abril 16, 2021

Un hack avanzado y poco convencional está dirigido a empresas industriales

Una gran cantidad de ceros y unos.
Acercarse / / Código binario, ilustración.

Los atacantes están invirtiendo importantes habilidades y esfuerzos en la penetración de empresas industriales en varios países, con hacks que utilizan múltiples mecanismos de evasión, un innovador esquema de encriptación y exploits personalizados para cada objetivo con precisión milimétrica.

Los ataques comienzan con correos electrónicos personalizados para cada objetivo, según un investigador de la compañía de seguridad Kaspersky Lab. Para que se active el exploit, el idioma en el correo electrónico debe coincidir con la ubicación del sistema operativo del objetivo. Por ejemplo, en el caso de un ataque a una empresa japonesa, el texto del correo electrónico y un documento adjunto de Microsoft Office que contiene una macro maliciosa tuvo que escribirse en japonés. También se requiere: un módulo de malware cifrado solo se puede descifrar cuando el sistema operativo también tiene una localización japonesa.

Los destinatarios que hagan clic en una solicitud para habilitar urgentemente el contenido activo del documento no verán ninguna indicación de que algo está mal. Detrás de escena, sin embargo, una macro ejecuta un script Powershell. La razón por la que permanece oculto: los parámetros del comando:

  • ExecutionPolicy ByPass: para reemplazar los criterios de la organización
  • WindowStyle Hidden. Esto oculta la ventana de PowerShell
  • NoProfile, que ejecuta el script sin la configuración del usuario final.

Esteganografía de triple codificación, ¿alguien?

El script de PowerShell llega a imgur.com o imgbox.com y descarga una imagen con código malicioso oculto dentro de los píxeles a través de una técnica llamada esteganografía. Los datos se codifican mediante el algoritmo Base64, se cifran con una clave RSA y luego se vuelven a codificar Base64. En un movimiento inteligente, el script contiene un error intencional en su código. El mensaje de error que se devuelve, que es diferente para cada paquete de idioma instalado en el sistema operativo, es la clave de descifrado.

Los datos decodificados y decodificados se utilizan como el segundo script de PowerShell que, a su vez, descomprime y decodifica otro BLOB de datos codificados en Base64. Con esto, un tercer script ofuscado de PowerShell ejecuta el malware Mimikatz diseñado para robar las credenciales de la cuenta de Windows utilizada para acceder a varios recursos de red. En el caso de que las credenciales robadas incluyan aquellas para el todopoderoso Active Directory de Windows, los atacantes tienen acceso a prácticamente todos los nodos de la red.

El siguiente diagrama resume el flujo del ataque:

Kaspersky Lab

Los ataques, que Kaspersky Lab ha identificado en Japón, Italia, Alemania y el Reino Unido, son conocidos por sus enfoques poco convencionales, como se señaló en la publicación de Kaspersky Lab esta semana. El investigador de la compañía Vyacheslav Kopeytsev escribió:

Primero, la forma maliciosa se codifica en una imagen utilizando técnicas esteganográficas y la imagen se aloja en recursos web legítimos. Esto hace que sea prácticamente imposible detectar dicho malware utilizando herramientas de control y monitoreo de tráfico de red durante la descarga. Desde el punto de vista de las soluciones técnicas, esta actividad es indistinguible de enviar solicitudes ordinarias a servicios legítimos de alojamiento de imágenes.

Una segunda característica curiosa del malware es el uso del mensaje de excepción como clave de descifrado para la carga maliciosa. Esta técnica puede ayudar a la detección de malware a escapar de los sistemas de análisis automático de clase sandbox y hace que el análisis de las características de malware sea mucho más difícil para los investigadores si no saben qué paquete de idioma se utilizó en la computadora de la víctima.

El uso de las técnicas anteriores, combinado con la naturaleza precisa de las infecciones, indica que estos fueron ataques dirigidos. Es preocupante que las víctimas de los ataques incluyan contratistas industriales. Si los atacantes pueden recopilar las credenciales de los empleados de una organización contratante, esto puede llevar a una serie de consecuencias negativas, desde el robo de datos confidenciales hasta los ataques a empresas industriales a través de herramientas de administración remota utilizadas por el contratista.

El software de Kaspersky Lab bloqueó los ataques antes de que pudieran ir más allá. Como resultado, los investigadores aún no saben cuál era el objetivo final de los atacantes. En los últimos años, los sistemas de control para refinerías de gas, centrales eléctricas, fábricas y otras infraestructuras críticas han sido objeto de ataques cada vez mayores por parte de saboteadores y ransomware. El objetivo final de estos ataques puede haber sido los clientes de las empresas industriales de los contratistas.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *