Treo Blog

En este espacio puedes explorar las últimas tendencias y noticias en tecnología, seguridad informática e infraestructura TI.

  • Juanita Villegas

ObliqueRAT regresa con una nueva campaña utilizando sitios web secuestrados

Escrito por: Asheer Malhotra (Blog Cisco Talos)


  • Cisco Talos ha observado otra campaña de malware que utiliza documentos maliciosos de Microsoft Office (maldocs) para difundir el troyano de acceso remoto (RAT) ObliqueRAT.

  • Esta campaña está dirigida a organizaciones del sur de Asia.

  • ObliqueRAT se ha vinculado al grupo APT de Tribu Transparente en el pasado.

  • Esta campaña oculta la carga útil de ObliqueRAT en archivos de imagen aparentemente benignos alojados en sitios web comprometidos.

¿Qué hay de nuevo?

Cisco Talos descubrió recientemente otra nueva campaña que distribuye el troyano malicioso de acceso remoto (RAT) ObliqueRAT. En el pasado, Talos conectó ObliqueRAT y otra campaña de diciembre de 2019 distribuyendo CrimsonRAT . Estas dos familias de malware comparten macros y maldocs similares. Sin embargo, esta nueva campaña utiliza un código de macro completamente diferente para descargar e implementar la carga útil de ObliqueRAT. Los atacantes también han actualizado la cadena de infección para entregar ObliqueRAT a través de sitios web controlados por el adversario.


¿Cómo funcionó?

Históricamente, este RAT se coloca en el punto final de la víctima mediante documentos maliciosos de Microsoft Office (maldocs). Estos nuevos maldocs, sin embargo, no contienen la carga útil de ObliqueRAT directamente incrustada en el maldoc, como se observó en campañas anteriores. En su lugar, los atacantes utilizan una técnica novedosa en su cadena de infección para infectar los puntos finales específicos al dirigir a los usuarios a URL maliciosas. Las nuevas capacidades técnicas básicas de ObliqueRAT incluyen:


  • La cadena de infección basada en maldocs.

  • Cambios / actualizaciones a su carga útil.

  • Enlaces adicionales a ataques de malware previamente observados en la naturaleza.

¿Así que lo que?

Esta nueva campaña es un ejemplo típico de cómo los adversarios reaccionan a las divulgaciones de ataques y desarrollan sus cadenas de infección para evadir las detecciones. Las modificaciones en las cargas útiles de ObliqueRAT también destacan el uso de técnicas de ofuscación que se pueden utilizar para evadir los mecanismos de detección tradicionales basados ​​en firmas. Si bien la detección de firmas de archivos y basada en la red es importante, se puede complementar con análisis de comportamiento del sistema y protecciones de terminales para obtener capas adicionales de seguridad.


Análisis de maldocs

Los maldocs utilizados en anteriores ataques de ObliqueRAT utilizaron mecanismos idénticos a los maldocs de entrega CrimsonRAT. La última campaña que distribuye ObliqueRAT ahora utiliza un código macro completamente diferente en sus maldocs.


El ataque también ha evolucionado para incluir las siguientes funcionalidades:

  • Las cargas útiles ahora se alojan en sitios web comprometidos.

  • Las cargas útiles alojadas en estos sitios web consisten en archivos de imagen BMP aparentemente benignos.

  • Las macros maliciosas descargan las imágenes y la carga útil de ObliqueRAT se extrae al disco.

  • La carga útil de ObliqueRAT se renombra con la extensión de archivo .pif.

Campañas relacionadas

Nuestra publicación anterior en ObliqueRAT detalló sus conexiones con CrimsonRAT y, posteriormente, los vínculos con el grupo APT de la Tribu Transparente dirigido a organizaciones en el sur de Asia. También hemos observado superposiciones en la infraestructura C2 utilizada entre ObliqueRAT y una campaña de RevengeRAT . Talos evalúa con poca confianza que existe un posible vínculo entre ciertas campañas de RevengeRAT y ObliqueRAT y sus operadores.


RevengeRAT es una RAT basada en .NET cuyo código fuente se filtró públicamente hace unos años. Se ha convertido cada vez más en una práctica común para los grupos de software criminal y patrocinados por el estado utilizar malware filtrado. Esta práctica elimina la necesidad de desarrollar implantes y servidores C2 desde cero y aumenta las posibilidades de atribución errónea.



Conclusión

Esta campaña muestra a un actor de amenazas evolucionando sus técnicas de infección para que ya no se parezcan a las que se usaban anteriormente. Es muy probable que estos cambios sean en respuesta a divulgaciones anteriores para lograr la evasión de estas nuevas campañas. El uso de sitios web comprometidos es otro intento de evasión de detección. Los adversarios también han introducido la esteganografía como una forma de ocultar las cargas útiles de ObliqueRAT en archivos de imagen. Esta técnica es nueva para la cadena de distribución de ObliqueRAT (no se observó en el pasado). Esta nueva campaña de distribución de ObliqueRAT comenzó en abril de 2020 y aún está en curso. Esta campaña también destaca que, si bien la detección basada en la red es importante, debe complementarse con análisis de comportamiento del sistema y protecciones de terminales.


Cobertura

Las formas en que nuestros clientes pueden detectar y bloquear esta amenaza se enumeran a continuación.



Advanced Malware Protection ( AMP ) es ideal para prevenir la ejecución del malware que se detalla en esta publicación. A continuación, se muestra una captura de pantalla que muestra cómo AMP puede proteger a los clientes de esta amenaza. Prueba AMP gratis aquí. El escaneo web de Cisco Cloud Web Security ( CWS ) o Web Security Appliance ( WSA ) evita el acceso a sitios web maliciosos y detecta el malware utilizado en estos ataques. Email Security puede bloquear correos electrónicos maliciosos enviados por actores de amenazas como parte de su campaña. Dispositivos de seguridad de red como Firewall de próxima generación ( NGFW ), Sistema de prevención de intrusiones de próxima generación ( NGIPS ) y Meraki MXpuede detectar actividad maliciosa asociada con esta amenaza. Threat Grid ayuda a identificar binarios maliciosos y a incorporar protección en todos los productos de seguridad de Cisco. Umbrella , nuestra puerta de enlace segura a Internet (SIG), impide que los usuarios se conecten a dominios, direcciones IP y URL maliciosas, ya sea que los usuarios se encuentren dentro o fuera de la red corporativa. Las protecciones adicionales con contexto para su entorno específico y datos de amenazas están disponibles en Firepower Management Center . Los clientes de Open Source Snort Subscriber Rule Set pueden mantenerse actualizados descargando el último paquete de reglas disponible para su compra en Snort.org . Los usuarios de Cisco AMP pueden utilizar Orbital Advanced Search para ejecutar OSqueries complejas para ver si sus terminales están infectados con esta amenaza específica. Para consultas de sistema operativo específicas sobre esta amenaza, haga clic aquí .


Para leer el reporte completo vaya aqui

8 vistas0 comentarios

Un Servidor en Quien Confiar

CONTACTO

contactodirecto@datayservice.com

PBX + 57 6 8812277

Calle 54 # 26-60

ZIP 170004

Manizales, Colombia

REDES

logo-facebook.png
linkedin_circle-512.webp
logo-instagram-1.png
D&S colores.png

 © Data&Service, todos los derechos reservados.