El grupo APT28, es conocido como un
sinónimo de “Hacking Ruso”, se les atribuyen un gran número de ataques
importantes y peligrosos, pero por sobre todo, ataques de cyberespionaje, razón
por la cual se sospecha que serían parte de la inteligencia militar de Rusia.
Debido a su enfoque principal que se ha manifestado en objetivos críticos de
gobierno de otros países [1].
De acuerdo a los registros este grupo data
del año 2007 hasta la fecha, efectuando actividades de espionaje gubernamental
[2].
Dado a la cantidad de ataques que se les
ha atribuido en el último tiempo, han utilizado diferentes nombres para
despistar o terceros los han llamado como: “SOFACY”, “SEDNIT”, “PAWN STORM”;
“FANCY BEAR” [3].
En la actualidad, los ataques globales
parecen ser el nuevo objetivo del grupo creando y lanzando un nuevo troyano
llamado “Cannon”, nuevamente el análisis de este tipo de ataque se
atribuye a entidades gubernamentales, desde América del Norte, Europa, entre
otros [4].
El análisis reveló que desde una primera
etapa en la que utilizaron el troyano Zebrocy [5], aún existían documentos que
estaban operativos, a partir de estos se logró identificar la segunda etapa
llamada “Cannon”, que a diferencia de Zebrocy, este tiene un nuevo canal de
comunicación al C2 (Command & Control), utilizando correo electrónico, si
bien este canal no es nuevo, si ayuda a disminuir las posibilidades de
detección [4].
Detalles del Ataque.
-->
Utilizando un documento Microsoft Word, a
través de Phishing, este se activa cuando la víctima del ataque abre el archivo
malicioso, el que inmediatamente intenta cargar una plantilla macro, de un
sitio remoto, la que contiene una carga útil desde la ubicación especificada en
el archivo, donde efectivamente es posible abrir el documento [4], lo que
significa que si no logra descargar la plantilla el archivo Word se abre
arrojando un error.
El troyano funciona básicamente como un
descargador de archivos, utilizando el correo electrónico para comunicarse con
el C2 (Command & Control), Cannon enviará correos a direcciones de
específicas a través del protocolo SMTP utilizando el puerto 587 [4].
El objetivo principal del ataque, es
utilizar cuentas de correo para enviar datos del sistema hasta capturas de
pantalla. La información recopilada es guardada en un archivo llamado “OPS”,
para luego ser enviado al C2 (Command & Control) [4].
RECOMENDACIONES
Se
sugiere bloquear los siguientes indicadores de compromiso.
Cannon Hash
61a1f3b4fb4dbd2877c91e81db4b1af8395547eab199bf920e9dd11a1127221e
Hashes remotos
de plantillas
f1e2bceae81ccd54777f7862c616f22b581b47e0dda5cb02d0a722168ef194a5
fc69fb278e12fc7f9c49a020eff9f84c58b71e680a9e18f78d4e404069
Correos electrónicos
●
sahro.bella7 [at] post.cz
●
trala.cosh2 [at] post.cz
●
bishtr.cam47 [at] post.cz
●
lobrek.chizh [at] post.cz
●
cervot.woprov [at] post.cz
REFERENCIAS
[1] https://attack.mitre.org/groups/G0007/
[2] https://www.us-cert.gov/sites/default/files/publications/JAR_16-20296A_GRIZZLY%20STEPPE-2016-1229.pdf
[3] https://www.ncsc.gov.uk/alerts/indicators-compromise-malware-used-apt28
[4]
https://researchcenter.paloaltonetworks.com/2018/11/unit42-sofacy-continues-global-attacks-wheels-new-cannon-trojan/
[5] https://researchcenter.paloaltonetworks.com/2018/06/unit42-sofacy-groups-parallel-attacks/