Llegamos a ustedes gracias a:



Alertas de Seguridad

Cisco: El ataque de DNSpionage

Añade nuevas herramientas, tácticas de morphs

[25/04/2019] El grupo detrás de los ataques del Sistema de Nombres de Dominio conocido como DNSpionage ha aumentado sus oscuras acciones con nuevas herramientas y malware para enfocar sus ataques y ocultar mejor sus actividades.

Los investigadores de seguridad de Cisco Talos, que descubrieron el espionaje del DNS en noviembre, advirtieron esta semana sobre las nuevas hazañas y capacidades de la nefasta campaña.

"El desarrollo continuo del malware de DNSpionage por parte del actor de la amenaza muestra que el atacante sigue encontrando nuevas formas de evitar la detección. La tunelización de DNS es un método popular de exfiltración para algunos actores y ejemplos recientes de espionaje de DNS muestran que debemos asegurarnos de que el DNS sea monitoreado tan de cerca como el proxy normal de una organización o los weblogs", escribió Talos.   "El DNS es esencialmente la agenda de Internet, y cuando se manipula, se hace difícil para cualquiera discernir si lo que está viendo en línea es legítimo".

En el informe inicial de Talos, los investigadores dijeron que una campaña de espionaje del DNS se dirigió a varias empresas de Oriente Medio, así como a los dominios del gobierno de los Emiratos Árabes Unidos. También utilizó dos sitios web maliciosos que contenían anuncios de trabajo que se utilizaban para comprometer los objetivos a través de documentos de Microsoft Office creados con macros incrustadas. El malware soportaba la comunicación HTTP y DNS con los atacantes.

En una campaña de DNSpionage separada, los atacantes usaron la misma dirección IP para redirigir los DNS de los dominios legítimos.gov y de empresas privadas. Durante cada compromiso de DNS, el actor generó cuidadosamente los certificados "Let's Encrypt" para los dominios redirigidos. Estos certificados proporcionan certificados X.509 para la seguridad de la capa de transporte (TLS) de forma gratuita para el usuario, anotó Talos.

Esta semana Cisco dijo que los actores de DNSpionage han creado una nueva herramienta administrativa remota que soporta la comunicación HTTP y DNS con el comando y control de los atacantes (C2).

"En nuestro artículo anterior sobre el espionaje DNS, mostramos que el autor del malware utilizó macros maliciosas incrustadas en un documento de Microsoft Word. En la nueva muestra de Líbano identificada a finales de febrero, el atacante usó un documento de Excel con una macro similar".

Talos escribió: "El malware soporta la comunicación HTTP y DNS al servidor C2. La comunicación HTTP está oculta en los comentarios del código HTML. Esta vez, sin embargo, el servidor C2 imita la plataforma GitHub en lugar de Wikipedia. Aunque la comunicación DNS sigue el mismo método que describimos en nuestro artículo anterior, el desarrollador añadió algunas características nuevas en esta última versión y, esta vez, el actor eliminó el modo de depuración".

Talos añadió que el dominio utilizado para la campaña de C2 es "extraño".

"La versión anterior de DNSpionage intentaba utilizar dominios de aspecto legítimo en un intento de no ser detectados. Sin embargo, esta nueva versión utiliza el dominio'coldfart[...]com', que sería más fácil de detectar que otras campañas de APT que generalmente intentan mezclarse con el tráfico más adecuado para los entornos empresariales. El dominio también estaba alojado en los EE.UU., lo que es inusual para cualquier ataque de espionaje".

Los investigadores de Talos dijeron que descubrieron que el DNSpionage agregó una fase de reconocimiento, que asegura que la carga útil está siendo lanzada sobre objetivos específicos, en lugar de ser descargada indiscriminadamente en cada máquina.

Este nivel de ataque también devuelve información sobre el entorno de la estación de trabajo, incluyendo información específica de la plataforma, el nombre del dominio y la computadora local, e información sobre el sistema operativo, escribió Talos. Esta información es clave para ayudar al malware a seleccionar solo a las víctimas e intenta evitar investigadores o areneros. Una vez más, muestra las habilidades mejoradas del actor, ya que ahora le toman las huellas dactilares a la víctima.

Esta nueva táctica indica un mayor nivel de sofisticación, y es probable que responda a la gran cantidad de interés público en la campaña.

Talos señaló que ha habido varios otros informes públicos de ataques de DNSpionage, y en enero, el Departamento de Seguridad Nacional de Estados Unidos emitió una alerta advirtiendo a los usuarios sobre esta actividad de amenaza.

"Además del aumento de los informes de actividad de amenazas, también hemos descubierto nuevas pruebas de que los actores de las amenazas detrás de la campaña de DNSpionage siguen cambiando sus tácticas, probablemente en un intento de mejorar la eficacia de sus operaciones", declaró Talos.

En abril, Cisco Talos identificó un malware indocumentado desarrollado en .NET. En las muestras analizadas, el autor del malware dejó dos nombres internos diferentes en texto plano: "DropperBackdoor" y "Karkoff".

"El malware es ligero en comparación con otros malware debido a su pequeño tamaño y permite la ejecución remota de código desde el servidor C2. No hay ofuscación y el código puede ser fácilmente desensamblado", escribió Talos.

El malware de Karkoff busca dos plataformas antivirus específicas: Avira y Avast y trabajará con ellos.

"El descubrimiento de Karkoff también muestra que el actor está girando y está intentando cada vez más evitar la detección, mientras se mantiene muy concentrado en la región de Oriente Medio", escribió Talos.

Talos distinguió el DNSpionage de otro método de ataque DNS, "Sea Turtle", detalló este mes.Sea Turtle involucra a atacantes patrocinados por el estado que están abusando del DNS para atacar organizaciones y obtener credenciales para obtener acceso a redes y sistemas sensibles de una manera que las víctimas no pueden detectar. Esto muestra un conocimiento único sobre cómo manipular DNS, afirmó Talos.

Al obtener el control del DNS de las víctimas, los atacantes pueden cambiar o falsificar cualquier dato que las víctimas reciban de Internet, modificar ilícitamente los registros de nombres de DNS para señalar a los usuarios a servidores controlados por actores y los usuarios que visitan esos sitios nunca lo sabrán, reportó Talos.

"Aunque este incidente se limita a atacar principalmente a las organizaciones de seguridad nacional en Oriente Medio y África del Norte, y no queremos exagerar las consecuencias de esta campaña específica, nos preocupa que el éxito de esta operación conduzca a que los actores ataquen más ampliamente el sistema DNS global", declaró Talos sobre Sea Turtle.