro.


Aunque HIDDEN COBRA fracasó en su intento, aún pudieron obtener alrededor de $ 81 millones en total. El ataque más reciente, y más notable, atribuido a HIDDEN COBRA fue el ataque Wannacry Ransomware, que resultó en una interrupción masiva y daños en todo el mundo a numerosas organizaciones, especialmente a los fabricantes. Varias estimaciones del impacto están en los cientos de millones de dólares, y algunas estimaciones reclaman miles de millones. Otras verticales a las que se ha dirigido este grupo incluyen las infraestructuras críticas, así como los sectores de entretenimiento, finanzas, salud y telecomunicaciones en varios países. Conoce al BeagleBoyz

"BeagleBoyz" es un grupo recientemente identificado que es un subconjunto de la actividad de los actores de amenazas conocidos como HIDDEN COBRA / LAZARUS / APT 38. BeagleBoyz ha estado activo desde 2014. Según estimaciones, los BeagleBoyz fueron responsables de intentar robar casi $ 2 mil millones (USD) de varias instituciones financieras en un ataque coordinado de retiro de efectivo en más de 30 países en todo el mundo. El gobierno de los Estados Unidos ahora atribuye a los BeagleBoyz como responsables del atraco de $ 81 millones de una institución financiera en Bangladesh, mientras que informes anteriores lo habían vinculado a la actividad de HIDDEN COBRA / LAZARUS. Además, los BeagleBoyz han sido vinculados a ataques en África y Chile desde 2018.

El modus operandi principal del BeagleBoyz es la ingeniería social, el spearphishing y las tácticas de abrevadero. Dentro de los informes de análisis de malware (MAR) citados anteriormente hay (13) muestras de malware únicas que son una combinación de herramientas de acceso remoto / troyanos (RAT), una herramienta de proxy de túnel, captura de pantalla / keylogger y ataques de hombre en el medio, todos dirigidos específicamente a mensajes del sistema de punto de venta (POS) ISO 8583, solicitudes de transacciones en cajeros automáticos y consultas de saldo en cajeros automáticos    Resúmenes de muestra

Los nombres de familias de malware atribuidos a BeagleBoyz por CISA incluyen: 

EXCÉNTRICO BANDWAGON 

En este informe se incluyen cuatro archivos DLL maliciosos que realizan pulsaciones de teclas y registros de pantalla. Según MAR, las cuatro muestras de ECCENTRICBANDWAGON son muy similares entre sí, con la principal diferencia en el lugar donde se almacenan los datos extraídos (registros de claves y capturas de pantalla). Además, algunas variantes usan el cifrado RC4 en cadenas específicas dentro del archivo ejecutable portátil (PE) y realizan una limpieza de sí mismas, mientras que algunos de los otros archivos no lo hacen.

REGALO VIVO

En este informe se incluyen seis archivos ejecutables portátiles (PE) maliciosos. Los archivos incluyen herramientas de proxy de red que requieren un argumento de línea de comando cifrado para recuperar varias configuraciones de red de control y comando para la dirección IP de origen y destino. La instrucción de la línea de comando puede contener una IP, un puerto y una contraseña del proxy de origen.


El proxy de origen también se puede utilizar como un proxy adicional al comunicarse con la dirección IP de origen. Según MAR, otras muestras enumeradas son muy similares, con la principal diferencia entre las versiones de 32 y 64 bits del malware.

FASTCASH para Windows 

En este informe se incluyen dos archivos ejecutables portátiles (PE) maliciosos y un archivo DLL malicioso. Estos archivos son (1) implante (DLL) que puede inyectarse en un proceso remoto de Windows, (1) utilidad de línea de comando (PE) y (1) archivo infostealer / MITM (PE). Dentro del primer archivo hay un archivo info.dat cifrado que contiene números de cuenta primarios preconfigurados [PAN]. Lo más probable es que se originaran y contuvieran transacciones de cajeros automáticos. Estos números se utilizan en la industria bancaria para ayudar a identificar la institución financiera de un emisor de tarjetas.


Este ejemplo contiene dos funciones, incluida una DLL que se inyecta en un proceso de destino. Esta muestra luego intentará conectar la función Enviar y Recv de la API de Windows dentro del proceso de destino, que luego intentará interceptar x200 " Mensajes de solicitud financiera generados por cajeros automáticos. Otra funcionalidad observada de este archivo es que utiliza una lista de bloqueo de transacciones en cajeros automáticos, que será denegada por la función de gancho. 

Cuando el malware recibe una solicitud de un cajero automático, si contiene un número PAN ya preconfigurado en info.dat y no está en la lista de bloqueo en "blk.dat", el malware responderá reconociendo la respuesta y enviándola al cajero automático. sistema para confirmar aún más la transacción y luego secuestrar y retirar dinero del cajero automático.


Si la transacción es secuestrada y aprobada, el malware registrará esta transacción en un archivo de registro cifrado: suc.dat. El segundo archivo es un archivo DLL de Windows malicioso de 32 bits que contiene una utilidad de línea de comandos que permite a un atacante inyectar una DLL en un proceso remoto. 

El tercer archivo es un archivo de configuración que contiene una lista de bloqueo y varios archivos de registro. Según MAR, al adjuntar a un proceso, la muestra descifrará la configuración cifrada del archivo de configuración y la leerá en la memoria.


A continuación, conectará los procesos de envío y recepción de winAPI y realizará un ataque MITM para comprobar si existen metadatos específicos en los archivos de registro anteriores. Si no está disponible, permitirá que pasen los metadatos. Una vez que se llama a la función recv, verifica si está en el puerto 7029. Si lo está, analizará los campos ISO8583 específicos del datagrama entrante.


Luego busca un archivo de configuración predefinido en el PAN. Si existe, permitirá que pase. Si está en la lista negra, establecerá REPONSE_CODE en 51, que es el código de fondos insuficientes.

Otras familias de malware mencionadas en este artículo incluyen el uso de CROWDEDFLOUNDER (RAT), ELECTRICFISH (Tunnel Proxy) y HOPLIGHT (RAT). Se puede encontrar más información sobre estas familias de malware en un blog anterior   y en  Threat Intelligence Brief.

Protección Fortinet

FortiGuard Labs implementó cobertura para garantizar que las protecciones estuvieran implementadas inmediatamente después del anuncio de la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA). CISA, en coordinación con Cyber ​​Threat Alliance (CTA), compartió las muestras antes del anuncio con los socios de CTA para garantizar que los clientes de los miembros de CTA estuvieran protegidos inmediatamente en tiempo real.

Los clientes que ejecutan los conjuntos de definiciones más recientes están protegidos por las siguientes firmas (AV):

  • W32 / Alreay.BG! Tr 

  • W32 / KeyLogger.BHFC! Tr 

  • W32 / Banker.ADRO! Tr.spy 

  • W32 / Alreay.A! Tr 

  • W32 / Agent.0D36! Tr 

  • W64 / Agent.AP! Tr 

  • W32 / Generic! Tr 

  • W64 /Banker.AX!tr.spy 

  • W32 / Banker.ADRO! Tr.bdr 

  • W64 / Agent.AP! Tr 

  • W32 / Alreay.BB! Tr

  • Riskware / Banker

Los clientes que ejecutan los conjuntos de definiciones más recientes están protegidos por las siguientes firmas ( IPS ): ElectricFish.Tunneling.Tool

APÉNDICE Actividad cibernética maliciosa de Corea del Norte https://us-cert.cisa.gov/northkorea

https://www.fortinet.com/blog/threat-research/joint-technical-alert-fastcash-2-0-north-koreas-beagleboyz-robbing-banks


5 vistas
D&S colores.png

Un Servidor en Quien Confiar

Servicio al cliente:

contactodirecto@datayservice.com

PBX + 57 6 8812277

Calle 54 # 26-60

ZIP 170004

Manizales, Colombia

Peticiones quejas y reclamos:

pqr.datayservice@datayservice.com

 

 © Data&Service, todos los derechos reservados.