Compromiso de sitios web estratégicos de alto perfil en Medio Oriente

Los investigadores de ESET han descubierto ataques de watering hole contra sitios web de alto perfil en Medio Oriente y su vínculo con el software espía Candiru.

Los investigadores de ESET han descubierto ataques de watering hole contra sitios web de alto perfil en Medio Oriente y su vínculo con el software espía Candiru.

En 2018, los investigadores de ESET desarrollaron un sistema interno personalizado para descubrir ataques de watering hole (también conocidos como compromiso de sitios web estratégicos) en sitios web de alto perfil. El julio de 2020 el sistema nos ha notificado que la página web de la embajada de Irán en Abu Dabi había sido modificada y había empezado a inyectar código JavaScript desde https://piwiks[.]com/reconnect.js, como se muestra en la Figura 1.

Figura 1. Inyección de un script en el sitio web de la Embajada de Irán en Abu Dhabi

Nuestra curiosidad se despertó por la naturaleza del sitio web comprometido y en las semanas siguientes notamos que otros sitios web vinculados a Medio Oriente comenzaron a ser blanco de acciones similares. Rastreamos el inicio de la campaña hasta marzo de 2020, cuando se volvió a registrar el dominio piwiks[.]com. Creemos que estos compromisos de sitios web estratégicos solo comenzaron en abril de 2020 cuando el sitio web de Middle East Eye (middleeasteye.net), un sitio de noticias digitales con sede en Londres que cubre la región, comenzó a inyectar código desde el dominio piwiks[.]com.

A finales de julio o principios de agosto de 2020, se limpiaron todos los sitios web comprometidos restantes; es probable que los propios atacantes hayan eliminado los scripts maliciosos de los sitios web comprometidos. El grupo de amenazas se mantuvo en silencio hasta enero de 2021, cuando observamos una nueva ola de compromisos. Esta segunda ola duró hasta agosto de 2021, cuando todos los sitios web se limpiaron nuevamente. Un compañero investigador compartió algunos indicadores de esta segunda ola en Twitter, lo que nos permite establecer un vínculo con lo que Kaspersky denomina Karkadann.

Detallamos el funcionamiento interno de los compromisos en la sección Análisis técnico a continuación, pero vale la pena señalar que los objetivos finales son visitantes específicos de esos sitios web, que es probable que reciban un exploit para el navegador. Los sitios web comprometidos solo se utilizan como una forma de alcanzar los objetivos finales.

También descubrimos vínculos interesantes con Candiru, detallados en la sección Vínculos entre los sitios de watering hole, documentos de spearphishing y Candiru. Candiru es una empresa privada de spyware israelí que fue recientemente añadida a la Lista de entidades (entidades sujetas a restricciones de licencia) del Departamento de Comercio de EE. UU. Esto puede impedir que cualquier organización con sede en los EE. UU. haga negocios con Candiru sin obtener primero una licencia por parte del Departamento de Comercio.

Al momento de escribir este artículo los operadores parece que están haciendo una pausa, probablemente para reorganizarse y hacer que su campaña sea más sigilosa. Esperamos volver a verlos en los próximos meses.

Blancos de ataque

Nuestro seguimiento muestra que los operadores están principalmente interesados ​​en Oriente Medio, y con un énfasis particular en Yemen. La Tabla 1 muestra cuáles fueron las víctimas conocidas en 2020 y 2021.

Tabla 1. Dominios comprometidos durante la primera ola

Compromised websiteC&CFromToDetail
middleeasteye.netpiwiks[.]com2020‑04‑042020‑04‑06A UK-based online newspaper covering the Middle East.
piaggioaerospace.itpiwiks[.]com2020-07-082020-11-05An Italian aerospace company.
medica-tradefair[.]corebrandly[.]site2020-07-092020-10-13Fake website impersonating a German medical trade fair in Düsseldorf.
mfa.gov.irpiwiks[.]com2020-07-112020-07-13Ministry of Foreign Affairs of Iran.
almanar.com.lbrebrandly[.]site2020-07-242020-07-30Television channel linked to Hezbollah.
smc.gov.yevisitortrack[.]net
hotjar[.]net
2021-01-18
2021-04-21
2021-04-14
2021-07-30
Ministry of Interior of Yemen.
almasirahnews.comvisitortrack[.]net
hotjar[.]net
2021-01-25
2021-04-21
2021-03-25
2021-07-17
Yemeni Television channel linked to the Ansar Allah movement (Houthis).
casi.gov.syhotjar[.]net2021-02-01UnknownCentral Authority for the Supervision and Inspection of Syria.
moe.gov.syhotjar[.]net2021-02-01UnknownSyrian Ministry of Electricity.
almanar.com.lbwebfx[.]bz
webffx[.]bz
webffx[.]bz
2021-02-03
2021-03-12
2021-03-24
2021-02-23
2021-03-24
2021-03-25
Television channel linked to Hezbollah.
manartv.com.lbwebfx[.]bz2021-02-032021-03-22Television channel linked to Hezbollah.
mof.gov.yehotjar[.]net2021-02-112021-07-14Ministry of Finance of Yemen.
scs-net.orghotjar[.]net2021-03-07UnknownInternet Service Provider in Syria.
customs.gov.yelivesesion[.]bid2021-03-242021-06-16Customs agency of Yemen.
denel.co.za
pmp.co.za
deneldynamics.co.za
denellandsystems.co.za
denelaviation.co.za
site-improve[.]net2021-03-31
2021-03-31
2021-04-03
2021-04-04
2021-04-07
2021-07-22
Unknown
2021-07-27
2021-07-23
2021-07-19
A South African state-owned aerospace and military technology conglomerate.
yemen.net.yehotjar[.]net2021-04-152021-08-04Internet service provider in Yemen.
yemenparliament.gov.yehotjar[.]net2021-04-202021-07-05Parliament of Yemen.
yemenvision.gov.yehotjar[.]net2021-04-212021-06-13Yemeni government website.
mmy.yehotjar[.]net2021-05-042021-08-19Yemeni media linked to the Houthis.
thesaudireality.combootstrapcdn[.]net2021-06-162021-07-23Likely dissident media outlet in Saudi Arabia.
saba.yeaddthis[.]events2021-06-18UnknownYemeni news agency linked to Houthis. However, it seems it was taken over by the Southern Transitional Council in early June 2021, just before this website was compromised.

medica-tradefair[.]co es el único atípico en esta lista, ya que el dominio no fue comprometido, pero sí fue operado por los propios atacantes. Estaba alojado en ServerAstra, al igual que todos los demás servidores C&C utilizados en 2020.

El sitio imita la web legítima de medica-tradefair.com, que es el sitio web de la feria comercial MEDICA del Foro Mundial de Medicina que se celebra cada año en Düsseldorf (Alemania). Los operadores simplemente clonaron el sitio web original y agregaron un pequeño fragmento de código JavaScript.

Como se observa en la Figura 2, el contenido no parece haber sido modificado. Es probable que los atacantes no pudieran comprometer el sitio web legítimo y tuvieran que configurar uno falso para inyectar su código malicioso.

Figura 2. Versión clonada del sitio web de la feria comercial MEDICA

Es interesante observar que los dominios maliciosos imitan la analítica web genuina, el acortador de URL o los dominios y URL de la red de entrega de contenido. Ésta es una característica de este actor de amenazas.

Análisis técnico – Compromiso de sitios web estratégicos

Primera ola – 2020

Primera etapa – script inyectado

En todos los sitios web comprometidos se había inyectado código JavaScript desde los dominios controlados por el atacante piwiks[.]com  y el sitio rebrandly[.]site. En el primer caso conocido, la inyección se realizó como se muestra en la Figura 3.

Figure 3. Script injection on the website of the Iranian Embassy in Abu Dhabi

Figura 3. Inyección del script en el sitio web de la Embajada de Irán en Abu Dhabi

Esta inyección carga un JavaScript remoto llamado reconnects.js y GeoJS, una biblioteca legítima creada por terceros para la búsqueda de IP por geolocalización.

En los casos de inyección en el sitio rebrandly[.]site, los scripts adicionales son cargados utilizando las etiquetas script de HTML , como se ve en la Figura 4.

Figura 4. Script insertado en el sitio web medica-tradefair[.]co

Segunda etapa – Script de fingerprinting

reconnects.js y recon-api.js son casi idénticos; sólo se cambia el orden de algunas líneas o funciones. Como se muestra en la Figura 5, los autores de malware intentaron evitar levantar sospechas añadiendo a su secuencia de comandos una copia del encabezado del plugin del navegador jQuery. Probablemente esperaban que los analistas de malware no se desplazaran más.

Figura 5. Comienzo del script de fingerprinting utilizado en la primera ola

El script primero implementa una función llamada geoip. Es llamado de forma automática por la biblioteca GeoJS, previamente cargada, como se menciona en el sitio web oficial de GeoJS. La variable json contiene la información de geolocalización por IP. El script envía este JSON a través de una solicitud HTTP POST al servidor C&C en la URL https://rebrandly[.]site/reconnect-api.php. Si el servidor devuelve un código de estado HTTP 200, entonces el script pasa a una función denominada main.

Primero, main recopila información como la versión del sistema operativo y la versión del navegador usando funciones personalizadas que se muestran en la Figura 6. Simplemente analizan el User-Agent del navegador para extraer la información.

Figura 6. Funciones de fingerprinting del navegador y del sistema operativo

Como se muestra en la Figura 7, la función luego verifica si el sistema operativo es Windows o macOS y solo continúa si es así. Esto es interesante porque sugiere que esta operación está destinada a comprometer computadoras y no dispositivos móviles, como teléfonos inteligentes. También busca una lista de navegadores web populares: Chrome, Firefox, Opera, IE, Safari y Edge.

Figura 7. La función main del script de fingerprinting utilizado en la primera ola

El script también cifra un valor hardcodeado, 1122, aunque no sabemos con qué propósito. A pesar de que la función se llama decrypt, en realidad cifra usando RSA y la biblioteca JSEncrypt. La clave RSA de 1024 bits está harcodeada y configurada en:

—–BEGIN PUBLIC KEY—–
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDhIxVX6QGlxe1mrkPCgBtz8bWH
nzmek4He5caAE2sH2TFnXN1VdqpxMaJSi+dj9sbqHu0tSYd+5tU20514jlEOX6/D
yFFPCoOvx5TzAm+AkSmevUuMsfZTifK+wQRxRhiuMk2UbnVCVQS0CJDoPTl8Blsp
1oCEF2Kz7uIb0pea3QIDAQAB
—–END PUBLIC KEY—–

Luego, el script envía una solicitud HTTPS GET al servidor de C&C rebrandly[.]site. El parámetro id contiene los datos de fingerprint y el último valor del parámetro contiene el país proporcionado por la biblioteca GeoJS.

Si el servidor devuelve una respuesta, se descifra utilizando AES de la biblioteca CryptoJS y una clave hardcodeada flcwsfjWCWEcoweijwf@#$@#$@#499299234@#$!@2. Esta clave se mantuvo igual, incluso después de que probamos algunas solicitudes.

El valor de descifrado es supuestamente una URL y se crea un nuevo iframe que apunta a esta URL. No pudimos obtener una respuesta válida, pero creemos que conduce a un exploit de ejecución remota de código para el navegador que permite a un atacante tomar el control de una máquina.

Segunda ola – 2021

En enero de 2021 comenzó una nueva ola de ataques. Los atacantes crearon una infraestructura de red completamente nueva y cambiaron todo su código JavaScript.

Primera etapa – Script inyectado

Para ser un poco más sigilosos aún, en esta segunda ola comenzaron a modificar los scripts que ya estaban en el sitio web comprometido. Entonces, en lugar de agregar código a la página HTML principal, modificaron bibliotecas como wp-embed.min.js, tal como se observa en la Figura 8. Simplemente agregaron algunas líneas al final de https://www.smc.gov.ye/wp-includes/js/wp-embed.min.js para cargar un script desde un servidor que controlan: https://visitortrack[.]net/sliders.js.

Figura 8. Script inyectado utilizado en la segunda ola

Otra estrategia utilizada para limitar su exposición es crear una cookie la primera vez que el visitante ejecuta el script malicioso, como se muestra en la Figura 9. Como el script se inyecta condicionalmente dependiendo de si la cookie ya existe, esto evitará inyecciones adicionales. Este código específico se encontró en el sitio web de la Autoridad Central Siria para la Supervisión e Inspección (casi.gov.sy).

Figura 9. Creación de cookies para evitar más solicitudes

Segunda etapa

De enero a marzo de 2021, la segunda etapa, los operadores utilizaron un script basado en la biblioteca minAjax. Este no es un script de fingerprinting en sí mismo, ya que no envía ninguna información sobre el navegador o el sistema operativo al servidor C&C —se muestra un ejemplo en la Figura 10. Cabe señalar que el adware LNKR utiliza scripts muy similares, por lo que una detección de esto podría dar lugar a un gran volumen de falsos positivos.

Figura 10. Script de segunda etapa de la segunda ola

Este script contiene la marca de tiempo actual, t0, una marca de tiempo de vencimiento, ex, y dos hashes juh y cs, cuyo significado no conocemos en este momento. Estos valores se envían al servidor C&C https://webfex[.]bz/f/gstats. Si la respuesta es un objeto JSON y contiene la clave fw, el script emite una redirección a la URL contenida en fw usando parent.top.window.location.href. Al igual que en la primera ola, no pudimos obtener ninguna redirección válida.

En abril de 2021, este script se cambió a FingerprintJS Pro. Este es un producto comercial cuyos desarrolladores tienen un sitio web oficial que se muestra en la Figura 11.

Figura 11. Página de inicio de FingerprintJS

En comparación con el script de fingerprinting utilizado en 2020, esto es mucho más complejo porque recupera el idioma predeterminado, la lista de fuentes admitidas por el navegador, la zona horaria, la lista de plugins del navegador, las direcciones IP locales que usan RTCPeerConnection, etc. Las comunicaciones de red con el servidor C&C se cifran con una clave de sesión AES. Como se muestra en la Figura 12, el servidor puede devolver código JavaScript que se ejecutará en la página web actual.

Figura 12. FingerprintJS Pro añade código JavaScript a la página actual

Al igual que en los casos anteriores, nunca obtuvimos una redirección válida. Todavía creemos que conduce a un exploit para el navegador y muestra que esta campaña es altamente dirigida.

Documentos de spearphishing y vínculos con Candiru

Recordatorio de la publicación Citizen Lab

En la publicación de Citizen Lab sobre Candiru hay una sección que traducida al español se titula ¿Un grupo vinculado a Arabia Saudita?, en la cual se menciona un documento de spearphishing que se subió a VirusTotal.

El servidor de C&C utilizado por este documento es https://cuturl[.]space/lty7uw y VirusTotal capturó una redirección de esta URL a https://useproof[.]cc/1tUAE7A2Jn8WMmq/api. El dominio useproof[.]cc estaba resolviendo en 109.70.236[.]107 y, según Citizen Lab, este servidor coincidía con el fingerprint conocido como CF3 de los servidores de C&C de Candiru. Este dominio se registró a través de Porkbun, al igual que la mayoría de los dominios propiedad de Candiru.

Dos dominios resolviéndose en la misma dirección IP despertaron nuestra atención:

  • webfx[.]cc
  • engagebay[.]cc

Los mismos dominios de segundo nivel, con un TLD diferente, se utilizaron en la segunda ola de compromiso de sitios web estratégicos. Es muy probable que Candiru también opere estos dos dominios en el TLD .cc.

El informe de Citizen Lab menciona algunos dominios similares a cuturl[.]space que detallamos en la Tabla 2.

Tabla 2. Dominios similares a cuturl[.]space

DomainRegistrarIPHosting Provider
llink[.]linkNjalla83.171.237[.]48Droptop
instagrarn[.]coTLD Registrar Solutions83.97.20[.]89M247
cuturl[.]appTLD Registrar Solutions83.97.20[.]89M247
url-tiny[.]coTLD Registrar Solutions83.97.20[.]89M247
bitly[.]telNjalla188.93.233[.]149Dotsi

Estos nombres de dominio imitan los acortadores de URL y el sitio web de la red social Instagram y se registraron a través de Njalla y TLD Registrar Solutions Ltd. Esto nos recuerda los dominios utilizados para el compromiso de sitios web estratégicos que son todas variaciones de sitios web de análisis web genuinos y también se registraron a través de Njalla.

También confirmamos de forma independiente que los servidores en los que estaban resolviendo estos dominios estaban configurados de manera similar.

Por lo tanto, creemos que este conjunto de sitios web está controlado por el mismo grupo de amenazas que creó los documentos. Por el contrario, el dominio useproof[.]cc probablemente sea operado internamente por Candiru y se utilice para distribuir exploits.

Vínculos entre los sitios de watering hole, los documentos de spearphishing y Candiru

La Tabla 3 resume las características de los sitios de watering hole, los documentos encontrados por Citizen Lab, y Candiru.

Tabla 3. Resumen de la relación entre los tres grupos (sitios de watering hole, documentos encontrados por Citizen Lab, y Candiru)

 Watering holesCluster of documentsCandiru
RegistrarsMainly NjallaNjalla and TLD Registrar SolutionsPorkbun
Hosting providersServerAstra, Droptop, Neterra, Net Solutions, The Infrastructure Group, Sia Nano and FlokiNETDroptop, M247 and DotsiM247, QuadraNet, etc.
Domain themesAnalytics and URL shortener servicesURL shortener servicesAnalytics, URL shortener services, media outlets, tech companies, government contractors, etc.
VictimologyMiddle EastMiddle EastMiddle East, Armenia, Albania, Russia, Uzbekistan, etc.
Targeted platformsWindows and macOSWindowsWindows and macOS
TTPsStrategic web compromisesMalicious documents with Document_Open macrosMalicious documents and fake shortened URLs redirecting to exploits and the DevilsTongue implant.

Lo que es interesante destacar es que los sitios de watering hole están limitados a una victimología bastante estrecha. También notamos que los dominios que se sabe son operados por Candiru (webfx[.]cc, por ejemplo) son muy similares a los dominios usados ​​para los sitios de watering hole (webfx[.]bz). Sin embargo, no se registraron de la misma manera y sus servidores están configurados de manera muy diferente.

En julio de 2021 Google realizó una publicación en su blog proporcionando detalles sobre los exploits utilizados por Candiru. Incluyendo la CVE-2021-21166 y la CVE-2021-30551 para Chrome y CVE-2021-33742 para Internet Explorer. Son exploits de ejecución remota de código completos que permiten a un atacante tomar el control de una máquina con solo hacer que la víctima visite una URL específica que luego entrega el exploit. Esto muestra que Candiru tiene la capacidad de explotar vulnerabilidades en navegadores en un ataque de watering hole.

Por lo tanto, creemos que los sitios de watering hole se comportan de manera similar a los documentos. El primer servidor C&C, inyectado en los sitios web comprometidos, redireccionará a otro servidor C&C propiedad de una empresa de software espía como Candiru y entregando un exploit para el navegador.

A partir de esta información, consideramos:

  • con poca confianza que los creadores de los documentos y los operadores de los watering hole son los mismos.
  • con mediana confianza que los operadores de los sitios de watering hole son clientes de Candiru.

Conclusión

Este informe describe dos campañas de compromiso de sitios web estratégicos dirigidas a organizaciones de alto perfil en el Medio Oriente, con un fuerte enfoque en Yemen. También revelamos enlaces a Candiru, una empresa de software espía que vende herramientas de software ofensivo de última generación y servicios relacionados a agencias gubernamentales.

No pudimos obtener un exploit y el payload final. Esto muestra que los operadores eligen limitar el enfoque de sus operaciones y que no quieren quemar sus exploits para vulnerabilidades zero-day.

Dejamos de ver actividad de esta operación a fines de julio de 2021, poco después de la publicación por parte de Citizen Lab, Google y Microsoft detallando las actividades de Candiru.

Puede encontrar una lista completa de Indicadores de Compromiso (IoC) y muestras en nuestro repositorio de GitHub.

Por cualquier consulta, o para el envío de muestras relacionadas con el tema, escríbanos a threatintel@eset.com.

Indicadores de Compromiso

Sitios web legítimos que han sido comprometidos

Compromised websiteFromTo (treat as a lower bound)
middleeasteye.net2020-04-042020-04-06
piaggioaerospace.it2020-07-082020-11-05
mfa.gov.ir2020-07-112020-07-13
almanar.com.lb2020-07-242020-07-30
smc.gov.ye2021-01-18
2021-04-21
2021-04-14
2021-07-30
almasirahnews.com2021-01-25
2021-04-21
2021-03-25
2021-07-17
casi.gov.sy2021-02-01Unknown
moe.gov.sy2021-02-01Unknown
almanar.com.lb2021-02-03
2021-03-12
2021-02-23
2021-03-25
manartv.com.lb2021-02-032021-03-22
mof.gov.ye2021-02-112021-07-14
scs-net.org2021-03-07Unknown
customs.gov.ye2021-03-242021-06-16
denel.co.za2021-03-312021-07-22
pmp.co.za2021-03-31Unknown
deneldynamics.co.za2021-04-032021-07-27
denellandsystems.co.za2021-04-042021-07-23
denelaviation.co.za2021-04-072021-07-19
yemen.net.ye2021-04-152021-08-04
yemenparliament.gov.ye2021-04-202021-07-05
yemenvision.gov.ye2021-04-212021-06-13
mmy.ye2021-05-042021-08-19
thesaudireality.com2021-06-162021-07-23
saba.ye2021-06-18Unknown

Servidores de C&C

DomainIPFirst seenLast seenDetails
piwiks[.]com91.219.236[.]382020-03-312020-07-29Watering hole C&C server.
rebrandly[.]site91.219.239[.]191
91.219.236[.]38
2020-03-20
2020-07-13
2020-07-10
2020-09-29
Watering hole C&C server.
medica-tradefair[.]co91.219.236.502021-06-282021-10-20Fake website impersonating a German medical conference.
bitly[.]bz91.219.239[.]1912020-03-192020-03-19Unknown.
tinyurl[.]ist91.219.239[.]1912020-03-192020-04-16Unknown.
tinyurl[.]bz91.219.239[.]1912020-03-202020-04-16Unknown.
bit-ly[.]site91.219.239[.]1912020-03-252020-04-16Unknown.
bitly[.]tw91.219.239[.]1912020-03-262020-04-16Unknown.
bitly[.]zone91.219.239[.]1912020-03-262020-04-16Unknown.
shortlinkcut[.]link91.219.239[.]1912020-03-262020-04-16Unknown.
tinyurl[.]one91.219.239[.]1912020-03-262020-04-16Unknown.
tinyurl[.]photos91.219.239[.]1912020-03-262020-04-16Unknown.
tinyurl[.]plus91.219.239[.]1912020-03-262020-04-16Unknown.
site-improve[.]net185.165.171[.]1052021-01-062021-07-21Watering hole C&C server.
clickcease[.]app83.171.236[.]1472021-01-062021-07-28Unknown.
visitortrack[.]net87.121.52[.]2522021-01-062021-10-06Watering hole C&C server.
webfx[.]bz94.140.114[.]2472021-01-062021-03-24Watering hole C&C server.
livesession[.]bid5.206.224[.]1972021-01-062021-07-25Unknown.
engagebay[.]app185.82.126[.]1042021-01-072021-05-19Unknown.
hotjar[.]net5.206.224[.]2262021-01-072021-08-02Watering hole C&C server.
webffx[.]bz83.171.236[.]32021-02-212021-03-27Watering hole C&C server.
engagebaay[.]app5.206.227[.]932021-03-072021-07-27Unknown.
livesesion[.]bid87.120.37[.]2372021-03-172021-07-28Watering hole C&C server.
sitei-mprove[.]net87.121.52[.]92021-03-172021-07-27Unknown.
webfex[.]bz45.77.192[.]332021-02-26N/AWatering hole C&C server.
bootstrapcdn[.]net188.93.233[.]1622021-04-282021-07-28Watering hole C&C server.
addthis[.]events83.171.236[.]2472021-04-292021-07-28Watering hole C&C server.
sherathis[.]com5.206.224[.]542021-06-272021-08-01Unknown.
yektenet[.]com5.2.75[.]2172021-06-272021-07-27Unknown.
static-doubleclick[.]net87.121.52[.]1282021-06-272021-07-27Unknown.
code-afsanalytics[.]com83.171.236[.]2252021-06-272021-07-28Unknown.
fonts-gstatic[.]net83.171.239[.]1722021-06-272021-07-24Unknown.
moatads[.]co87.121.52[.]1442021-06-272021-07-23Unknown.
doubleclick[.]ac5.2.67[.]822021-06-272021-07-18Unknown.
llink[.]link83.171.237[.]482021-01-252021-05-01Unknown.
instagrarn[.]co83.97.20[.]892020-11-022021-01-23Unknown.
cuturl[.]app83.97.20[.]892020-11-022021-01-20Malicious document C&C server.
url-tiny[.]co83.97.20[.]892020-11-022020-11-25Unknown.
bitly[.]tel188.93.233[.]1492021-01-252021-03-11Unknown.
cuturl[.]space83.171.236[.]1662021-01-252021-04-23Malicious document C&C server.
useproof[.]cc109.70.236[.]1072020-11-252021-02-19Candiru exploit delivery server.

Archivos

SHA-1FilenameC&C URLComment
4F824294BBECA4F4ABEEDE8648695EE1D815AD53N/Ahttps://cuturl[.]app/sot2qqDocument with VBA macro.
96AC97AB3DFE0458B2B8E58136F1AAADA9CCE30Bcopy_02162021q.dochttps://cuturl[.]space/lty7uwDocument with malicious VBA macro.
DA0A10084E6FE57405CA6E326B42CFD7D0255C79seeIP.dochttps://cuturl[.]space/1hm39tDocument with VBA macro.

Técnicas de MITRE ATT&CK

Esta tabla fue creada utilizando la versión 10 del framework de MITRE ATT&CK 

TacticIDNameDescription
Resource DevelopmentT1583.001Acquire Infrastructure: DomainsThe operators bought domain names from multiple registrars, including Njalla.
T1583.004Acquire Infrastructure: ServerThe operators rented servers from multiple hosting companies. In 2020, they rented servers mainly from ServerAstra.
T1584.004Compromise Infrastructure: ServerThe operators compromised several high-profile websites.
T1588.001Obtain Capabilities: MalwareThe operators probably bought access to Candiru implants.
T1588.005Obtain Capabilities: ExploitsThe operators probably bought access to Candiru exploits.
T1608.004Stage Capabilities: Drive-by TargetThe operators modify more than twenty high-profile websites to add a piece of JavaScript code that loads additional code from their C&C servers.
Initial AccessT1189Drive-by CompromiseVisitors to compromised websites may have received an exploit after their browser was fingerprinted.
T1566.001Phishing: Spearphishing AttachmentThe operators sent spearphishing emails with malicious Word documents.
ExecutionT1059.005Command and Scripting Interpreter: Visual BasicThe Word documents contain a VBA macro running code using the Document_Open function.
Command and ControlT1071.001Application Layer Protocol: Web ProtocolsThe watering hole scripts communicate via HTTPS with the C&C servers.

Newsletter

Discusión