Campaña de Malware atribuida a APT-C-36, contexto y IOCs

Visión general

El siguiente informe proporciona los TTPs y IOCs identificados en una campaña de malware que suplanta a la “Fiscalía General de la Nación” de Colombia. Nuestro equipo de investigación identificó esta campaña a través de procesos de threat hunting en fuentes públicas.

El grupo detrás de esta campaña es APT-C-36 también conocido como Blind Eagle. Muchos de los TTPs coinciden con los encontrados en campañas previas atribuidas a este grupo cibercriminal en investigaciones públicas.

SCILabs no pudo identificar el vector inicial de ataque, sin embargo, determinamos con un alto nivel de confianza que al igual que en campañas previas, los atacantes distribuyen el malware a través de correos electrónicos de phishing con un documento PDF adjunto. Realizamos esta hipótesis  basados en los TTPs que se observaron en campañas previas de este grupo de amenazas.

Al igual que en campañas previas, los cibercriminales continúan utilizando njRAT. Cómo es sabido, este tipo de troyanos tiene capacidades similares, como, el robo de contraseñas almacenadas en buscadores, apertura de procesos de reverse shell, carga y descarga de archivos, así como un ladrón de contraseñas y un keylogger entre otros.

Basados en las capacidades y TTPs identificados en el malware utilizado por los atacantes, el objetivo de esta campaña es el robo de información de usuarios en Colombia.

¿Cómo puede afectar a una organización?

El principal objetivo del atacante son usuarios en Colombia, su finalidad es implantar un backdoor para controlar la computadora victima y dar las bases  para moverse lateralmente a otro tipo de ataques relacionados al robo de información sensible, la cual puede causar pérdidas financiera y de reputación en las empresas afectadas.

Análisis

Contexto de la amenaza

SCILabs recuperó un archivo PDF a través de procesos de threat hunting en fuentes públicas; el archivo incluye un hipervínculo a los servidores de OneDrive, lo que lleva a la descarga de un archivo comprimido de tipo BZ2 protegido por una contraseña con un archivo .vbs en su interior. La contraseña está dentro del archivo PDF.

El archivo .vbs descarga un archivo de texto que contiene codificado un script de PowerShell para llevar a cabo las siguientes operaciones:

  • Decodificar la librería FunWithAMSI para evadir Microsoft AMSI (Windows Antimalware Scan Interface)
  • Guarda el payload de njRAT en el registro de Windows
  • Genera los archivos necesarios para generar persistencia
  • Ejecuta el ultimo archivo para completar la infección inyectando el troyano njRAT en el ejecutable aspnet_compiler.exe

Flujo de ataque

A continuación, se muestra el flujo de ataque observado durante la investigación.

Resumen técnico

Comúnmente el método de acceso inicial de APT-C-36 son correos de phishing suplantando varias organizaciones principalmente de Colombia. SCILabs pudo recuperar únicamente el archivo PDF adjunto al correo de phishing suplantando a la “Fiscalía General de la Nación” de Colombia.

El archivo PDF contiene una URL que conduce a la descarga de un archivo comprimido de tipo BZ2 protegido por una contraseña y descargado desde servidores legítimos de OneDrive. El archivo .bz2 contiene un script de Visual Basic.

El atacante usa una técnica de fileless utilizando el script .vbs para descargar desde servidores de Discord un archivo de texto que contiene instrucciones de PowerShell codificadas en base64 para realizar las siguientes acciones:

  • Decodifica la librería  FunWithAMSI para evadir Microsoft AMSI (Windows Antimalware Scan Interface)
  • Guarda el payload de njRAT en el registro de Windows con el valor default en HKCU:\software\wow6432node\Microsoft\WindowsUpdate
  • Genera los siguientes archivos para establecer persistencia y terminar la cadena de infección:
  • SystemLogin.bat: Archivo batch codificado para ejecutar la última etapa de la infección a través de la técnica de Ejecución de Proxy Binario con la utilidad mshta y comandos de PowerShell. Este archivo se coloca en la carpeta %AppData%\Roaming

  • Login1.vbs: Script de Visual Basic colocado en el directorio de inicio de Windows para generar persistencia y ejecutar el archivo SystemLogin.bat

  • myScript.ps1: Script de PowerShell colocado en la carpeta de Windows %PUBLIC%  para generar persistencia y ejecutar el archivo SystemLogin.bat. Este archivo contiene un inyector de njRAT, la DLL codificada FunWithAMSI, la librería AES Everywhere para decodificar el payload de njRAT, y  las instrucciones para inyectar el troyano en el ejecutable legítimo aspnet_compiler.exe.

Finalmente, el ejecutable aspnet_compiler.exe localizado en el directorio C:\Windows\Microsoft.NET\Framework\v4.0.30319 es utilizado para inyectar el troyano njRAT y establecer la comunicación con el dominio C2 (1204abril[.]duckdns[.]org[:]2001).

Es importante mencionar que, en general, los TTPs observados en investigaciones previas hechas por SCILabs se mantienen, sin embargo, se identificó que el adversario está utilizando scripts de Visual Basic como principal dropper en lugar de  archivos de JavaScript.

Modelo diamante

A continuación, se muestra el modelo diamante observado durante la investigación.

Comparaciones entre campañas previas de APT-C-36 y la campaña actual (principales indicadores)

Para determinar que el adversario de las campañas previas y la actual es el mismo, SCILabs uso la “regla del 2” la cual indica que para determinar que dos amenazas son iguales, debe haber traslapes en al menos dos vértices del modelo diamante. El siguiente es el resultado de aplicar esta regla:

Modelo Diamante Indicadores Clave (Datos de Intrusión) & Superposiciones Contexto
Adversario Campañas previas de APT-C-36 / Campaña actual de APT-C-36 Archivo comprimido y protegido para distribuir el dropper principal.
TTP  T1566.001 – Phishing: Spearphishing Attachment
Infraestructura Archivo comprimido protegido con contraseña
Víctima Usuarios y organizaciones colombianas
Adversario Campañas previas de APT-C-36 / Campaña actual de APT-C-36 Archivo PDF dirigido a la víctima, para la descarga de la primera fase de la cadena de infección.
De acuerdo con algunas investigaciones públicas se han encontrado correos electrónicos relacionados, utilizados para atacar al gobierno colombiano, instituciones financieras y grandes empresas en Colombia.
TTP  T1566.001 – Phishing: Spearphishing Attachment
Infraestructura Archivo PDF o documento malicioso suplantando a la “Fiscalía General de la Nación.
Víctima Campañas previas: Usuarios y organizaciones colombianas
Campaña actual: Usuarios en Colombia
Adversario Campañas previas de APT-C-36 / Campaña actual de APT-C-36 Basados en investigaciones públicas y en los TTPs observados por SCILabs, el adversario utiliza JavaScript, Visual Basic Script, y PowerShell para las diferentes etapas de la infección.
TTP  T1059 – Command and Scripting Interpreter
Infraestructura Desarrollo de artefactos utilizando lenguajes de scripting como, Visual Basic Script, PowerShell y JavaScript.

Adicionalmente, el uso de RATs, como, njRAT

Víctima Campañas previas: Usuarios y organizaciones colombianas
Campaña actual: Usuarios en Colombia
Adversario Campañas previas de APT-C-36 / Campaña actual de APT-C-36 Los atacantes a menudo descargan archivos de texto encriptados de sistemas externos que contienen artefactos embebidos, como, RATs de productos básicos o inyectores DLL para implementar el malware
TTP  T1105 – Ingress Tool Transfer
Infraestructura njRAT versión 0.7NC
Inyector DLL genérico
Parametros de Malware
Víctima Campañas previas: Usuarios y organizaciones colombianas
Campaña actual: Usuarios en Colombia
Adversario Campañas previas de APT-C-36 / Campaña actual de APT-C-36 Los atacantes utilizan puertos poco usuales para sus servidores C2.
TTP  T1571 – Non-Standard Port
Infraestructura Puertos de campañas previas: 57831, 2050, 57831
Puertos de la campaña actual: 2001
Víctima Campañas previas: Usuarios y organizaciones colombianas
Campaña actual: Usuarios en Colombia
Adversario Campañas previas de APT-C-36 / Campaña actual de APT-C-36  Los adversarios utilizan código ofuscado a través de la cadena de infección, haciendo uso de archivos de texto plano como medio principal para almacenar payloads y comandos.
A menudo utilizan algoritmos base64 y reemplazan letras o caracteres especiales en sus payloads ofuscados.
TTP  T1027 – Obfuscated Files or Information
Infraestructura algoritmos de BASE64
Reemplazando letras y caracteres especiales
Funciones propias para ofuscar datos
Víctima Campañas previas: Usuarios y organizaciones colombianas
Campaña actual: Usuarios en Colombia
Adversario Campañas previas de APT-C-36 / Campaña actual de APT-C-36  Los atacantes han usado commodity RAT njRAT.
TTP  T1588.002 – Obtain Capabilities Tool
Infraestructura njRAT
Víctima Campañas previas: Usuarios y organizaciones colombianas
Campaña actual: Usuarios en Colombia
Adversario Campañas previas de APT-C-36 / Campaña actual de APT-C-36  Los atacantes utilizan un script .vbs en el directorio de inicio de Windows para generar persistencia.
TTP  T1547.001 Boot or Logon Auto start Execution: Registry Run Keys / Startup Folder
Infraestructura script VBS en el folder de inicio de Windows para generar persistencia
Víctima Campañas previas: Usuarios y organizaciones colombianas
Campaña actual: Usuarios en Colombia
Adversario Campañas previas de APT-C-36 / Campaña actual de APT-C-36  En campañas recientes, los adversarios han hecho uso de servicios de dominio como, Duckdns y el protocolo HTTP para comunicarse con el servidor C2.
TTP  T1071.001 – Application Layer Protocol: Web Protocols
Infraestructura Dominios Duckdns
Víctima Campañas previas: Usuarios y organizaciones colombianas
Campaña actual: Usuarios en Colombia

En el resultado de este ejercicio se pueden observar las superposiciones entre los vértices de la infraestructura y capacidades/TTPs, cumpliendo con la regla del 2 y sustentando que el adversario detrás de esta campaña es probablemente APT-C-36. SCILabs continuara continuara con el monitoreo de campañas para obtener más elementos que permitan incrementar el nivel de certeza de la atribución.

TTPs observados, alineados con el marco ATT&CK de MITRE

Conclusiones

El grupo de amenaza APT-C-36 se caracteriza por el uso de commodity RATs como njRAT, SCILabs ha identificado que los artefactos utilizados durante la cadena de infección tienen un bajo nivel de detección por soluciones antivirus comerciales. Adicionalmente, ellos actualizan constantemente sus artefactos, por ejemplo, actualmente utilizan archivos .vbs en lugar de archivos JavaScript y utilizan diferentes plantillas PDF o diferentes pretextos en sus correos electrónicos para evadir las protecciones anti-spam.

Este adversario emplea las técnicas filelessliving off the land, y usa servicios de almacenamiento en la nube como los de OneDrive o Discord para alojar sus artefactos maliciosos y varios algoritmos de ofuscación y encriptación. Esto puede complicar el análisis de comportamiento por parte de las soluciones de seguridad, por esta razón es importante que las organizaciones realicen búsquedas de amenazas dentro de sus endpoints y workstations considerando directorios, llaves de registro y ejecutables como los mencionados en este reporte.

Estas características hacen de este adversario un foco de atención ya que SCILabs considera que los atacantes podrían en el futuro atacar víctimas en otros países, como, México a todo tipo de organizaciones. Por ello para SCILabs es importante que las organizaciones estén informadas y actualizadas sobre los TTP que utiliza este adversario y que podrían ser replicados por otros grupos de ciberdelincuentes para realizar ataques más destructivos.

Creemos que las víctimas ideales de este tipo de campañas son las organizaciones que nos prestan especial atención a los indicadores de comportamiento y no conocen a detalle las fases de la cadena de infección de este tipo de ataques. SCILabs creé que este adversario continuara con el uso de commodity RATs y teniendo como objetivo a LATAM, sin embargo, basados en nuestra telemetría, los cibercriminales continuarán modificando sus artefactos para incrementar su efectividad.

IOCs

386CEAFDE6870930B4C0C0FAF3274A7A

C86433C0F61D1DF61208B2CFCA02543F

F967C869142E3242BFCA0E9C38CDD6FD

324DB54A7DF625B2CBF6B75E9EFEC140

2BB9168601ED09F975041B3E5593A764

889BDEAF65D152BEC9512A768B73CB5A

08FBA67E620C5AF2C4738EAB767A78D5

HXXPS[:]//ONEDRIVE[.]LIVE[.]COM/DOWNLOAD?CID=7F3ACF9F2D72D5A5&RESID=7F3ACF9F2D72D5A5%21827&AUTHKEY=AMZ2CWHP91GKHCI

HXXPS[:]//CDN[.]DISCORDAPP[.]COM/ATTACHMENTS/911673301896691753/976527856819646504/MIO18MAYOMIO[.]TXT

1204ABRIL[.]DUCKDNS[.]ORG[:]2001

ABRIL[.]DUCKDNS[.]ORG

HKCU:\SOFTWARE\bf02403cd3e34e50a6f

HKCU:\SOFTWARE \wow6432node\Microsoft\WindowsUpdate