[12/11/2023] Investigadores de seguridad advierten que un actor de amenazas con base en Irán ha lanzado ataques de ciberespionaje contra organizaciones israelíes de los sectores educativo y tecnológico desde principios de año. Los ataques tienen un componente destructivo, ya que el actor despliega borradores de datos para cubrir sus huellas, dejando inutilizables los sistemas afectados.
"Nuestra investigación reveló que los autores de los ataques tienen fuertes conexiones con un grupo APT respaldado por Irán Unit 42 tracks como Agonizing Serpens (también conocido como Agrius, BlackShadow, Pink Sandstorm, DEV-0022)", señalaron investigadores de Palo Alto Networks en un informe. Según la empresa, la oleada de ataques comenzó en enero y continuó el mes pasado.
Las actividades de Agonizing Serpens se remontan al 2020, cuando se hizo pasar por un grupo de ransomware, e incluso dejó falsas notas de rescate en las computadoras. Sin embargo, las intenciones del grupo siempre han sido causar daños a la reputación e interrumpir la continuidad del negocio de sus víctimas.
En primer lugar, el grupo roba información personal identificable (IPI) y propiedad intelectual de las bases de datos que encuentra en los sistemas comprometidos, y publica los datos confidenciales en las redes sociales y en los canales de Telegram. A continuación, despliega el malware wiper para perturbar el mayor número posible de sistemas. La última campaña observada este año muestra que Agonizing Serpens ha desarrollado nuevas herramientas de malware personalizadas para eludir la detección de los productos de seguridad.
De las web shells al movimiento lateral
Los investigadores de Palo Alto investigaron en octubre un ataque en el que el grupo se introdujo en una red explotando servidores web vulnerables y desplegando a continuación web shells, secuencias de comandos que permiten a los atacantes ejecutar órdenes. Las web shells eran casi idénticas a las utilizadas por Agonizing Serpens en ataques anteriores, y parecen ser variaciones de una web shell disponible públicamente llamada ASPXSpy.
El acceso proporcionado por los scripts permitió a los atacantes realizar tareas de reconocimiento en la red. Para ello utilizaron varios escáneres de red y de sistema de acceso público, como Nbtscan, WinEggDrop y NimScan.
Para obtener credenciales administrativas, los atacantes utilizaron Mimikatz, una herramienta de código abierto para extraer credenciales locales. Volcaron el gestor de cuentas de seguridad de Windows (SAM), e intentaron adivinar las credenciales SMB mediante la pulverización de contraseñas y otras técnicas de fuerza bruta. Una vez obtenidas las credenciales, los atacantes utilizaron PuTTY Link (plink), una herramienta de conexión de red, para acceder a otros sistemas.
Extracción de datos y borrado del sistema
En la siguiente fase del ataque, el agresor desplegó la primera herramienta personalizada llamada sqlextractor. Como su nombre indica, la herramienta se utiliza para conectarse a bases de datos y extraer información, en particular datos como números de identificación nacional, escaneos de pasaportes, direcciones de correo electrónico y direcciones completas. Los datos se guardan en formato CSV y, a continuación, se archivan y se filtran a un servidor de mando y control utilizando herramientas públicas como WinSCP o Pscp.exe (PuTTY Secure Copy Protocol). También se filtraron volcados de memoria de procesos guardados como archivos .dmp.
"Durante el incidente, los atacantes intentaron utilizar tres wipers distintos como parte del ataque destructivo", afirmaron los investigadores. "Mientras que algunos de los wipers muestran similitudes de código con wipers previamente reportados que el grupo Agonizing Serpens utilizó, otros se consideran completamente nuevos y se han utilizado por primera vez en este ataque".
El primer wiper se llama MultiLayer y está escrito en .NET. Despliega dos binarios llamados MultiList y MultiWip. MultiList se utiliza para enumerar todos los archivos del sistema, y construir una lista de rutas de archivos con determinadas carpetas excluidas; mientras que MultiWip es el componente de borrado de archivos que empieza a sobrescribir los archivos locales con datos aleatorios.
Para dificultar los intentos de recuperación de datos, el limpiador cambia las marcas de tiempo de los archivos seleccionados y modifica sus rutas originales antes de eliminarlos. MultiLayer también elimina todos los registros de sucesos de Windows, las instantáneas de volumen y los primeros 512 bytes del disco físico que contiene el sector de arranque para dejar los sistemas inarrancables tras el reinicio. A continuación, se borra a sí mismo y todos los scripts que ha creado y utilizado.
Los investigadores de Palo Alto observaron que MultiLayer comparte las mismas convenciones de nomenclatura de funciones, e incluso bloques enteros de código con otras herramientas personalizadas asociadas anteriormente con Agonizing Serpens, como Apostle, IPsec Helper y Fantasy. Esto podría ser el resultado de que las herramientas compartan el mismo código base o hayan sido creadas por el mismo desarrollador.
Durante el mismo ataque, los atacantes también desplegaron un segundo limpiador al que llamaron PartialWasher o PW. Este programa está escrito en C++ en lugar de .NET y es un limpiador más selectivo en el que los atacantes tienen más control sobre su ejecución mediante el uso de indicadores de línea de comandos. Por ejemplo, se puede ordenar al limpiador que recopile información sobre la unidad y las particiones, que escriba 420 MB de datos binarios aleatorios en una unidad, que borre un archivo o archivos específicos en una carpeta y subcarpetas concretas, y que cambie los atributos de un archivo.
Por último, también se desplegó un tercer limpiador llamado BFG Agonizer. Este limpiador tiene muchas similitudes de código con un proyecto de código abierto llamado CRYLINE-v5.0, y podría estar basado en él. Este wiper destaca porque utiliza varias técnicas antienganche como DLL unhooking e Import Address Table (IAT) Unhooking para evadir la detección de los programas antivirus. A continuación, inutiliza el sector de arranque de la unidad sobrescribiendo los seis primeros sectores y obligando al sistema a reiniciarse.
Cómo evaden la detección los ataques Agonizing Serpens
Los atacantes desplegaron tres wipers diferentes porque seguían intentando eludir el producto de seguridad desplegado en el sistema. Para conseguirlo, también emplearon técnicas de "traiga su propio controlador vulnerable" (BYOVD). Esto se basa en desplegar un controlador de kernel legítimo y firmado digitalmente que forma parte de una aplicación conocida, pero que es vulnerable de alguna manera o proporciona a los atacantes alguna funcionalidad deseada.
Uno de los controladores desplegados forma parte de una solución llamada GMER y su objetivo original era detectar y eliminar rootkits, pero los atacantes intentaron utilizarlo para eliminar productos de seguridad. Otro de los controladores que desplegaron con el mismo propósito forma parte de una nueva herramienta PoC disponible públicamente llamada BadRentdrv2 que se publicó a principios de octubre.
"Este ataque forma parte de una campaña ofensiva más amplia dirigida contra organizaciones israelíes", afirman los investigadores. "Basándonos en nuestra telemetría, las organizaciones más atacadas pertenecen a los sectores de la educación y la tecnología".
Basado en el artículo de Lucian Constantin (CSO) y editado por CIO Perú