Compañías militares y aeroespaciales de Europa y Medio Oriente en la mira de ciberespías | WeLiveSecurity

Compañías militares y aeroespaciales de Europa y Medio Oriente en la mira de ciberespías

Para comprometer a sus víctimas utilizaron ingeniería social a través de LinkedIn.

Para comprometer a sus víctimas utilizaron ingeniería social a través de LinkedIn.

A fines del año pasado, descubrimos que entre septiembre y diciembre de 2019 se estuvieron llevando a cabo de manera activa ataques dirigidos contra compañías aeroespaciales y militares en Europa y Medio Oriente. Una investigación en colaboración con dos de las compañías europeas afectadas nos permitió obtener información sobre la operación y descubrir malware previamente indocumentado.

Si bien esta publicación ahondará en los detalles de cómo se desarrollaron estos ataques, más detalles de esta investigación pueden encontrarse en nuestro white paper, Operation In(ter)ception: Targeted attacks against European aerospace and military companies.

Basados ​​en una muestra de malware utilizado llamada Inception.dll, hemos denominado Operation In(ter)ception a estos ataques altamente dirigidos y que tenían la clara intención de mantenerse lejos de los radares de detección.

Para comprometer a sus objetivos, los atacantes utilizaron ingeniería social a través de LinkedIn para publicar ofertas de trabajo atractivas, pero falsas. Tras establecer un contacto inicial, los atacantes desplegaron su malware personalizado de múltiples etapas, junto con herramientas de código abierto modificadas. Además de malware, los atacantes hicieron uso de tácticas conocidas como living off the land para abusar de herramientas legítimas y funciones del sistema operativo. Asimismo, se utilizaron varias técnicas para evitar la detección, incluyendo la firma de código, la recopilación de malware de manera regular y la suplantación de identidad de software y compañías legítimas.

Según nuestra investigación, el objetivo principal de la operación era el espionaje. Sin embargo, en uno de los casos que investigamos los actores intentaron monetizar el acceso a la cuenta de correo de una de sus víctimas a través de un ataque conocido como BEC (del inglés Business Email Compromise).

Si bien no encontramos evidencia sólida que vincule estos ataques a un grupo de cibercriminales conocido, descubrimos algunos elementos que sugieren un posible vínculo con el grupo Lazarus, como son las similitudes en cuanto al perfil de sus blancos de ataque, el entorno de desarrollo y las técnicas antianálisis utilizadas.

Compromiso inicial

Como parte de la fase inicial de compromiso, los atacantes detrás de Operation In(ter)ception habían creado cuentas falsas de LinkedIn a través de las cuales se hacían pasar por representantes de RR. HH de compañías conocidas en las industrias aeroespacial y de defensa. En nuestra investigación, hemos visto perfiles que se hacen pasar por Collins Aerospace (anteriormente Rockwell Collins) y General Dynamics, ambas grandes corporaciones estadounidenses en el campo.

Con los perfiles configurados, los atacantes buscaron empleados de las empresas seleccionadas como blanco de sus ataques y les enviaron mensajes con ofertas de trabajo ficticias utilizando la función de mensajería de LinkedIn, como se ve en la Figura 1. (Nota: las cuentas falsas de LinkedIn ya no existen).

Figura 1. Una oferta de trabajo falsa enviada a través de LinkedIn a los empleados de una de las empresas objetivo

Una vez que los atacantes tuvieron la atención de sus objetivos, colaron archivos maliciosos en la conversación, disfrazados de documentos relacionados con la oferta de trabajo en cuestión. La figura 2 muestra un ejemplo de dicha comunicación.

Figura 2. Comunicación entre los atacantes y un empleado de una de las empresas apuntadas

Para enviar los archivos maliciosos, los atacantes usaron LinkedIn directamente o una combinación de correo electrónico y OneDrive. En el caso de OneDrive, los atacantes usaron cuentas de correo electrónico falsas que se correspondían a sus personajes falsos de LinkedIn, e incluyeron enlaces de OneDrive que alojaban los archivos.

El archivo compartido era un archivo RAR protegido con contraseña que contenía un archivo LNK. Una vez abierto, el archivo LNK da inició a un Command Prompt que abre en el navegador predeterminado de la víctima un archivo PDF remoto.

Ese PDF, que aparentemente contenía información salarial vinculada a los puestos de trabajo, en realidad funcionó como señuelo, ya que en segundo plano, el Command Prompt crea una nueva carpeta y copia a la misma el WMI Commandline Utility (WMIC.exe), renombrando la utilidad en el proceso. Finalmente, creó una tarea programada configurada para ejecutar un script XSL remoto periódicamente a través del WMIC.exe copiado.

Esto permitió a los atacantes poner un pie dentro de la compañía y ganar persistencia en la computadora comprometida. La Figura 3 ilustra los pasos que conducen al compromiso.

Figura 3. Escenario de ataque desde el contacto inicial hasta el compromiso

Herramientas y técnicas de ataque utilizadas

Los atacantes detrás de Operation In(ter)ception emplearon una serie de herramientas maliciosas, incluido el malware personalizado de múltiples etapas y versiones modificadas de herramientas de código abierto.

Hemos visto los siguientes componentes:

  • Downloader personalizado (Etapa 1)
  • Backdoor personalizado (Etapa 2)
  • Una versión modificada de PowerShdll: una herramienta para ejecutar código de PowerShell sin el uso de powershell.exe
  • Loaders de DLL personalizados utilizados para ejecutar el malware personalizado
  • Beacon DLL, probablemente utilizado para verificar conexiones a servidores remotos
  • Una compilación personalizada de dbxcli: un cliente de línea de comandos de código abierto para Dropbox utilizado para la exfiltración de datos

En un escenario típico, el malware de la Etapa 1 –el downloader personalizado– fue descargado por el script XSL remoto (descrito en la sección de Compromiso inicial) y ejecutado usando la utilidad rundll32. Sin embargo, también vimos casos en los que los atacantes usaron uno de sus loaders de DLL personalizados para ejecutar el malware de la Etapa 1. El objetivo principal del downloader personalizado es descargar el payload de la Etapa 2 y ejecutarlo en su memoria.

El payload de la Etapa 2 es un backdoor modular bajo la forma de una DLL escrita en C++. Periódicamente envía solicitudes al servidor y realiza acciones definidas basadas en los comandos recibidos, como enviar información básica sobre la computadora, cargar un módulo o cambiar la configuración. Si bien no recuperamos ningún módulo recibido por el backdoor de su servidor de C&C, sí encontramos indicios de que se utilizó un módulo para descargar el PowerShdll.

Además del malware, en su afán de mantenerse lejos de los radares de detección, los atacantes hicieron uso de la técnica conocida como “living off the land” para abusar de herramientas legítimas y de las funciones del sistema operativo para realizar varias operaciones maliciosas. En cuanto a las técnicas específicas, descubrimos que los atacantes usaban WMIC para interpretar scripts XSL remotos, certutil para decodificar los payloads descargados codificados en base64, y rundll32 y regsvr32 para ejecutar su malware personalizado.

La Figura 4 muestra cómo interactuaron los diversos componentes durante la ejecución del malware.

Figura 4. Flujo de ejecución de malware

Además de utilizar técnicas “living off the land”, descubrimos que los atacantes hicieron un esfuerzo especial para mantenerse ocultos.

Primero, los atacantes camuflaron sus archivos y carpetas dándoles nombres legítimos. Para este propósito, los atacantes utilizaron nombres de software y de compañías conocidas, como Intel, NVidia, Skype, OneDrive y Mozilla. Por ejemplo, encontramos archivos maliciosos con las siguientes rutas:

  • C:\ProgramData\DellTPad\DellTPadRepair.exe
  • C:\Intel\IntelV.cgi

Curiosamente, no solo se cambió el nombre de los archivos maliciosos, sino que los atacantes también manipularon las utilidades de Windows de las cuales se aprovecharon. Copiaron las utilidades a una nueva carpeta (por ejemplo, C:\NVIDIA) y las renombraron (por ejemplo, regsvr32.exe cambió su nombre a NvDaemon.exe)

En segundo lugar, los atacantes firmaron digitalmente algunos componentes de su malware, como son su downloader y backdoor personalizado, y la herramienta dbxcli. El certificado fue emitido en octubre de 2019 –mientras los ataques estaban activos– a 16:20 Software, LLC. Según nuestra investigación, 16:20 Software, LLC es una compañía existente con sede en Pennsylvania, EE. UU., constituida en mayo de 2010.

En tercer lugar, descubrimos que el malware de la Etapa 1 se volvió a compilar varias veces durante la operación.

Finalmente, los atacantes también implementaron técnicas de antianálisis en su malware personalizado, como el aplanamiento del flujo de control y la carga dinámica de API.

Recolección de datos y exfiltración

Según nuestra investigación, para filtrar los datos recopilados de sus blancos de ataque los operadores utilizaron una compilación personalizada de dbxcli, un cliente de línea de comandos de código abierto para Dropbox. Desafortunadamente, ni el análisis del malware ni la investigación nos permitieron obtener una idea de qué archivos buscaban los atacantes detrás de Operation In(ter)ception. Sin embargo, los cargos que ocupaban los profesionales a los que contactaron a través de LinkedIn sugieren que los atacantes estaban interesados ​​en información técnica y comercial.

Compromiso de correos corporativos

En uno de los casos investigados, los atacantes no solo se detuvieron en la extracción de datos: como etapa final de la operación, intentaron monetizar el acceso a la cuenta de correo electrónico de una de sus víctimas a través de un ataque conocido como BEC (del inglés, Business Email Compromiso).

Primero, aprovechando las comunicaciones existentes en la cuenta de correo de la víctima, los cibercriminales intentaron engañar a un cliente de una de las compañías blanco de sus ataques para que pague una factura pendiente a través de su banco, como se ve en la Figura 5. Para una comunicación más efectiva con el cliente, usaron su propia dirección de correo electrónico haciéndose pasar por la víctima.

Aquí, los atacantes no tuvieron éxito: en lugar de pagar la factura, el cliente respondió con preguntas sobre la suma solicitada. Cuando los atacantes instaron al cliente a pagar, el cliente terminó contactando a la dirección de correo electrónico legítima de la víctima sobre el problema, lo que desató una alarma en el lado de la víctima.

Figura 5. Correo electrónico BEC enviado desde la cuenta de correo electrónico comprometida de la víctima

Posibles atribuciones

Aunque nuestra investigación no reveló evidencia convincente que permita vincular los ataques a un grupo o actor de amenaza conocido, identificamos varios indicios que sugieren un posible vínculo con el grupo de Lazarus. En particular, encontramos similitudes en el perfil de sus blancos de ataque, el uso de cuentas falsas de LinkedIn, el entorno de desarrollo y las técnicas antianálisis implementadas. Además de eso, hemos visto una variante del malware de la Etapa 1 que contenía una muestra de Win32/NukeSped.FX, que pertenece a un conjunto de herramientas maliciosas que ESET atribuye al grupo Lazarus.

Conclusión

Nuestra investigación descubrió una operación altamente dirigida que se destaca tanto por su convincente esquema de ingeniería social basado en LinkedIn, por malware modular personalizado y por los trucos implementados para evadir la detección. Curiosamente, si bien la Operation In(ter)ception mostró todos los signos de ciberespionaje, los atacantes aparentemente también tenían un objetivo financiero, como lo demuestra el intento de ataque BEC.

Un agradecimiento especial a Michal Cebák por su trabajo en esta investigación.

Para obtener una descripción completa de los ataques, así como un análisis técnico del malware previamente indocumentado y los Indicadores de compromiso (IoC), consulte nuestro whitepaper, Operation In(ter)ception: Targeted attacks against European aerospace and military companies.

Los IoCs recopilados de los ataques también se pueden encontrar en el repositorio de GitHub de ESET.

Técnicas de MITRE ATT&CK 

TacticIDNameDescription
Initial AccessT1194Spearphishing via ServiceLinkedIn is used to contact the target and provide a malicious attachment.
ExecutionT1059Command-Line Interfacecmd.exe used to create a scheduled task to interpret a malicious XSL script via WMIC.
T1106Execution through APIMalware uses CreateProcessA API to run another executable.
T1086PowerShellA customized .NET DLL is used to interpret PowerShell commands.
T1117Regsvr32The regsvr32 utility is used to execute malware components.
T1085Rundll32The rundll32 utility is used to execute malware components.
T1053Scheduled TaskWMIC is scheduled to interpret remote XSL scripts.
T1047Windows Management InstrumentationWMIC is abused to interpret remote XSL scripts.
T1035Service ExecutionA service is created to execute the malware.
T1204User ExecutionThe attacker relies on the victim to extract and execute a LNK file from a RAR archive received in an email attachment.
T1220XSL Script ProcessingWMIC is used to interpret remote XSL scripts.
PersistenceT1050New ServiceA service is created to ensure persistence for the malware.
T1053Scheduled TaskUpon execution of the LNK file, a scheduled task is created that periodically executes WMIC.
Defense EvasionT1116Code SigningMalware signed with a certificate issued for “16:20 Software, LLC”.
T1140Deobfuscate/Decode Files or Informationcertutil.exe is used to decode base64-encoded malware binaries.
T1070Indicator Removal on HostAttackers attempt to remove generated artifacts.
T1036MasqueradingMalware directories and files are named as, or similar to, legitimate software or companies.
T1027Obfuscated Files or InformationMalware is heavily obfuscated and delivered in base64-encoded form.
T1117Regsvr32The regsvr32 utility is used to execute malware components.
T1085Rundll32The rundll32 utility is used to execute malware components.
T1078Valid AccountsAdversary uses compromised credentials to log into other systems.
T1220XSL Script ProcessingWMIC is used to interpret remote XSL scripts.
Credential AccessT1110Brute ForceAdversary attempts to brute-force system accounts.
DiscoveryT1087Account DiscoveryAdversary queries AD server to obtain system accounts.
T1012Query RegistryMalware has ability to query registry to obtain information such as Windows product name and CPU name.
T1018Remote System DiscoveryAdversary scans IP subnets to obtain list of other machines.
T1082System Information DiscoveryMalware has ability to gather information such as Windows product name, CPU name, username, etc.
CollectionT1005Data from Local SystemAdversary collects sensitive data and attempts to upload it using the Dropbox CLI client.
T1114Email CollectionAdversary has access to a victim’s email and may utilize it for a business email compromise attack
Command and ControlT1071Standard Application Layer ProtocolMalware uses HTTPS protocol.
ExfiltrationT1002Data CompressedExfiltrated data is compressed by RAR.
T1048Exfiltration Over Alternative ProtocolExfiltrated data is uploaded to Dropbox using its CLI client.
T1537Transfer Data to Cloud AccountExfiltrated data is uploaded to Dropbox.
and

Newsletter

Discusión