CSOC de Arkavia descubre al grupo TA505 utilizando la Botnet Amadey, infectando a cientos de equipos


El centro de ciberseguridad e inteligencia (CSOC) de Arkavia Networks ha descubierto una nueva oleada de ataques del grupo TA505, el actor de amenazas del cual hemos estado comunicando a través de nuestro blog desde la semana pasada. TA505 creador de la botnet Amadey e impulsor de las campañas de phishing dirigidas al mundo, ha potenciado y dirigido sus ataques a américa latina.

El flujo de infección parte desde las campañas de phishing impulsadas por el grupo a través de un archivo adjunto con extensión .xls con nombre “P1804201801.xls” el cual descarga por macros maliciosas “pbc.exe”, que se encarga de cargar otros archivos, entre ellos “ES_a.exe” (Trojan-Dropper.Win32) que roba credenciales de usuario, junto con "p.exe" (FlawedAmmyy.RAT), que conecta al servidor de C2 (Command & Control) de la botnet Amadey.




Nuestros investigadores accedieron al panel más reciente del C2 de la botnet en donde se obtuvieron las estadísticas y el archivo principal de distribución llamado “pub4.exe”, el cual fue procesado por VirusTotal y Hybrid, clasificado como malware con características de GandCrab, que de forma potencial puede encriptar los archivos de las máquinas infectadas.


Se ha analizado el comportamiento de la infección desde el día 18 al 25 de abril. El número de equipos afectados en latinoamérica son Chile 224, Argentina 424, Brazil, 2693, Colombia 136, Ecuador 134, Peru 298, Bolivia 70, Uruguay 61, Venezuela 38, Paraguay 36.


El acceso a permisos de administrador llegan a los 15.077 equipos. La mayor parte de las máquinas afectadas corren en el sistema operativo de Windows 10.

Se realizó una revisión a nuestros de clientes de Arkavia Networks los cuales no muestran actividad maliciosa


Indicadores de Compromiso (IoC)

Archivos Maliciosos
P1804201801.xls 5648c9fe33bf3abc281759e3576d49884d69ae2533cc98742383eb48126a1450
p.exe
388769cfe8894c84cce9de27ea27f31fdeec5178db3c27cb6e969225e7bc4669
ES_a.exe
07cf50112119f3f009cf0d9619beb8cd55e2e24eb089bd241c14ea4c90a1217f

Solicitudes HTTP/HTTPS (P1804201801.xls)
cloudflare[.]com
canyoning-austria[.]at

Archivo de carga (p.exe SHA-256) 
C:\ProgramData\MicrosoftsHeIp\wsus.exe 618e2117679aed87c4090d1d8211a8eafe059e174552e1518534b706776d032d

Direcciones IP (p.exe)
160[.]202[.]162[.]147 
169[.]239[.]128[.]119

Solicitudes HTTP/HTTPS (p.exe)
hxxp://160[.]202[.]162[.]147/1[.]tmp

Archivo de carga (pbc.exe SHA-256)
C:\Users\admin\AppData\Local\Temp\exit.exe cc81dd1eba5b887d09b0eecb8443916dea82dc58e1cf847f1653413fb804210c 
C:\Users\admin\AppData\Local\Temp\kernel.dll 17b20aa770ccf250b5aded470fbbaa329856543022ba21f993d5fa02ebb670c7

Archivo de Distribución (SHA-256)
pub4.exe 1071c165e8e023f38627418652d3a13029dcd3216416979dc20adbabf366c16d

Dirección IP (pub4.exe)
185[.]212[.]129[.]54

Servidor de comando y control (C2)
hxxp://dsuda2[.]com/upload/

COMENTARIOS

Nombre

Actualización,5,Actualizaciones,4,AD,1,Adobe,3,Adware,4,AgentTesla,1,android,34,Antivirus,3,Apache,1,APP,1,Apple,17,Apps,14,APT,2,Arkavia Networks,16,asus,1,Ataques,8,Azure,3,Backdoor,5,Bancos,6,Barracuda,1,Bases de Datos,7,BCE,1,Bluetooth,1,bootHole,1,Botnet,8,Botnet. Malware,1,BYOVD,1,Check Point,5,Chile,3,Chips,1,Chrome,3,Ciberataque,9,Cibercrimen,156,Cibercriminales,4,Ciberdelincuencia,17,ciberseguridad,180,Cisco,4,Citrix,6,Cloud,3,Cloudflare,1,CMS,1,ComRAT,1,Comunicaciones,1,conexión,2,Consejos,2,CONVID,1,CookieThief,1,Coronavirus,1,Corporation,1,COVID19,2,CPU,3,Criptomineria,1,Criptomonedas,7,CSP,1,CTF,1,CVE,2,cyber day,2,Cyberwarfare,5,Dark Web,3,Data Breach,3,Data Leak,14,Database,3,DataLeak,2,Datos,2,DDoS,6,Debate,1,Deep Web,5,dispositivos,1,dlink,1,DNS,2,Domains,1,DoS,5,Dropper,1,Ecommerce,3,elasticsearch,1,Email,5,Emotet,3,Empresas,116,endpoint,1,enrutadores,1,Estadisticas,1,estado,1,evento,1,Eventos,6,Evilnum,1,Exchange,5,exploit,9,Exploits,15,Extensiones,2,Extensions,2,F5 Networks,1,Facebook,9,Falla,3,Fileless,1,Fintech,1,FireEye,2,Firewall,1,Firmware,2,Flash,2,Fortinet,1,Framework,1,FreakOut,1,Freta,1,GARMIN,2,Git,1,GitHub,1,Glueball,1,Gmail,3,gobierno,1,GoDaddy,1,google,35,Gootkit,1,GPS,2,GRUB2,1,grupoatp,1,Hacking,85,HALLOWEEN,1,Hardware,7,Hosting,3,HTML5,1,HTTP,2,IBM,1,IGMP,1,Industria,10,Infostealer,3,Instagram,2,Intel,2,Internacional,40,Internet,36,Investigacion,9,IOC,7,ios,6,IoT,4,ipad,1,iphone,1,ISO,1,Javascript,1,Joomla,1,LATAM,1,Latinoamerica,1,lazarus,1,LG,1,Linux,10,LoLbins,1,LSASS,1,macOS,1,Macromedia,1,malicioso,1,Malware,57,Malwares,32,Maze,2,MDM,1,memento,1,Messenger,1,MFA,1,Microsoft,41,Mirai,2,Monero,1,mongoDB,1,MSP,1,MSSQL,1,Mukashi,1,musica,1,Nacional,10,NAS,2,navidad,1,Nefilim,1,Negocios,2,Netgear,1,Netwalker,1,Node.js,1,Nube,1,Openwrt,1,Oracle,3,OS,9,Passwordless,1,Payload,2,Paypal,1,phishing,20,PHP,1,Plugins,1,PoC,2,prevención,1,Protocolos,12,ProxyLogon,1,Python,2,QNAP,1,QR,1,Ragnar_Locker,1,Ransomware,26,RAT,2,RCE,3,RDoS,1,RDP,4,Recomendaciones,21,Redes,31,redes sociales,12,Redhat,1,regalo,1,RegretLocker,1,Remoto,1,REvil,1,Rookit,1,Rootkit,2,Routers,3,RRSS,2,Ryuk,1,Saintbot,1,Salt,1,Salud,3,SAP,1,SeguridadTI,4,Servicios,8,Smartphones,30,SMB,5,Sodinokibi,1,Software,24,solarwinds,1,SonicOS,1,Sonicwall,1,Sophos,1,Spambot,1,Spamhaus,1,spotify,1,Spyware,11,SQL,1,SSL,1,streaming,1,Takedown,1,Teams,1,TeamViewer,1,tendencia,2,TerraMasterOS,1,Tool,1,Tools,2,TOS,1,Tplink,1,Trickbot,1,Trojan,4,Troyano,6,último,1,Update,6,updates,22,USB,1,Videoconferencia,1,VM,1,vmware,1,VNC,1,VPN,6,Vulnerabilidad,42,Vulnerabilidades,81,Web,8,WER,1,WhatsApp,7,Whirlpool,1,wifi,5,Windows,24,Winrar,1,Wordpress,4,Worm,2,Xerox,1,XG,1,Yahoo,1,Zeroclick,1,zeroday,4,Zerologon,1,Zoom,3,Zoombombing,1,
ltr
item
Arkavia Networks News: CSOC de Arkavia descubre al grupo TA505 utilizando la Botnet Amadey, infectando a cientos de equipos
CSOC de Arkavia descubre al grupo TA505 utilizando la Botnet Amadey, infectando a cientos de equipos
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjV1UAfGgWxSHifNet9sMmU-Xd-fy_ohyphenhyphenhwZEhuW6JfDS0t8nbxokbM0YyPB4faQLC2WfhxrzBUgcqJBBerybd7ygjKNd-c_N70ZSWQ0c_Xpf__KCUE7vtIMszVBPLTxeLyFNKCVW5hRNQ/s640/amadey+arkavia.jpg
https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjV1UAfGgWxSHifNet9sMmU-Xd-fy_ohyphenhyphenhwZEhuW6JfDS0t8nbxokbM0YyPB4faQLC2WfhxrzBUgcqJBBerybd7ygjKNd-c_N70ZSWQ0c_Xpf__KCUE7vtIMszVBPLTxeLyFNKCVW5hRNQ/s72-c/amadey+arkavia.jpg
Arkavia Networks News
https://www.arkalabs.cl/2019/04/csoc-de-arkavia-descubre-al-grupo-ta505.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2019/04/csoc-de-arkavia-descubre-al-grupo-ta505.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy