Treo Blog

En este espacio puedes explorar las últimas tendencias y noticias en tecnología, seguridad informática e infraestructura TI.

  • Juanita Villegas

Puertas traseras, RAT, técnicas de evasión

Escrito por: Josh Pyorre



En esta segunda edición de Cybersecurity Threat Spotlight, examinamos las amenazas actuales más importantes, incluida una amenaza de puerta trasera, un troyano de acceso remoto (RAT) y un cargador. La ofuscación, el cifrado, el armamentismo de archivos normalmente benignos y la ejecución remota (frecuentemente C2) continúan siendo técnicas primarias en uso continuo.


Nombre de la amenaza: GoldMax

Tipo de amenaza: Actor de puerta trasera : NOBELIUM https://attack.mitre.org/groups/G0118/ Entrega y exfiltración:



Descripción: GoldMax (también conocido como SUNSHUTTLE) es un malware posterior a la explotación que se utiliza actualmente como parte de un ataque SUNBURST. SUNBURST utiliza múltiples técnicas para ofuscar sus acciones y evadir la detección. GoldMax persiste en los sistemas como una tarea programada, haciéndose pasar por software de gestión de sistemas.

GoldMax Spotlight: Escrito en Go, GoldMax actúa como una puerta trasera de comando y control para el actor. El malware escribe un archivo de configuración cifrado en el disco, donde el nombre del archivo y las claves de cifrado AES-256 son únicos por implante y se basan en variables ambientales e información sobre la red donde se ejecuta. El C2 puede enviar comandos para que se ejecuten para varias operaciones, incluidos los comandos del sistema operativo nativo, a través de cookies generadas de forma pseudoaleatoria. Las cookies codificadas son únicas para cada implante, y se asignan a las víctimas y las operaciones del lado del actor. GoldMax está equipado con una función de generación de tráfico de red señuelo que le permite rodear su tráfico de red malicioso con tráfico aparentemente benigno.

Geolocalizaciones de destino: Norteamérica, Europa Datos de destino: Cualquiera Empresas de destino: Gobierno, entidades públicas, entidades privadas

Mitre Att & ck, GoldMax Acceso inicial: Compromiso de la cadena de suministro Persistencia: Tarea programada Ejecución: Comando e intérprete de secuencias de comandos: shell de comandos de Windows Evasión: Desofuscar / decodificar archivos o información, archivos o información ofuscados: empaquetado de software, ejecución indirecta de comandos, tarea o servicio de enmascaramiento, comprobaciones del sistema Colección: N / A Comando y control: Canal cifrado: criptografía simétrica, codificación de datos, ofuscación de datos, transferencia de herramientas de ingreso, protocolos web Exfiltración: exfiltración a través del canal C2

IOC: Dominios: srfnetwork org [.] Reyweb com [.] Onetechcompany com [.] IPs: [.] 185.225.69 69 SHA-256 Hashes: 70d93035b0693b0e4ef65eb7f8529e6385d698759cc5b8666a394b2136cc06eb 0e1f9d4d0884c68ec25dec355140ea1bab434f5ea0f86f2aade34178ff3a7d91 247a733048b6d5361162957f53910ad6653cdef128eb5c87c46f14e7e3e46983 F28491b367375f01fb9337ffc137225f4f232df4e074775dd2cc7e667394651c 611458206837560511cb007ab5eeb57047025c2edc0643184561a6bf451e8c2c B9a2c986b6ad1eb4cfb0303baede906936fe96396f3cf490b0984a4798d741d8 bbd16685917b9b35c7480d5711193c1cd0e4e7ccb0f2bf1fd584c0aebca5ae4c


Información adicional: https://blog.talosintelligence.com/2020/12/solarwinds-supplychain-coverage.html


Qué productos de Cisco pueden bloquear GoldMax :


  • Cisco Secure Endpoint (AMP for Endpoints)

  • Cisco Cloud Web Security (CWS)

  • Cisco Network Security

  • Cisco Secure Network Analytics

  • Cisco Secure Cloud Analytics

  • Cisco Secure Web Appliance

  • Cisco Threat Grid

  • Cisco Umbrella

Nombre de la amenaza: ObliqueRAT

Tipo de amenaza: Agente troyano de acceso remoto : Entrega y exfiltración de tribus transparentes :


Descripción: Oblique es un popular troyano de acceso remoto que actualmente se utiliza para tomar el control remoto de los sistemas infectados y robar datos. El malware tiene las siguientes capacidades: obtener el proceso en ejecución en el sistema, obtener las unidades, directorios y archivos en el sistema, obtener los nombres de host, ID de usuario, capturar capturas de pantalla, obtener los datos del servidor C2, usar puertos personalizados para conectarse al servidor C2.

ObliqueRAT Spotlight: ObliqueRAT está relacionado con CrimsonRAT, comparte los mismos documentos y macros de malware, pero usa su código macro para descargar su carga útil maliciosa de sitios web controlados por actores. La carga útil maliciosa parece ser archivos de imagen BMP benignos. Estos archivos contienen un ZIP, que contiene la carga útil de ObliqueRAT. Una vez descargado y extraído, el archivo cambia de nombre con una extensión de archivo .pif. La persistencia se logra creando un acceso directo con una extensión de archivo .URL en el inicio del usuario infectado.

Geolocalizaciones de destino: Asia meridional Datos de destino: Credenciales de navegadores web, datos de medios extraíbles, recopilación de correo electrónico local Empresas de destino: Cualquiera

Mitre Att & ck, ObliqueRAT Acceso inicial: Phishing Persistencia : Llaves de ejecución del registro / carpeta de inicio Ejecución: Tarea programada / Evasión de trabajos : Deterioro de defensas Colección: Descubrimiento de archivos y directorios, descubrimiento de procesos, captura de pantalla, descubrimiento de software de seguridad, descubrimiento de información del sistema, configuración de red del sistema descubrimiento Comando y control: Ofuscación de datos Exfiltración: Transferencia de herramientas de ingreso, exfiltración sobre el canal de comando y control utilizando el protocolo de capa de no aplicación

IOC: Dominios: larsentobro [.] Com micrsoft [.] Ddns.net URL: hxxp: // iiaonline [.] En / DefenceLogo / theta.bmp hxxp: // iiaonline [.] En / timon.jpeg hxxp: // iiaonline [.] en / 9999.jpg hxxp: // iiaonline [.] en / merj.bmp hxxp: // iiaonline [.] en / 111.jpg hxxp: // iiaonline [.] en / sasha.jpg hxxp: //iiaonline[.]in/111.png hxxp: // iiaonline [.] in / camela.bmp hxxp: // larsentobro [.] com / mbda / goliath1.bmp hxxp: // larsentobro [.] com / mbda / mundkol hxxp: // drivestransfer [.] com / myfiles / Dinner% 20Invitation.doc / win10 / Dinner% 20Invitation.doc IP: 185 [.] 183.98.182

Información adicional: https://blog.talosintelligence.com/2021/02/obliquerat-new-campaign.html

Qué productos de Cisco pueden bloquear ObliqueRAT:

  • Cisco Secure Endpoint

  • Cloud Web Security

  • Cisco Secure Email

  • Cisco Secure Firewall/Secure IPS

  • Cisco Secure Malware Analytics

  • Cisco Umbrella

  • Cisco Secure Web Appliance

Nombre de la amenaza: NimzaLoader

Tipo de amenaza: Loader Actor: TA800 Entrega y exfiltración:



Descripción: NimzaLoader es parte de una familia de malware utilizada por el grupo de amenazas TA800 para afianzarse en las redes empresariales comprometidas. Este grupo de amenazas usó BazaLoader antes de cambiar al nuevo NimzaLoader en febrero de 2021.

NimzaLoader Spotlight: NimzaLoader está escrito en el lenguaje de programación Nim en un intento de evitar la detección. Los archivos JSON se utilizan para el almacenamiento de datos, la gestión de la memoria y la comunicación C&C y no utilizan un algoritmo de generación de dominios. La carga útil de la segunda etapa suele ser Cobalt Strike.

La explotación comienza con correos electrónicos de phishing a las víctimas que contienen detalles personalizados que se pueden encontrar en sitios de redes sociales como LinkedIn. Los correos electrónicos contienen un enlace, etiquetado como 'Vista previa en PDF' que conduce a una página web de descarga de NimzaLoader.

NimzaLoader utiliza cmd.exe y powershell.exe para inyectar shellcode en un proceso en sistemas Windows. Utiliza un mecanismo de latido para actualizar las fechas de vencimiento del malware en la memoria y codifica otros datos en un objeto JSON.

Geolocalizaciones de destino: Cualquiera Datos de destino: Cualquiera Negocios de destino: Cualquiera Exploits: N / A

Mitre Att & ck, NimzaLoader Acceso inicial: adjunto de spearphishing, enlace de spearphishing Persistencia: claves de ejecución del registro / carpeta de inicio, elementos de inicio, enganche Evasión: Desofuscar / decodificar archivos o información, enmascaramiento, archivos o información ofuscados, duplicación de procesos, vaciado de procesos, inyección de procesos Colección : Descubrimiento de cuentas, descubrimiento de ventanas de aplicaciones, descubrimiento de archivos y directorios, descubrimiento de procesos, registro de consultas, descubrimiento de sistemas remotos, descubrimiento de software de seguridad, descubrimiento de información del sistema, descubrimiento de tiempo del sistema, descubrimiento de usuarios / propietarios del sistema Exfiltración: Puerto de uso común, datos cifrados, copia remota de archivos, protocolo de capa de aplicación estándar, protocolo criptográfico estándar, protocolo de capa de no aplicación estándar

IOC: Dominios: centralbancshares [.] Com gariloy [.] Com liqui-technik [.] Com SHA-256 Hashes: 540c91d46a1aa2bb306f9cc15b93bdab6c4784047d64b95561cf2759368d3d1d

Información adicional: https://www.technadu.com/ta800-group-using-new-initial-access-tool-nimzaloader/253752/


Qué productos de Cisco pueden bloquear NimzaLoader :

  • Cisco Secure Endpoint

  • Cloud Web Security

  • Cisco Secure Email

  • Cisco Secure Firewall/Secure IPS

  • Cisco Secure Malware Analytics

  • Cisco Umbrella

  • Cisco Secure Web Appliance


Fuente: https://umbrella.cisco.com/blog/cybersecurity-threat-spotlight-backdoors-rats-loaders-evasion-techniques

5 vistas0 comentarios