Waterbug: Grupo de espionaje despliega un novedoso conjunto de herramientas en ataques contra gobiernos
Waterbug: Grupo de
espionaje despliega un novedoso conjunto de herramientas en ataques contra
gobiernos
Es posible que Waterbug haya secuestrado
infraestructura de otro grupo de espionaje independiente durante un ataque
contra un objetivo de Medio Oriente.
Autores: Equipo y
laboratorios de seguridad y protección de redes de DeepSight Adversary
Intelligence de Symantec
El grupo de espionaje Waterbug (conocido
también como Turla) ha seguido atacando gobiernos y organizaciones
internacionales durante los últimos dieciocho meses, en una serie de campañas
que han mostrado un conjunto de herramientas de rápida evolución y, en un ejemplo
notable, el aparente secuestro de infraestructura de otro grupo de espionaje.
Tres olas de ataques
La actividad reciente de Waterbug puede
dividirse en tres campañas distintas caracterizadas por diferentes conjuntos de
herramientas. Una de las campañas implicó una puerta trasera nueva, nunca antes
vista, denominada Neptun (Backdoor.Whisperer).
Neptun se instala en servidores Microsoft Exchange y está diseñada para escuchar
pasivamente los comandos de los atacantes. Esta capacidad de escucha pasiva
hace que el malware sea más difícil de detectar. Neptun también es capaz de
descargar herramientas adicionales, cargar archivos robados y ejecutar comandos
de shell. Un ataque perpetrado durante esta campaña implicó el uso de
infraestructura que pertenecía a otro grupo de espionaje conocido como Crambus
(también llamado OilRig o APT34).
Una segunda campaña utilizó Meterpreter
(una puerta trasera disponible públicamente) junto con dos cargadores
personalizados: una puerta trasera personalizada denominada photobased.dll y
una puerta trasera personalizada de llamada a procedimiento remoto (RPC).
Waterbug ha
estado usando Meterpreter por lo menos desde principios de 2018, y en esta
campaña utilizó una versión modificada de Meterpreter a la que, tras ser
codificada, se le dio una extensión .wav para disfrazar su verdadero
propósito.
La tercera campaña desplegó una puerta
trasera personalizada de RPC distinta a la que utilizó en la segunda campaña.
Esta puerta trasera utilizó
código derivado de PowerShellRunner (una herramienta disponible públicamente)
para ejecutar scripts de PowerShell sin usar powershell.exe. Esta herramienta está diseñada para burlar la detección
destinada a identificar el uso malicioso de PowerShell.
Antes de su ejecución, los scripts de PowerShell se almacenaron en el registro
con codificación Base64. Esto probablemente se hizo para evitar escribirlos en
el sistema de archivos.
Renovación de herramientas
Las campañas más recientes de Waterbug
han involucrado una línea de herramientas nuevas que incluyen malware
personalizado, versiones modificadas de herramientas de hacking disponibles
públicamente y herramientas administrativas legítimas. El grupo también ha
seguido las tendencias actuales dirigidas a “vivir de la tierra” empleando
scripts de PowerShell y PsExec, una herramienta de Sysinternals de Microsoft
utilizada para ejecutar procesos en otros sistemas.
Aparte de las herramientas nuevas que ya
mencionamos, Waterbug también ha desplegado:
·
Un nuevo dropper personalizado
que por lo general se utiliza para instalar Neptun como servicio.
·
Una herramienta de hacking
personalizada que combina cuatro herramientas de Equation Group filtradas
(EternalBlue, EternalRomance, DoublePulsar y SMBTouch) en un solo ejecutable.
·
Una herramienta de recopilación
de datos por USB que comprueba la presencia de una unidad USB conectada, roba
de ella ciertos tipos de archivos y los cifra en un archivo RAR. Después
utiliza WebDAV para cargarlas a una unidad de nube de Box.
·
Scripts de Visual Basic que
efectúan el reconocimiento del sistema después de una infección inicial y luego
envían información a servidores de comando y control (C&C) de Waterbug.
·
Scripts de PowerShell que
efectúan el reconocimiento del sistema y el robo de credenciales desde el
administrador de credenciales de Windows y luego devuelven esta información a
los servidores de C&C de Waterbug.
·
Herramientas disponibles
públicamente tales como IntelliAdmin para ejecutar comandos de RPC, SScan y
NBTScan para el reconocimiento de la red, PsExec para la ejecución y el
movimiento lateral, Mimikatz (Hacktool.Mimikatz)
para el robo de credenciales y Certutil.exe para descargar y decodificar archivos
remotos. Se identificó que estas herramientas se estaban descargando a través
de herramientas o infraestructura de Waterbug.
Víctimas
Con estas tres campañas recientes de
Waterbug, el grupo atacó sistemas de gobiernos y organizaciones internacionales
en todo el mundo, además de otros objetivos de los sectores de la TI y la
educación. Desde inicios de 2018, Waterbug ha atacado a 13 organizaciones
distribuidas en 10 países:
·
El Ministerio de Asuntos
Exteriores de un país latinoamericano
·
El Ministerio de Asuntos
Exteriores de un país de Medio Oriente
·
El Ministerio de Asuntos
Exteriores de un país europeo
·
El Ministerio del Interior de
un país del sudeste asiático
·
Dos organizaciones
gubernamentales no identificadas ubicadas en un país de Medio Oriente
·
Una organización gubernamental no
identificada ubicada en un país del sudeste asiático
·
Una oficina de gobierno de un
país del sur de Asia ubicada en otro país
·
Una organización de tecnología
de la información y las comunicaciones ubicada en un país de Medio Oriente
·
Dos organizaciones de
tecnología de la información y las comunicaciones ubicadas en dos países
europeos
·
Una organización de tecnología
de la información y las comunicaciones ubicada en un país del sur de Asia
·
Una organización multinacional
ubicada en un país de Medio Oriente
·
Una institución educativa
ubicada en un país del sur de Asia
Infraestructura secuestrada
Una de las cosas más interesantes de una
de las campañas recientes de Waterbug ocurrió durante un ataque contra un
objetivo ubicado en Medio Oriente: al parecer, Waterbug secuestró
infraestructura del grupo de espionaje Crambus y la usó para distribuir malware
en la red de la víctima. Los informes de prensa han vinculado a Crambus y
Waterbug con diferentes estados nacionales. Si bien es posible que los dos
grupos hayan estado colaborando, Symantec no ha encontrado evidencia adicional
que respalde esta hipótesis. Lo más probable, según parece, es que el uso que
Waterbug hizo de la infraestructura de Crambus sea una supuesta apropiación
hostil. Sin embargo, lo curioso es que Waterbug también atacó otras
computadoras de la red de la víctima usando su propia infraestructura.
Durante este ataque se descargó en una
computadora de la red de la víctima una variante personalizada de Mimikatz (una
herramienta de hacking disponible públicamente) desde infraestructura de red
que, según se sabe, estaba bajo el control de Crambus. Mimikatz se descargó a
través de la herramienta Powruner y del panel de control Poison Frog. Diversos
proveedores han vinculado públicamente la infraestructura y la herramienta
Powruner con Crambus. Ambas fueron mencionadas también en filtraciones
recientes de documentos vinculados con Crambus.
Symantec considera que la variante de
Mimikatz empleada en estos ataques es exclusiva de Waterbug. Se modificó en
gran medida y casi todo el código original fue separado de su función de robo
de credenciales sekurlsa::logonpasswords. Waterbug con frecuencia ha hecho
modificaciones profundas de herramientas disponibles públicamente, algo por lo
que Crambus no es reconocido.
La variante de Mimikatz utilizada se
empaquetó con una rutina de empaquetamiento personalizada que no se había visto
nunca antes en malware que no fuera de Waterbug. Waterbug utilizó este mismo
empaquetador en una segunda variante personalizada de Mimikatz y en un dropper
para el servicio Neuron del grupo (Trojan.Cadanif).
La forma en la que se empleó el dropper nos hace llegar a la conclusión de que
este empaquetador personalizado es de uso exclusivo de Waterbug. Además, esta
versión de Mimikatz se compiló usando Visual Studio y bzip2 (una biblioteca
disponible públicamente), lo cual, aunque no es algo excepcional, ya ha sido
utilizado antes por otras herramientas de Waterbug.
Además del ataque en el que se vio
implicada infraestructura de Crambus, se sabe que esta muestra de Mimikatz
únicamente se ha empleado en otro ataque, en 2017, contra un objetivo educativo
ubicado en el Reino Unido. Fue una herramienta conocida de Waterbug la que
colocó Mimikatz en esa ocasión.
En el caso del ataque contra el objetivo
de Medio Oriente, Crambus fue el primer grupo en infiltrarse a la red de la
víctima, y la evidencia más antigua de su actividad se remonta a noviembre de
2017. La primera evidencia observada de la actividad de Waterbug surgió el 11
de enero de 2018, cuando una herramienta vinculada con Waterbug (un programador
de tareas denominado msfgi.exe) fue colocada en una computadora de la red de la
víctima. El día siguiente, 12 de enero, la variante ya mencionada de Mimikatz
se descargó en la misma computadora desde un servidor de C&C conocido de
Crambus. Dos computadoras más de la red de la víctima fueron atacadas con
herramientas de Waterbug el 12 de enero, pero no hay evidencia de que se haya
utilizado infraestructura de Crambus en estos ataques. Aunque una de estas
computadoras ya antes había sido atacada por Crambus, en la otra no se
observaron indicios de la intrusión de Crambus.
Las intrusiones de Waterbug en la red de
la víctima continuaron durante gran parte de 2018. El 5 de septiembre de 2018, una variante similar de
Mimikatz fue colocada mediante la puerta trasera Neptun de Waterbug en otra
computadora de la red. Casi al mismo tiempo, en la red de la víctima se observó
otro malware de Waterbug que se comunicaba con servidores de C&C conocidos
de Waterbug.
Por último, el problema se ensombreció aún
más con la aparición de una herramienta legítima de administración de sistemas
denominada IntelliAdmin en la red de la víctima. Se sabe que Crambus ha
utilizado esta herramienta, la cual se mencionó en la filtración de documentos
de Crambus. Sin embargo, en este caso, IntelliAdmin fue colocada mediante
puertas traseras personalizadas de Waterbug, incluida la puerta trasera Neptun
recién identificada, en computadoras que no habían sido afectadas por la
intrusión de Crambus.
El incidente deja muchas preguntas por
contestar que principalmente se relacionan con el motivo de Waterbug para usar
la infraestructura de Crambus. Hay varias posibilidades:
1. Bandera falsa: Waterbug tiene
antecedentes de uso de tácticas de bandera falsa para despistar a los
investigadores. Sin embargo, si este fuera un intento genuino de una operación
de bandera falsa, habría que preguntarse por qué también usó su propia
infraestructura para comunicarse con otros equipos de la red de la víctima,
además de usar herramientas cuyo origen podría rastrearse hasta conducir a
Waterbug.
2. Medios de intrusión: Es posible que Waterbug quisiera atacar la organización prevista,
descubriera que Crambus ya había atacado su red y secuestrara la propia
infraestructura de Crambus como medio para conseguir acceso a la red. Symantec
no observó que el punto de acceso inicial y el breve periodo que transcurrió
entre la actividad observada de Waterbug en la red de la víctima y su uso
observado de la infraestructura de Crambus sugiera que Waterbug podría haber
utilizado la infraestructura de Crambus como punto de acceso inicial.
3. La variante de Mimikatz
perteneció a Crambus: Existe la posibilidad de que
la versión de Mimikatz descargada por la infraestructura de Crambus en realidad
haya sido desarrollada por Crambus. Sin embargo, la técnica de compilación y el
hecho de que la única ocasión en la que se utilizó haya estado vinculada a
Waterbug contradicen esta hipótesis. El hecho de que Waterbug también apareció
en la red de la víctima casi al mismo tiempo en que se descargó esta versión de
Mimikatz sería una coincidencia poco probable si la herramienta perteneciera a
Crambus.
4. Oportunismo para generar confusión: Si
no planificó una operación de bandera falsa desde el inicio, es posible que
Waterbug descubriera la intrusión de Crambus mientras preparaba su ataque y, en
un arranque de oportunismo, la haya usado con la esperanza de confundir a la
víctima o a los investigadores. Según
filtraciones recientes de documentos internos de Crambus, se sabe que su
panel de control Poison Frog es vulnerable a intrusiones, lo cual significa que
quizá secuestrar la infraestructura de Crambus haya sido una distracción
relativamente trivial por parte de Waterbug. Una intrusión conducida por un
grupo de agentes especializados en amenazas a través de la infraestructura de
otro, o cobranza de cuarto nivel, ya se ha analizado
en un documento técnico de 2017 elaborado por investigadores de Kaspersky.
Campañas adicionales
Waterbug también montó otras dos
campañas durante el año pasado, y cada una de ellas se caracterizó por el uso
de herramientas específicas. Estas campañas fueron de gran alcance e impactaron
en objetivos ubicados en Europa, Latinoamérica y el sur de Asia.
En la primera campaña Waterbug utilizó
dos versiones de un cargador personalizado denominado javavs.exe (de
64 bits) y javaws.exe (de 32 bits) para cargar una puerta trasera
personalizada denominada PhotoBased.dll y ejecutar la función de exportación
GetUpdate en las computadoras de la víctima. La puerta trasera modifica el
registro del Reproductor de Windows Media para almacenar su configuración de
C&C. También reconfigura el registro de Sysinternals de Microsoft para
evitar que aparezcan mensajes emergentes al ejecutar la herramienta PsExec. La
puerta trasera es capaz de descargar y cargar archivos, ejecutar comandos de
shell y actualizar su configuración.
El cargador javaws.exe también se
utiliza para ejecutar otro cargador denominado tasklistw.exe. Los atacantes lo
usan para decodificar y ejecutar un conjunto de ejecutables maliciosos que
descargan Meterpreter en la computadora infectada.
Los atacantes también instalan otra
puerta trasera que ejecuta un comando de shell a través de la canalización
nombrada cmd_pipe. Ambas puertas traseras permiten a los atacantes ejecutar
varios comandos que proveen control total sobre el sistema de la víctima.
Waterbug también utilizó una versión anterior de PowerShell, probablemente para
evitar la creación de registros.
En la segunda campaña, Waterbug utilizó
una puerta trasera totalmente diferente denominada
securlsa.chk. Esta puerta trasera puede recibir comandos mediante el
protocolo de RPC. Entre sus capacidades están las siguientes:
·
Ejecutar comandos mediante
cmd.exe con la salida redirigida a un archivo temporal.
·
Leer la salida del comando
contenida en el archivo temporal.
·
Leer o escribir archivos arbitrarios
Esta puerta trasera de RPC también
incluyó código fuente derivado de la herramienta PowerShellRunner que permite
que un usuario ejecute scripts de PowerShell sin ejecutar powershell.exe, con
lo cual el usuario puede para burlar la detección destinada a identificar el
uso malicioso de PowerShell.
Aunque ambas campañas implicaron
distintas herramientas durante la fase de intrusión inicial, también hubo
muchas similitudes entre ellas. Ambas se caracterizaron por el uso de una
combinación de malware personalizado y herramientas disponibles públicamente.
Además, durante ambas campañas Waterbug ejecutó múltiples cargas útiles casi
simultáneamente, muy probablemente para conseguir acceso superpuesto a la red
en caso de que las defensas encontraran y eliminaran una de las puertas
traseras.
Waterbug tomó varias medidas para evitar
la detección. Nombró a Meterpreter como un tipo de archivo WAV, probablemente
con la esperanza de que así no levantaría sospechas. El grupo también utilizó
GitHub como repositorio de las herramientas que descargó después de la
intrusión. El motivo para usarlo probablemente fue el deseo de evadir la
detección, pues GitHub es un sitio web que en general se considera confiable.
Utilizó Certutil.exe para descargar archivos del repositorio, que es una
técnica de evasión de listas blancas de aplicaciones para descargas remotas.
En una de estas campañas, Waterbug
utilizó un ladrón de USB que explora dispositivos de almacenamiento extraíble
para identificar y recopilar archivos de interés. Después, empaqueta los
archivos robados en un archivo RAR protegido con contraseña. El malware usa
entonces WebDAV para cargar el archivo RAR a una cuenta de Box.
Preguntas por contestar
Esta es la primera vez que Symantec
observa a un grupo de ataque dirigido secuestrar y usar presuntamente la
infraestructura de otro grupo. Sin embargo, aún es difícil establecer el motivo
que subyace tras el ataque. Aún se desconoce si Waterbug simplemente aprovechó
la oportunidad para crear confusión en torno al ataque o si el ataque implicó
una planeación más estratégica.
El conjunto cambiante de herramientas de
Waterbug es una muestra del alto grado de adaptabilidad de un grupo que,
decidido a evitar que lo detecten, siempre va un paso adelante de los
destinatarios de sus ataques. La frecuente renovación de herramientas y cierta
tendencia a coquetear con las tácticas de bandera falsa han hecho de este grupo
uno de los adversarios más desafiantes en el escenario de los ataques
dirigidos.
Protección/mitigación
Symantec tiene preparada la siguiente
protección para defender a sus clientes contra estos ataques:
Protección
basada en archivos
Inteligencia sobre amenazas
El equipo de Managed
Adversary and Threat Intelligence (MATI) de DeepSight Intelligence es
coautor de este blog y sus clientes han recibido informes de inteligencia que
contienen detalles adicionales acerca de estas campañas, de las características
del grupo de ciberespionaje Waterbug (conocido también como Turla) y de los
métodos para detectar y frustrar las actividades de este adversario.
Indicadores de peligro
Campaña
1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.tk
vision2030.cf
dubaiexpo2020.cf
microsoft.updatemeltdownkb7234.com
codewizard.ml
updatenodes.site
https://vision2030.tk/static/googleupdate.txt
https://dubaiexpo2020.cf/counter.aspx
https://microsoft.updatemeltdownkb7234.com/windows/update.aspx
https://codewizard.ml/productivity/update.aspx
Campaña
2
10d1bfd5e8e1c8fa75756a9f1787c3179da9ab338a476f1991d9e300c6186575
3fbec774da2a145974a917aeb64fc389345feb3e581b46d018077e28333601a5
52169d7cdd01098efdde4da3fb22991aaa53ab9e02db5d80114a639bf65bce39
56098ed50e25f28d466be78a36c643d19fedc563a2250ae86a6d936318b7f57e
595a54f0bbf297041ce259461ae8a12f37fb29e5180705eafb3668b4a491cecc
5dc26566b4dec09865ea89edd4f9765ef93e789870ed4c25fcc4ebad19780b40
6b60b27385738cac65584cf7d486913ff997c66d97a94e1dde158c9cd03a4206
846a95a26aac843d1fcec51b2b730e9e8f40032ee4f769035966169d68d144c4
c4a6db706c59a5a0a29368f80731904cc98a26e081088e5793764a381708b1ea
d0b99353cb6500bb18f6e83fe9eed9ce16e5a8d5b940181e5eafd8d82f328a59
ee7f92a158940a0b5d9b902eb0ed9a655c7e6ba312473b1e2c9ef80d58baa6dd
94.249.192.182
Campaña
3
454e6c3d8c1c982cd301b4dd82ec3431935c28adea78ed8160d731ab0bed6cb7
4ecb587ee9b872747408c00de5619cb6b973e7d39ce4937655c5d1a07b7500fc
528e2567e24809d2d0ba96fd70e41d71c18152f0f0c4f29ced129ed7701fa42a
6928e212874686d29c85eac72553ccdf89aacb475c61fa3c086c796df3ab5940
b22bbda8f504f8cced886f566f954cc245f3e7c205e57139610bbbff0412611c
d52b08dd27f2649bad764152dfc2a7dea0c8894ce7c20b51482f4a4cf3e1e792
e7e41b3d7c0ee2d0939bb56d797eaf2dec44516ba54b8bf1477414b03d4d6e48
ec3da59d4a35941f6951639d81d1c5ff73057d9cf779428d80474e9656db427c
fbefe503d78104e04625a511528584327ac129c3436e4df09f3d167e438a1862
No hay comentarios.