Nueva campaña del grupo Ruso TA505 dirigida a Chile y Argentina. #ServHelper

Actualizado: 3 de may de 2019


TA505 (nombre asignado por Proofpoint) han estado en el negocio del Cibercrimen durante al menos 6 años. Este es el grupo detrás del infame troyano bancario Dridex y Locky ransomware. También están asociados al RAT tRAT y los ransomware Philadelphia y GlobeImposter.

Recientemente han introducido otra familia de malware como son FlawedGrace, FlawedAmmy y ServHelper.

El pasado 18 de Marzo leí la investigación de TI.360.NET RESEARCH y empece a hacerles seguimiento:


El siguiente Timeline de TA505 desde la gente de TI360 Research:


La campaña y amenaza en esta oportunidad es ServHelper, escrito en Delphi y que según ProofPoint, está clasificado como Backdoor. Se conocen dos variantes distintas: “Tunnel” y “Downloader”:

La variante ‘Tunnel’ tiene múltiples funciones y se enfoca en la configuración de túneles SSH inversos para permitir que el atacante acceda al host infectado a través del Protocolo de escritorio remoto (RDP). Una vez que ServHelper establece el acceso al escritorio remoto, permite al atacante secuestrar las cuentas de usuario legítimas o los perfiles de navegador web y usarlos como le parezca.La variante de “Downloader” es capaz de descargar y ejecutar cualquier otro malware que se le proporcione: troyano bancario, steeler, cryptomining, ransomware, keylogger, etc.

Desde la semana pasada que se mantiene una campaña activa con casos conocidos en Chile y Argentina.

El vector de ataque y entrada como siempre es el Phishing, algunas muestras de las plantillas utilizadas en esta campaña y en perfecto español, a continuación:

Reporte y muestra del scam en Chile por el profesional en Ciberseguridad Pablo Mejías Osorio.


El mismo template se repite en Argentina pero además se suma la extensión .WIZ. Las muestras son subidas por Ernesto @Dkavalanche (https://twitter.com/Dkavalanche/status/1118929600573267969)




Una muestra nueva en Any.Run permite conocer el flujo de infección:


El detalle en: https://app.any.run/tasks/2c6b4f99-1482-4b30-87b0-2c9ac99b0be0


Un nuevo sitio con la descarga del payload msiexec.exe se encuentra activo al momento de escribir este artículo:


Ultimas muestras en Any.Run:


Indicadores de Compromiso (IOC):


  • canyoning-austria[.]at/dashost

  • profan[.]es/dashost

  • kerrison[.]com/dashost

  • globe-trotterltd[.]com/dashost

  • 195[.]123[.]227[.]20/dashost

  • hxxp://houusha33[.]icu/jquery/jquery.php

  • hxxp://joisff333[.]icu/jquery/jquery.php

  • hxxp://91[.]201[.]67[.]96/cyf

  • 66[.]232[.]130[.]161

  • 195[.]123[.]227[.]79

  • C:\Windows\Installer\MSI3DA2.tmp

  • 64d48cde2de91849a414a86ad342a157288e7f6e58d7e58de1d077b9737e6dd8

  • C:\Windows\Installer\MSI419D.tmp

  • 7b2c826503c671dfcb7f28c7631a27538cd984e1ca5c76ab932fbd37afe4ce50

  • C:\Users\admin\AppData\Local\Temp\nsu4228.tmp\ns4229.tmp

  • 79fd3041ab85e378839d2e3cf155fc91a2d541304d209f5d1d57ac7d791190ec

  • C:\Users\admin\AppData\Local\Temp\nsu4228.tmp\nsExec.dll

  • b22c8f676dec58be8d25fbad1a37835ffc4029f29aaf79f4dc0337ca73a38782

  • C:\Users\admin\AppData\Local\Temp\repotaj.dll

  • fd2516f5a8dd9eaddac65f4bd8ae4ed6cba9e115ebe88c3f6d2f5e2cdd5e20a6

  • C:\Windows\Installer\MSI777D.tmp

  • 75708412609376b75e821d0d200ba6aec495b80629c7293d0bd1c9484c0f1c36

  • C:\Windows\Installer\MSI7D8B.tmp

  • 843578299d9e60e52f781ca487aa83f5df4c5f4ca71d3a941a8ea249476c5c3c

  • C:\Users\admin\AppData\Local\Temp\nsl7E55.tmp\nsExec.dll

  • b22c8f676dec58be8d25fbad1a37835ffc4029f29aaf79f4dc0337ca73a38782

  • C:\Users\admin\AppData\Local\Temp\pegas.dll

  • 9dc1381816b8b18aead256bdc05486171968abbc6ff01766088fbfe7badd194e

  • C:\Users\admin\AppData\Local\Temp\nsl7E55.tmp\ns7E66.tmp

  • 79fd3041ab85e378839d2e3cf155fc91a2d541304d209f5d1d57ac7d791190ec


Recomendaciones de Seguridad:


  • Mantener actualizado Microsoft Office y todo el software de seguridad del equipo.

  • No abra documentos adjuntos de remitentes desconocido.

  • Aprenda a identificar correos fraudulentos.

  • No deshabilite las funciones de seguridad en los documentos de Office.

  • El correo Phishing puede venir de cualquier persona, incluso un email conocido, asi que desconfíe inmediatamente de correos con asuntos como: “AUTORIZACION”, “PAGO”, “CONFIRMACIÓN”, “BLOQUEO”, “FACTURA” y derivados. Compruebe su veracidad.


Referencias:

  • https://www.proofpoint.com/us/threat-insight/post/servhelper-and-flawedgrace-new-malware-introduced-ta505

  • https://www.deepinstinct.com/2019/04/02/new-servhelper-variant-employs-excel-4-0-macro-to-drop-signed-payload/

  • https://ti.360.net/blog/articles/excel-4.0-macro-utilized-by-ta505-to-target-financial-institutions-recently-en/


Germán Fernández Bacian (1ZRR4H)

CronUp nace con la misión de maximizar la tranquilidad de las empresas, anticipando situaciones de riesgo que puedan afectar a sus procesos de negocio, provisión de servicios a clientes y canales electrónicos expuestos a Internet.

Contacto

Síguenos en

  • Icono social LinkedIn
  • Facebook icono social