THREAT ALERT: Grupo TA505 reinicia ataques en Latinoamérica.

Una nueva campaña maliciosa del grupo de cibercrimen TA505 está afectando a Latinoamérica, principalmente Chile, Argentina y Colombia. También se identificaron nuevos casos en España y Portugal (habla hispana).

Para conocer más sobre este actor de amenazas y las campañas que afectaron a Latinoamérica el año pasado, recomendamos leer el siguiente artículo. TA505 es considerado un grupo de atacantes avezado, que desarrolla y mejoras sus herramientas con el tiempo y que dirige sus ataques estratégicamente a grandes corporaciones y empresas de interés para obtener el mayor retorno económico posible, sobre todo con CLOP Ransomware y el nuevo sitio web que presentaron a finales de Marzo para la etapa de extorsión “CL0P^-LEAKS”.

En esta oportunidad TA505 ha renovado sus TTP’s y vuelven con algunos trucos nuevos.

A continuación el flujo de infección.

Hasta ahora solo hemos visto la variante con «HTML ADJUNTO» que llego a Chile este 02 de Julio y este es el contenido del archivo.

Al revisar el código fuente del sitio embebido, vemos la redirección a un dominio controlado por TA505 que finalmente realiza la descarga del Excel.

Para continuar se solicita completar un Captcha (supuestamente de SPAMHAUS).

Luego de la descarga se pueden apreciar las plantillas actualizadas de TA505 en español.

Luego de presionar Habilitar Edición.

En este punto se instala el loader GET2 que luego de un reconocimiento superficial realiza la descarga e instalación de SDBBot para la persistencia, monitoreo y exfiltración de información confidencial.

La siguiente imagen corresponde a uno de los correos dirigidos a Argentina (02/07/2020).

Este es uno de los correos dirigido a Colombia, el que proviene desde una cuenta comprometida del gobierno Brasileño (02/07/2020).

Esta es una de las muestras que estuvo llegando el día 03/07/2020.

En uno de los servidores se detecto «listado de directorios» activo, y se pudo comprobar que una carpeta aloja múltiples archivos .html de redirección.

Algunos detalles recopilados a considerar:

• Malware llega vía Spear Phishing desde cuentas comprometidas y la mayor parte del tiempo suplantando a remitentes conocidos.
• Correo y plantillas Excel en perfecto español.
• Múltiples técnicas de evasión.
• El archivo adjunto en los correos contiene tags HTML aleatorios (quizás evasión) y embebe a través de los tags data u object, un segundo sitio que redirige a la descarga del Excel malicioso.
• Para poder descargar el documento se obliga al visitante a completar un Captcha supuestamente de SPAMHAUS.
• Al abrir el Excel se instala el loader GET2 que luego de enviar información básica del equipo al C2 descarga e instala SDBBot.
• Luego de recopilar información y si las condiciones son aptas, TA505 puede iniciar el despliegue de CLOP Ransomware en la red corporativa.
• Los archivos adjuntos están relacionados al asunto y contexto del correo Phishing:
  • «Factura Electronica» -> FACXXXXXXXXXX.html
  • «Orden de Compra» -> OCXXXXXXXXXXX.html
  • «Cheques» -> CHXXXXXXXXXX.html
    Tambíen se han visto otros adjuntos como «QF_JULIO_2020_XXXXXX.html» e «Imagen (XXX).html».
• Las urls embebidas en los adjuntos HTML se encuentran alojadas en servidores comprometidos, 1 servidor puede tener muchas URL’s de redireccion almacenadas en una misma carpeta.
• TA505 está registrando dominios relacionados a servicio Cloud para el delivery de la amenaza.

NOTA: El año pasado TA505 recopiló más de dos millones de correos (CL/AR) y cientos de cuentas SMTP fueron comprometidas, creemos que podrían estar utilizando estos datos en esta nueva operación en Latinoamérica.

Imagen muestra la cantidad de correos exfiltrados en 1 día por el componente de Email Stealer en los ataques del año pasado.

Indicadores de Compromiso (IOC’s)

URL’s y Dominios

dl1.global-downloads[.]com
dl2.global-downloads[.]com
limo-ones[.]com
shr-9466488[.]direct-share[.]com
shr-0746734[.]direct-share[.]com
music-server17-facebook[.]com
mira-store[.]com
music-server11-facebook[.]com
usr-telemetry-microsoft[.]com
alpha-telemetry-microsoft[.]com
direct-upt[.]com
drive[.]google-us-cdn[.]com
drive[.]google-eu-cdn[.]com
app[.]boxrcdn[.]com

Hash’s
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1df72c8030212114451baf714d7387d0
21e6616c87d71f55e7fe1c515d89e9c6
f615f7d0a7982f6c7242b4c536c7807e
59bf4a34d72028c48ef47af81ce1248119bab784
7796c5917414630d2f6d46fbf334653bda89d0fd
fb56fd2df1a2adbfe8835a644a26dfcd65733ea2
a68217d80d88c794faf39d465dd27812862e8e19

Emails Comprometidos (Sender’s)

• info@list[.]floridahia[.]com
• station109@unifiedfire[.]org
• tourismupdate@tat[.]or[.]th
• cxc@artecola[.]com[.]mx
• xujy@changansuzuki[.]com
• aleyda[.]elvir@cysmarketing[.]com
• yysang@vghtpe[.]gov[.]tw
• info@naturstein-pache[.]de
• tecnico3@ludomaquina[.]es
• scanner@magiccirclenews[.]com
• hongxh@miligc[.]com
• recepcao[.]fic@indaial[.]sc[.]gov[.]br
• jim@swlife[.]nnov[.]ru
• jeahiuck@kedi[.]re[.]kr
• 007@nbxmx[.]cn
• hasegawa@alfatoti[.]com

Recomendaciones de Seguridad

Para la organización:

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en los equipos de la organización.
• Restringir la capacidad (permisos) de los usuarios para instalar y ejecutar aplicaciones de software no deseadas. No agregue usuarios al grupo de administradores locales a menos que sea necesario.
• Concienciar constantemente a los usuarios en temas relacionados a seguridad de la información.
• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.
• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.
• Antes de realizar el bloqueo de IOCs es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de sus servicios internos y externos, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• Mantener actualizado Microsoft Office y todo el software de seguridad del equipo.
• No abra documentos adjuntos de remitentes desconocido.
• Aprenda a identificar correos fraudulentos.
• No deshabilite las funciones de seguridad en los documentos de Office.
• El correo Phishing puede venir de cualquier persona, incluso un email conocido, así que desconfíe inmediatamente de correos con asuntos como: “ORDEN DE COMPRA”, “FACTURA ELECTRÓNICA”, “CHEQUES”, “PAGOS” y derivados. Compruebe su veracidad.

Bibliografía y fuentes de información utilizadas

Manténganse alerta y seguros,
CronUp Ciberseguridad.

[email protected]