esenfrdeitptru

Billbug: Amenazas persistentes apuntan a la autoridad de certificación y agencias gubernamentales de varios países asiáticos

AS-087-2022

Fecha: 17/Nov/2022

Notificado por: Correo-CTI-FIRST

Resumen:

Symantec, de Broadcom Software, pudo vincular actividades maliciosas a un grupo que se rastrea como Billbug (también conocido como Lotus Blossom, Thrip) es un grupo con actividades de amenazas persistentes avanzadas (APT) de larga data que se cree que ha estado activo desde al menos 2009. Thrip y Billbug probablemente eran el mismo grupo.

En la actividad documentada por Symantec en 2019, detallan cómo el grupo estaba usando una puerta trasera conocida como Hannotog (Backdoor.Hannotog) y otra puerta trasera conocida como Sagerunex (Backdoor.Sagerunex).

Se conoce que Billbug se enfoca en objetivos en países asiáticos. En al menos una de las víctimas del gobierno, los atacantes comprometieron una gran cantidad de máquinas en la red. La motivación al parecer es espionaje y robo de información.

El objetivo de una autoridad de certificación es notable, ya que si los atacantes pudieran comprometerla con éxito para acceder a los certificados, podrían usarlos para firmar malware con un certificado válido y ayudar a evitar la detección en las máquinas de las víctimas. También podría potencialmente usar certificados comprometidos para interceptar el tráfico HTTPS. Sin embargo, aunque esta es una posible motivación para apuntar a una autoridad de certificación, Symantec no ha visto evidencia que sugiera que lograron comprometer los certificados digitales. Symantec ha notificado a la autoridad de certificación para informarles de esta actividad.

Herramientas utilizadas.

Los atacantes utilizan múltiples herramientas de doble uso en esta campaña de ataque, así como malware personalizado. Entre las herramientas aprovechadas en esta actividad reciente se encuentran:

  • AdFind: una herramienta disponible públicamente que se utiliza para consultar Active Directory. Tiene usos legítimos, pero los atacantes lo utilizan mucho para ayudar a mapear una red.
  • Winmail: puede abrir archivos winmail.dat.
  • WinRAR: un administrador de archivos que se puede usar para archivar o comprimir archivos, por ejemplo, antes de la exfiltración.
  • Ping: una herramienta disponible gratuitamente en línea que puede permitir a los usuarios determinar si una ubicación específica en una red está respondiendo.
  • Tracert: una herramienta de red que se puede usar para determinar la "ruta" que toman los paquetes de una dirección IP a otra. Proporciona el nombre de host, la dirección IP y el tiempo de respuesta a un ping.
  • Route: una ruta para enviar paquetes a través de la red de Internet a una dirección en otra red.
  • NBTscan: escáner NetBIOS de línea de comandos de código abierto.
  • Certutil: utilidad de Microsoft Windows que se puede utilizar para diversos fines maliciosos, como decodificar información, descargar archivos e instalar certificados raíz del navegador.
  • Port scanner: permite a un atacante determinar qué puertos están abiertos en una red y podrían usarse para enviar y recibir datos.

El backdoor implementado en puertas traseras de Hannotog tiene múltiples funcionalidades:

  • Ejecuta netsh para actualizar la configuración del firewall.
    • Escucha en el puerto 5900.
    • Puede crear un servicio para la persistencia.
    • También puede detener los servicios.
    • Puede cargar datos encriptados.
    • Puede ejecutar el comando cmd.exe /c %s para recopilar información del sistema.
    • Puede descargar archivos a la máquina

También se descargó una herramienta llamada Stowaway Proxy Tool en las máquinas de las víctimas. Stowaway es una herramienta proxy de varios niveles escrita en el lenguaje Go y diseñada para que la utilicen los evaluadores de penetración. Los usuarios pueden usar este programa para transmitir tráfico externo a la intranet a través de múltiples nodos, romper las restricciones de acceso a la intranet, construir una red de nodos en forma de árbol e implementar fácilmente funciones de administración. No es inusual ver herramientas de prueba de penetración mal utilizadas por los actores de amenazas. Cobalt Strike, que es un marco de prueba de penetración, es considerado malware básico por muchos debido a la frecuencia con la que los actores malintencionados lo utilizan.

Sagerunex - Detalles técnicos.

La puerta trasera de Sagerunex es bastante resistente e implementa múltiples formas de comunicación con su servidor de comando y control (C&C).  En la muestra analizada por Symantec, la configuración se pasa a la muestra a través de un parámetro de la función exportada (llamada MainEntry). Esa configuración se descifra con una simple operación XOR:

def simplecrypt(x):
    devuelve xor(x, b"\xad" + x[:-1])

Recomendaciones:

Buscar indicios de compromiso. Limitar solo a Ips de confianza y en lo posible bloquear los comandos que puedan ser utilizados en forma maliciosa, monitorear y bloquear actividades sospechosas.

Referencias:

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/espionage-asia-governments-cert-authority

Tlp Clear 2023