El grupo APT llamado DeputyDog ha surgido de nuevo con un medio para mantener sus servidores de comando y control en secreto que involucra recursos en línea de Microsoft TechNet.
Una nueva investigación publicada la semana pasada por Microsoft y FireEye reveló ataques dirigidos contra organizaciones en los que ha descubierto que los atacantes chinos han creado perfiles falsos en el recurso de TI de propiedad de Microsoft, donde los atacantes se han ocultado comandos codificaddos y controlan la información utilizada por una variante del troyano de acceso remoto BlackCoffee.
.
El uso de TechNet es una técnica de evasión formidable ya que la mayoría de defensas basadas en firmas no consideraría un recurso tan ampliamente utilizado como una amenaza.
En conjunto con el descubrimiento, los investigadores de RSA Security hoy dieron a conocer al público un script en Python que decodifica los valores incrustados en una página de TechNet y revela información de comando y control.
Investigadores RSA Brian Baskin y Jared Myers dijo que el malware, que ellos llaman PNGRAT, fue encontrado en dos redes de clientes. Explican que el malware contiene una URL codificada a la página de perfil de TechNet creada por el atacante. El código malicioso se conecta a TechNet, decodifica el mensaje enterrado en una cadena entre los elementos @ MICRO0S0FT y C0RP0RATI0N. Si lo hace, revela una dirección IP donde más conexiones de mando y control esperan, dijo RSA.
RSA se negó a dar detalles sobre las dos organizaciones comprometidas que investigó.
 |
| Fuente: ThreatPost |
.
El uso de TechNet es una técnica de evasión formidable ya que la mayoría de defensas basadas en firmas no consideraría un recurso tan ampliamente utilizado como una amenaza.
En conjunto con el descubrimiento, los investigadores de RSA Security hoy dieron a conocer al público un script en Python que decodifica los valores incrustados en una página de TechNet y revela información de comando y control.
Investigadores RSA Brian Baskin y Jared Myers dijo que el malware, que ellos llaman PNGRAT, fue encontrado en dos redes de clientes. Explican que el malware contiene una URL codificada a la página de perfil de TechNet creada por el atacante. El código malicioso se conecta a TechNet, decodifica el mensaje enterrado en una cadena entre los elementos @ MICRO0S0FT y C0RP0RATI0N. Si lo hace, revela una dirección IP donde más conexiones de mando y control esperan, dijo RSA.
"No es un esquema de codificación demasiado complicado; mirando el malware, que nos llevó unos 15 minutos averiguar la codificación ", dijo Myers. "Utiliza dos caracteres para cada octeto de la dirección IP. Lo hace matemática simple en cada caracter, lo agrega y termina resolviendo el valor, que es un octeto de la dirección IP. "La variante PNGRAT, dijo RSA, contiene un poco de funcionalidad adicional, incluyendo algunas de las características generalmente confinadas a crimeware más que el malware utilizado en ataques dirigidos. El uso de TechNet para almacenar la información de mando y control es una táctica probada por tiempo de los atacantes, ya que siguen centrándose en de la evasión de la detección y mantener sus servidores C&C en funcionamiento durante períodos más largos de tiempo.
"Ese es el problema con este aspecto del ataque; TechNet es popular y no sería bloqueada ", dijo Baskin. "Hemos visto que el mismo estilo de ataque utilizado antes con Gmail y otros sitios públicos. Apple, o la semana siguiente, o el mes después, podrían estar utilizando esta misma rutina en una página de Amazon o cualquier otro sitio web de confianza por ahí ".FireEye atribuye el ataque a DeputyDog, que también se conoce como APT17, que ha utilizado el malware BlackCoffee durante dos años. Sus objetivos en el pasado han incluido a las agencias gubernamentales, empresas internacionales de autoridad y las empresas de tecnología. DeputyDog ha golpeado objetivos de medios de comunicación en Japón a finales de 2013 con una erupción de malware aprovechando una vulnerabilidad de día cero en Internet Explorer. Los exploits estaban disfrazados como archivos de imagen y una vez que fueron ejecutados, conectándose con los servidores de comando y control y enviando la información robada a los atacantes.
RSA se negó a dar detalles sobre las dos organizaciones comprometidas que investigó.
"Yo diría que [los atacantes] tuvieron algo de éxito", dijo Baskin. "No duraron dentro de el ambiente el tiempo que quisieron, pero que fueron capaces de obtener datos."
