FIN13: Un actor de amenaza cibercriminal, enfocado en México
Desde 2017, Mandiant ha estado rastreando a FIN13, un actor de amenazas diligente y versátil con motivaciones financieras, el cual, realiza intrusiones a largo plazo en México con un marco de tiempo de actividad que se remonta a 2016. Las operaciones de FIN13 tienen varias diferencias notables con respecto a las tendencias actuales de robo de datos de los ciberdelincuentes y la extorsión de ransomware.
Aunque sus operaciones continúan hasta el día de hoy, en muchos sentidos, las intrusiones de FIN13 son como una cápsula del tiempo del ciberdelito financiero tradicional de tiempos pasados. En lugar de los grupos de ransomware de “pisa y corre” que prevalecen en la actualidad, FIN13 se toma su tiempo para recolectar información para realizar transferencias fraudulentas de dinero. En lugar de depender, en gran medida, de marcos de ataque como Cobalt Strike, la mayoría de las intrusiones de FIN13 implican un uso intensivo de puertas traseras pasivas personalizadas y herramientas para acechar en entornos a largo plazo. En este blog, describimos los aspectos notables de las operaciones de FIN13 para destacar un ecosistema regional de ciberdelincuentes que merece más exploración.
Objetivos de FIN13
Desde mediados de 2017, Mandiant ha respondido a múltiples investigaciones las cuales se han atribuido a FIN13. A diferencia de otros actores motivados financieramente, FIN13 tiene objetivos altamente ubicados. Más de cinco años de datos de intrusión de Mandiant muestran que FIN13 opera exclusivamente contra organizaciones con sede en México y se ha dirigido específicamente a grandes organizaciones en las industrias financiera, minorista y hotelera. Una revisión de los datos financieros, disponibles públicamente, muestra que varias de estas organizaciones tienen ingresos anuales de millones a miles de millones en dólares estadounidenses (1 USD = 21,11 MXN al 6 de diciembre de 2021).
FIN13 mapeará minuciosamente la red de una víctima, capturando credenciales, robando documentos corporativos, documentación técnica, bases de datos financieras y otros archivos los cuales respaldarán su objetivo de ganancia financiera por medio de la transferencia fraudulenta de fondos de la organización víctima.
Tiempo de permanencia y vida útil operativa
Las investigaciones de Mandiant determinaron que FIN13 tenía un tiempo medio de permanencia, (definido como la duración entre el inicio de una ciberintrusión y su identificación), de 913 días o 2 años y medio. El largo tiempo de permanencia de un actor con motivación financiera es anómalo y significativo por muchos factores. En el reporte 2021 de Mandiant M-Trends, el 52% de los compromisos tenían tiempos de permanencia de menos de 30 días, mejoró desde el 41% en 2019: "Un factor importante que contribuye al aumento de la proporción de incidentes con tiempos de permanencia de 30 días o menos es el aumento continuo en la proporción de investigaciones que involucraron ransomware, el cual aumentó al 25% en 2020, de un 14% en 2019". El tiempo de permanencia de las investigaciones de ransomware se puede medir en días, mientras que FIN13 suele estar presente en entornos durante años para realizar sus operaciones más sigilosas y obtener la mayor recompensa posible.
Mandiant agrupa la actividad de los actores de amenazas de una variedad de fuentes, incluidas las investigaciones de primera mano realizadas por los equipos de Managed Defense y Respuesta a Incidentes de Mandiant. En una revisión de más de 850 clústeres de actividad motivada financieramente que Mandiant rastrea, FIN13 comparte una estadística convincente con solo otro actor de amenazas: FIN10, el flagelo de Canadá entre 2013 y 2019. Tan solo un 2.6% de los actores de amenazas motivados financieramente, los cuales Mandiant ha rastreado en múltiples intrusiones, se han dirigido a organizaciones en un solo país.
Al considerar las fechas más tempranas y recientes de la actividad identificada ("vida útil operativa") para los grupos, los datos se vuelven interesantes. La mayoría de los grupos de amenazas con motivación financiera, que rastrea Mandiant, tienen una vida útil operativa de menos de un año. Solo diez tienen una vida útil operativa de entre uno y tres años; y cuatro tienen una vida útil superior a tres años. De estos cuatro, sólo dos de ellos han funcionado durante más de cinco años: FIN10 y FIN13, que Mandiant considera poco común,
Figura 1.
FIN13 tiene una capacidad demostrada para permanecer sigiloso en las redes de organizaciones mexicanas grandes y rentables durante un período de tiempo considerable.
Ciclo de vida de los ataques dirigidos de Mandiant
Los ataques dirigidos suelen seguir una secuencia predecible de eventos. El Apéndice A proporciona información adicional sobre el ciclo de vida de los ataques dirigidos de Mandiant, el cual proporciona las principales fases de una intrusión típica. No todos los ataques siguen el flujo exacto de este modelo; su propósito es proporcionar una representación visual del ciclo de vida de los ataques.
Establecer presencia
Las investigaciones de Mandiant revelan que FIN13 ha explotado, principalmente, servidores externos para implementar webshells genéricos y malware personalizado, incluidos BLUEAGAVE y SIXPACK, para establecer presencia. Los detalles de las explotaciones y las vulnerabilidades específicas, apuntadas a lo largo de los años, no han sido confirmados debido a la evidencia insuficiente agravada por los largos tiempos de permanencia de FIN13. En dos intrusiones separadas, la primera evidencia sugirió una posible explotación contra el servidor WebLogic de la víctima para escribir un webshell genérico. En otro, la evidencia sugirió la explotación de Apache Tomcat. Aunque los detalles sobre el vector exacto son escasos, FIN13 ha utilizado históricamente webshells, en servidores externos, como una puerta de entrada a una víctima.
El uso de JSPRAT, por parte de FIN13, permite al actor lograr la ejecución de comandos locales, cargar/descargar archivos y tráfico de red proxy para un pivote adicional durante las etapas posteriores de la intrusión. FIN13 también ha utilizado, históricamente, webshells disponibles públicamente y codificados en varios lenguajes, incluidos PHP, C# (ASP.NET) y Java.
FIN13 también ha implementado ampliamente la puerta trasera pasiva BLUEAGAVE de PowerShell en los hosts destino al establecer una presencia inicial en el entorno. BLUEAGAVE utiliza la clase HttpListener.NET para establecer un servidor HTTP local en puertos efímeros altos (65510-65512). La puerta trasera escucha las solicitudes HTTP entrantes al URI raíz/en el puerto establecido, analiza la solicitud HTTP y ejecuta los datos codificados, en URL, almacenados dentro de la variable "kmd" de la solicitud por medio del símbolo del sistema de Windows (cmd.exe). La salida de este comando se envía de vuelta al operador en el cuerpo de la respuesta HTTP. Además, Mandiant ha identificado una versión Perl de BLUEAGAVE la cual permite a FIN13 establecerse en los sistemas Linux. A continuación, se muestra un código de PowerShell de muestra de BLUEAGAVE, Figura 2:
Figura 2: Fragmento de código BLUEAGAVE
|
Mandiant clasifica las puertas traseras pasivas como malware el cual proporciona acceso al entorno de la víctima sin enviar un beacon activo a un servidor de comando y control. Las puertas traseras pasivas pueden incluir webshells o malware personalizado que aceptan o escuchan conexiones entrantes por medio de un protocolo específico. El uso de FIN13 de puertas traseras pasivas, en lugar de puertas traseras activas de uso común como BEACON, demuestra el deseo del actor por el sigilo y las intrusiones sostenidas a largo plazo. FIN13 también mantiene un conocimiento activo de las redes de las víctimas, lo que les ha permitido crear de manera efectiva, pivotes complejos en los entornos de destino desde su punto base inicial. Durante una intrusión reciente, Mandiant observó que FIN13 aprovechó su base inicial para encadenar múltiples webshells y enviar el tráfico a hosts infectados con BLUEAGAVE en el entorno. Debajo de la Figura 3, se muestra un ejemplo de una solicitud HTTP registrada la cual demuestra a FIN13 encadenando múltiples webshells desde su base inicial:
|
Escalación de privilegios
FIN13 utiliza principalmente técnicas comunes de escalación de privilegios, sin embargo, el actor parece flexible para adaptarse cuando se expone a diversas redes de las víctimas. FIN13 se ha basado en utilerías disponibles públicamente, como ProcDump de Windows Sysinternal, para obtener volcados de memoria del proceso del sistema LSASS y, posteriormente, utilizó Mimikatz para analizar los volcados y extraer las credenciales. El siguiente es un ejemplo de un comando de host utilizado por FIN13 para volcar la memoria de proceso de LSASS, Figura 4:
|
Mandiant también ha observado que FIN13 utiliza la utilería legítima de Windows certutil, en algunos casos para ejecutar copias ofuscadas de utilerías como ProcDump para la evasión de detección. En una intrusión, FIN13 utilizó certutil para decodificar una versión codificada en base64 del dropper personalizado LATCHKEY. LATCHKEY es un dropper compilado de PowerShell a EXE (PS2EXE) que, en base64, decodifica y ejecuta la función de PowerSploit Out-Minidump el cual genera un mini volcado para el proceso del sistema LSASS en disco.
FIN13 también ha utilizado algunas técnicas de escalación de privilegios más exclusivas. Por ejemplo, durante una intrusión reciente, Mandiant observó que FIN13 reemplazaba los archivos binarios legítimos de KeePass con versiones troyanizadas las cuales registraban contraseñas recién ingresadas en un archivo de texto local. Esto permitió a FIN13 apuntar y recolectar credenciales para numerosas aplicaciones con el fin de promover su misión. El siguiente es un extracto de código de la versión troyanizada de KeePass implementada por FIN13 en un entorno de cliente, Figura 5:
|
Reconocimiento interno
FIN13 es particularmente experto en aprovechar los archivos binarios del sistema operativo nativo, los guiones, las herramientas de terceros y el malware personalizado para realizar un reconocimiento interno dentro de un entorno comprometido. Este actor parece cómodo aprovechando diversas técnicas para recolectar rápidamente información de fondo que respaldará sus objetivos finales.
Mandiant ha observado que FIN13 utiliza comandos comunes de Windows para recolectar información como whoami, para mostrar detalles de los grupos y privilegios, para el usuario actualmente conectado. Para el reconocimiento de la red, se ha observado que aprovechan ping, nslookup, ipconfig, tracert, netstat y la gama de comandos net. Para recolectar información del host local, el actor de amenazas utilizó systeminfo, fsutil fsinfo, attrib y un uso extensivo del comando dir.
FIN13 incorporó muchos de estos esfuerzos de reconocimiento en guiones con el fin de automatizar sus procesos. Por ejemplo, utilizaron pi.bat para recorrer una lista de direcciones IP en un archivo, ejecutar un comando ping y escribir la salida en un archivo, Figura 6. Un guion similar utilizó dnscmd para exportar las zonas DNS de un host a un archivo.
|
FIN13 ha aprovechado herramientas de terceros, como NMAP, para respaldar las operaciones de reconocimiento. En tres investigaciones de FIN13, los actores de amenazas emplearon una variante del guion GetUserSPNS.vbs para identificar las cuentas de usuario asociadas con un nombre principal de servicio el cual podría ser blanco de un ataque conocido como "Kerberoasting" para descifrar las contraseñas de los usuarios. También utilizan PowerShell para obtener datos DNS adicionales y exportarlos a un archivo, Figura 7. Se documenta un código similar de PowerShell en una publicación de junio de 2018 en coderoad[.]ru.
|
En otro caso, FIN13 ejecutó un guion de PowerShell para extraer eventos de inicio de sesión de un host durante los siete días previos. Es posible que se haya utilizado para recolectar información y permitir que FIN13 se integrara en las operaciones normales de los sistemas objetivo. Además, este guion ayudará a identificar a los usuarios que han iniciado sesión, evento 7001, para el cual no existe un evento 7002 correspondiente. La implicación es que el volcado de LSASS podría adquirir credenciales de usuario, Figura 8. Un código similar de PowerShell está documentado en una publicación de julio de 2018 para codetwo[.]com.
|
Además, FIN13 ha aprovechado la infraestructura corporativa para ejecutar actividades de reconocimiento. Durante una investigación, FIN13 accedió a la consola Symantec Altiris del objetivo, una plataforma de administración de software y hardware, para modificar repetidamente una tarea Run Script existente en la interfaz con el fin de adquirir información de red y host. En otra investigación, FIN13 utilizó una cuenta de LanDesk comprometida para ejecutar comandos para devolver información de host, red y base de datos del entorno.
Sin limitarse a las herramientas disponibles públicamente, FIN13 también ha utilizado varias familias de malware personalizado para ayudar en el reconocimiento interno. En tres investigaciones, FIN13 utilizó PORTHOLE, un escáner de puertos basado en Java, para realizar investigaciones de red. PORTHOLE puede intentar múltiples conexiones de socket a muchas direcciones IP y puertos y, como es multiproceso, puede ejecutar esta operación rápidamente con conexiones múltiples potencialmente superpuestas. El malware acepta, como primer argumento, una dirección IP con comodines en la dirección o un nombre de archivo. El segundo argumento es el rango de puerto inicial para escanear para cada IP y el tercero es el rango de puerto final.
CLOSEWATCH es un webshell JSP el cual se comunica con un escucha en el host local por medio de un puerto específico, escribe archivos arbitrarios en el sistema operativo de la víctima, ejecuta comandos arbitrarios en el host de la víctima, deshabilita el proxy y emite solicitudes HTTP GET personalizables a una variedad de hosts remotos. Si se especifican los parámetros de URL HTTP adecuados, CLOSEWATCH puede crear una conexión de socket al host local en el puerto 16998, en donde puede enviar y recibir datos utilizando comunicaciones similares a HTTP usando codificación de transferencia fragmentada. Si se especifica el parámetro de rango, CLOSEWATCH puede escanear un rango de direcciones IP y puertos utilizando parámetros personalizados. Este malware se observó en una de las primeras investigaciones de FIN13. Aunque recientemente apareció una muestra en un repositorio público, este malware no se ha observado durante investigaciones más recientes. Si bien es más que una simple herramienta de reconocimiento, el parámetro de rango de CLOSEWATCH proporciona a FIN13 otra capacidad de escaneo.
Se ha observado que FIN13 ejecuta la utilería osql de Microsoft, pero también han aprovechado otro webshell JSP, el cual Mandiant rastrea como SPINOFF, para la investigación de SQL. SPINOFF puede ejecutar consultas SQL arbitrarias en bases de datos específicas y descargar los resultados a un archivo. Al igual que CLOSEWATCH, este malware prevaleció en las primeras investigaciones.
Un descargador, el cual Mandiant rastrea como DRAWSTRING, tiene algunas funciones de reconocimiento interno. Si bien principalmente proporciona a FIN13 la capacidad de descargar y ejecutar archivos arbitrarios, DRAWSTRING también ejecutará systeminfo.exe y cargará dicha información en un servidor de comando y control (C2). Al iniciarse, el malware crea persistencia por medio de tres métodos posibles: un servicio, un archivo .lnk o una actualización de la llave de registro Software\Microsoft\Windows\CurrentVersion\Run. El malware comprueba los numerosos procesos antivirus y varía el método de persistencia si se encuentra uno.
Posteriormente, el malware ejecuta los siguientes dos comandos, Figura 9 y Figura 10, donde %s se reemplaza por el nombre del programa:
|
Este comando Add-MpPreference modifica la configuración de Windows Defender y especifica una ruta de archivo para excluir del análisis programado y en tiempo real.
|
Este comando agrega una nueva regla a un cortafuegos de Windows el cual permite a DRAWSTRING comunicaciones salientes.
El malware recolecta información del sistema mediante la ejecución de systeminfo.exe y el nombre de usuario, el nombre de la computadora, la información del parche del sistema, la lista de directorios de archivos de programa y la arquitectura están cifrados y codificados en base64. DRAWSTRING, posteriormente, realiza una solicitud HTTP POST por medio del puerto 443 con los datos del sistema capturados. Si bien esta comunicación utiliza el puerto 443, los datos no están a través de TLS/SSL y no están cifrados. El malware realiza 10 intentos de contactar al C2, durmiendo durante 10 segundos entre cada ronda. La respuesta se descifra, guarda y ejecuta.
Un ejemplo de llamada se ilustra en la Figura 11. Mandiant ha observado que FIN13 utiliza la misma dirección IP para DRAWSTRING y GOTBOT2 C2.
|
Movimiento lateral
El grupo ha aprovechado, con frecuencia, Windows Management Instrumentation (WMI) para ejecutar comandos de forma remota y moverse lateralmente, es decir, empleando el comando wmic nativo, una versión del guion Invoke-WMIExec disponible públicamente, o WMIEXEC. El siguiente es un ejemplo de comando WMIC utilizado por FIN13, Figura 12:
|
En la misma investigación en la que FIN13 ha utilizado wmiexec.vbs, Mandiant también ha observado que el actor utiliza un entunelador personalizado del webshell JSP llamado BUSTEDPIPE para facilitar el movimiento lateral por medio de solicitudes web.
Mandiant también ha observado que FIN13 utiliza utilerías similares a Invoke-WMIExec, como la utilería Invoke-SMBExec de PowerShell, en un cliente de Managed Defense. El siguiente es un ejemplo de comando Invoke-SMBExec utilizado por FIN13, Figura 13:
|
NIGHTJAR es un cargador de Java, observado durante múltiples investigaciones, el cual parece estar basado en el código que se encuentra aquí. NIGHTJAR escuchará en un socket designado, proporcionado en tiempo de ejecución en la línea de comando, para descargar un archivo y guardarlo en disco. Este malware no contiene un mecanismo de persistencia y se ha observado en el directorio C:\Windows\Temp o C:\inetpub\wwwroot. Se han observado dos versiones de la sintaxis de la línea de comandos, Figura 14, Figura 15.
|
|
Para moverse lateralmente entre plataformas, FIN13 ha utilizado su webshell BLUEAGAVE y otros dos webshells PHP pequeños los cuales se utilizaron para ejecutar comandos de forma remota entre sistemas Linux por medio de SSH con un nombre de usuario y contraseña específicos. En la Figura 16 a continuación, se muestra un fragmento de uno de estos webshells.
|
Mantener presencia
Las primeras intrusiones de FIN13 involucraron múltiples webshells genéricos para la persistencia, pero a lo largo de los años, FIN13 ha desarrollado una cartera de familias de malware tanto personalizadas como disponibles públicamente para utilizarlas como persistencia en el entorno.
En múltiples intrusiones, FIN13 implementó SIXPACK y SWEARJAR. SIXPACK es un webshell ASPX escrito en C# que funciona como entunelador. SIXPACK acepta datos de formulario HTTP los cuales contienen un host remoto y un puerto TCP para conectarse, un valor de tiempo de espera y datos codificados en Base64 para enviar después de conectarse al host especificado. SIXPACK lee los datos de respuesta y los devuelve al cliente original. SWEARJAR es una puerta trasera multiplataforma basada en Java que puede ejecutar comandos de shell.
En un caso, FIN13 implementó una puerta trasera llamada MAILSLOT, la cual se comunica por medio de SMTP/POP a través de SSL, enviando y recibiendo correos electrónicos desde y hacia una cuenta de correo electrónico configurada controlada por el atacante para su comando y control. MAILSLOT convierte a FIN13 en un caso poco común de un actor de amenazas que ha utilizado comunicaciones por correo electrónico para C2.
También han empleado una utilería personalizada de Mandiant llamada HOTLANE, la cual es un entunelador escrito en C/C ++ el cual puede operar en modo cliente o servidor y se comunica con un protocolo binario personalizado sobre TCP.
Además de su malware personalizado, FIN13 ha utilizado malware disponible públicamente, como la puerta trasera GOBOT2 y TINYSHELL.
Una utilería única disponible al público que ha utilizado el actor es un webshell PHP basado en PHPSPY, que Mandiant rastrea como SHELLSWEEP, contenía funcionalidad para recuperar información de tarjetas de crédito. La siguiente figura contiene un fragmento del webshell PHP, Figura 17.
|
Para ejecutar persistentemente sus puertas traseras, FIN13 ha utilizado llaves de ejecución del Registro de Windows como HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\hosts la cual se configuró para ejecutar un archivo ubicado en C:\WINDOWS\hosts.exe. También han creado tareas programadas con nombres como acrotryr y AppServicesr para ejecutar binarios del mismo nombre en el directorio C:\Windows.
Completar la misión
Si bien muchas organizaciones están inundadas de ransomware, FIN13 monetiza con nostalgia sus intrusiones por medio del robo de datos dirigido para permitir transacciones fraudulentas. FIN13 ha exfiltrado datos comúnmente dirigidos, como volcados de proceso LSASS y llaves de registro, pero en última instancia se dirigió a usuarios eficaces para alcanzar sus objetivos financieros. En una intrusión, FIN13 enlistó, específicamente, todos los usuarios y roles principales del sistema de tesorería de la víctima. FIN13, posteriormente, se trasladó más a las partes sensibles de la red, incluidas las redes POS y ATM, donde podrían exfiltrar una variedad de datos altamente específicos.
En una víctima, FIN13 exfiltró archivos relacionados con Verifone, un software de uso común el cual facilita las transferencias de dinero en los sistemas POS. En al menos un caso, FIN13 exfiltró la carpeta base completa para un sistema POS la cual incluía dependencias de archivos, imágenes utilizadas para imprimir recibos y archivos .wav utilizados para efectos de sonido. En una víctima diferente, FIN13 robó de manera similar archivos de dependencia para el software del cajero automático de la víctima. La información robada, de sistemas importantes, para una transacción monetaria podría utilizarse para iluminar posibles vías de actividad fraudulenta.
FIN13 también interactuó con bases de datos para recolectar información sensible desde el punto de vista financiero. En una base de datos de las víctimas, FIN13 recuperó el contenido de las siguientes tablas para su exfiltración:
- "claves_retiro" (English translation "withdrawal keys")
- "codigos_retiro_sin_tarjeta" (English translation "keyless card withdrawal codes")
- "retirosefectivo" (English translation "cash withdrawal")
Con el tesoro en la mano, FIN13 disfrazó sus datos almacenados mediante el uso de la utilería certutil de Windows para generar un certificado falso, codificado en Base64, con el archivo de entrada. El certificado contenía el contenido del archivo de almacenamiento, Figura 18, preparado para su exfiltración con declaraciones normales de inicio y finalización del certificado, como:
|
FIN13, posteriormente, exfiltró los datos por medio de webshells previamente implementados en el entorno o utilizando una herramienta JSP simple, Figura 19, en un directorio accesible desde la web como:
|
Aunque FIN13 apuntó a datos específicos los cuales podrían ayudar a transacciones fraudulentas, no siempre pudimos ser testigos de primera mano de cómo FIN13 capitalizó la información robada. En una víctima, pudimos recuperar una herramienta llamada GASCAN, la cual nos dio visibilidad de su juego final.
GASCAN es un malware basado en Java que procesa datos de punto de venta y envía mensajes especialmente diseñados a un servidor remoto especificado por la línea de comandos. Los datos enviados contienen un valor que corresponde a uno de los dos diferentes tipos de mensajes ISO 8583 y se pueden utilizar para construir transacciones fraudulentas ISO 8583. El primer tipo de mensaje, 0100, indica los datos correspondientes a un mensaje de autorización y se utiliza para determinar si existen fondos disponibles en una cuenta específica. Después de recibir el primer mensaje, el servidor C2 devuelve un búfer que incluye la cadena "Aprobada". El segundo tipo de mensaje, 0200, contiene datos utilizados para un mensaje de solicitud financiera y se utiliza para contabilizar un cargo en una cuenta específica. La segunda estructura de mensaje incluye un campo llamado "monto". El valor de “monto” se calcula utilizando una función interna que devuelve un número generado aleatoriamente entre 2000 y 3000, utilizado como el monto de la transacción enviada en el segundo mensaje. Según la información enviada, es probable que el servidor remoto especificado sea responsable de formatear y enviar el mensaje ISO 8583 para transacciones fraudulentas.
La muestra de GASCAN se adaptó al entorno de la víctima y los datos esperados de los sistemas POS utilizados por la organización. La misma víctima fue alertada de más de mil transacciones fraudulentas en un corto período de tiempo, por un total de millones de pesos o varios cientos de miles de dólares estadounidenses.
Panorama
Entre la compleja red de actividades ciberdelincuentes, el crimen organizado tradicional que recurre a la criptomoneda, los ataques agresivos de Corea del Norte, el espionaje chino, y la pandemia de ransomware, el ciberespacio latinoamericano seguirá siendo un área de investigación adicional en los próximos años, como lo señaló Proofpoint y ESET a principios de este año.
En particular, mientras que el ransomware ha capturado el espíritu de la época del ciberdelincuente, Mandiant no ha observado que FIN13 implemente ransomware en una intrusión al momento de este blog. FIN13 se ha enfocado en los ciberdelitos más tradicionales, motivados financieramente, y se ha enfocado en los sistemas Linux y Windows en todas sus operaciones. Queda por ver si los actores criminales latinoamericanos también pasarán a ejecutar principalmente operaciones de ransomware o continuarán persiguiendo el fraude.
Los equipos y ejecutivos de seguridad de América Latina deben ser conscientes de estas amenazas, evaluar su postura actual y adaptarse en consecuencia. Mandiant anima a estas organizaciones a seguir colaborando con la industria en general para mitigar estas amenazas. El equipo de consultores de respuesta a incidentes, preparación estratégica, y aseguramiento técnico de Mandiant en México, y en todo el mundo está listo para ayudar con estos esfuerzos.
Más información
Aprenda más de FIN13 y SWEARJAR, una puerta trasera usada por FIN13 que recibe comandos mediante registros TXT de DNS, registrándose a la suscripción gratuita de Mandiant Advantage Threat Intelligence.
¿Ya registrado? Lea el informe FIN13, el perfil de malware SWEARJAR, y los informes adicionales sobre la puerta trasera.
Indicadores de compromiso
FAMILIA DE MALWARE | MD5 | SHA1 | SHA256 |
CLOSEWATCH | 1c871dba90faeef9cb637046be04f291 | ea71757fcd45425353d4c432f8fcef4451cd9b22 | e9e25584475ebf08957886725ebc99a2b85af7a992b6c6ae352c94e8d9c79101 |
DRAWSTRING | f774a1159ec25324c3686431aeb9a038 | 1f53342aaa71be3d25e6c28dd36f949b7b504a28 | 2d2a67fcce58c73e96358161e48e8b09fa2b171c837d7539c22461e46c47656c |
DRAWSTRING | 9a6993ee1af31dc386be4583dd866bfc | 67c7469aaaf352705ec66c3bb73366c77cf3577c | 77b4da7f513b7bf555e34fd6450a43e869ec9aa037c0e274ace81ae3d9cda94f |
Invoke-SMBExec | 9e484e32505758a6d991c33652ad1b14 | 16a71f2ffc1bb24b2862295072831b698ae38f3a | 674fc045dc198874f323ebdfb9e9ff2f591076fa6fac8d1048b5b8d9527c64cd |
Invoke-WMIExec | 081beadd4dc5f070c087df82df22179c | ca0cc3d624be7a2933413e8d7440374b25eae1bd | b41bd54bbf119d153e0878696cd5a944cbd4316c781dd8e390507b2ec2d949e7 |
GOBOT2 | 384fea272567d924c2a256ce9e91d949 | 0ae8dd21ce229884519cb8e5ed6b2753a18a7ead | d961148e97857562b9cf06a0e2d154352338d60d375f9b48f61e9f26480e443b |
HOTLANE | b451fe96ab76cf676cf22a258fdb38ce | 8c8ad56ec08a4b23e0593c3d578fd7e23dc45211 | 4b1b1fd688a5bf4e27a4e62a56b67e1c45536603c8ecdefe88a3b0ff37cec798 |
HOTLANE | 94642e317bdbcc5d216aa730ae851a05 | adca9b2d2e9e1c2cfbeb2f730894bf5ba54acad8 | 906b0e99850448a45ab3de4115954d5ff02b6edd4c2b0f5d59f40045f668246c |
JSPRAT | ab2dbe55a54368e0ba4c9a4abe71b47b | 7439a49cd10616a7c9d649120dfba7eca7f224b8 | c7740484dba2eaac5f3455596df3b8f9c127a9d6f50268bc3375afbff3c6020e |
JSPRAT | a4cff691eda32dc11a621d9731fcea73 | 75b58a5fef77886d697041cfab5c3d6beda21661 | efce809b03fe30765837e99bdfa6766d4506f9ba8351ec611979ce16f841e1ac |
JSPRAT | 8a8597d1bfa42229224c46e38ebed07b | 5fc73458f617a7fb12d3c769ea07f5ec61e12153 | ba5f9281ac9a9bc7c4684dd96603e033f133c26482734b27be4b6f4b5f74f5ad |
JSPRAT | 34a8ac7dfc5ce7b4a1992abdb5e0fa15 | 12f6c27f400e85fb8f075ff7b17f475a383b4499 | db3bda73338c164d523c0ab27e774f81921d5ab6518ef667fffd10edf169bfbd |
LATCHKEY | 0b26021f37f01f00cc6cf880bd3d7f68 | 4ab56883ddcb3d3e9af22aa73898d5ca7d2250a6 | b23621caf5323e2207d8fbf5bee0a9bd9ce110af64b8f5579a80f2767564f917 |
MAILSLOT | 5fe987a61b88e34102002a1f13cfee3d | 28333822aab1eeebfb299c845b32a2fa17e7747d | 5e59b103bccf5cad21dde116c71e4261f26c2f02ed1af35c0a17218b4423a638 |
MIMIKATZ | d7af79c4533e3050c47044e41c90e829 | 463a36c5fb8c8dffc659f9d1eb4509d8f62816e7 | c1fb986e7f6fde354382d7b46460fb9af799a0abbac4c179ca9b3f56aadc7f98 |
NIGHTJAR | b130215dd140fa47d06f6e1d5ad8e941 | 28427a2778731b3b247edf6a576b8149e9784d28 | fa6f93ef0bb35a9dad1a5e60105c7110da3a2f8bd37a4ae3bff7f1a1c61b2720 |
NIGHTJAR | 86327a5429ca8c58685a310b98d1be95 | e92c1a2f03f5895889313c8e8f4fea1aa6f24652 | 5ece301c0e0295b511f4def643bf6c01129803bac52b032bb19d1e91c679cacb |
PORTHOLE | f4b56e8b6c0710f1e8a18dc4f11a4edc | 2e309fa21194a069feb02ff0cd9cafe06d84f94d | 84ac021af9675763af11c955f294db98aeeb08afeacd17e71fb33d8d185feed5 |
PORTHOLE | 33c22962e43cef8627cbc63535f33fce | 72906cec6bc424f8a9db5ca28ece2d2d2200dba2 | 61257b4ef15e20aa9407592e25a513ffde7aba2f323c2a47afbc3e588fc5fcaf |
PROCDUMP | 42539491f0e4fe145b9ed7d002bcb9ae | ddebbf15665986402e662947c071979329dd1a71 | 2f1520301536958bcf5c65516ca85a343133b443db9835a58049cd1694460424 |
PROCDUMP | a92669ec8852230a10256ac23bbf4489 | 4bed038c66e7fdbbfb0365669923a73fbc9bb8f4 | 16f413862efda3aba631d8a7ae2bfff6d84acd9f454a7adaa518c7a8a6f375a5 |
SIXPACK | 863ead7a592b47d7547ab7931c935633 | f7cc106b208a9c3e4d630627954489dd2b0d5bda | a3676562571f48c269027a069ecb08ee08973b7017f4965fa36a8fa34a18134e |
SPINOFF | 9e0563caa00582c3aa4bf6c41d9f9c46 | 4716aeb3076a6b0fd00ec9f5144747270407dcc1 | 4029788b2cb65282f4264283a359710988380bce22ed67788c8d978b28e0aea9 |
SWEARJAR | f50efee758de4aa18f0ce9459d5722f4 | 13dfe71b95d3932ca4e39b84e6ded5086abe2b60 | 1e675e32ebb61b6259b0df978e3ffa02695ef120f8a2a5639f2ae18e14fd1a4d |
SWEARJAR | 9340e6fc1d6d6b0379ab1583ccc2a0b1 | b0caaf26e52168cb839f12ba499ff1602ce8191b | 0463fa109106363b4c87c8909bfcc4bf3ce238566173359108b0a5ae5d749be2 |
SWEARJAR | 6488086b07a36a2842df5b5451b3640b | dda98668eda22cf20897960fc8ffc964ae415582 | 2f23224937ac723f58e4036eaf1ee766b95ebcbe5b6a27633b5c0efcd314ce36 |
SWEARJAR | 2e9ae2864d368ed1e6747ba28440ba5c | 8bfd968026b4268ba7d205871e329717aec2def8 | e76e0a692be03fdc5b12483b7e1bd6abd46ad88167cd6b6a88f6185ed58c8841 |
TINYSHELL | 428b47caf74ce986bc3688262355d5b7 | dadb1cc49fa8fa577bb6d09e15639ab54dd46c18 | 0dd4d924c9069992dd7b3e007c0f3ca149b7fb1ce0dfb74b37c7efc6e1aebb46 |
WMIEXEC | dc78c63a267ef5f894e99aa1e6bfe888 | 75c728ec83c65348e51ef1e63915a2415886bc9f | 0e141b51aa20f518a79185f835491eba65998301eff03133a2969510798bc674 |
Técnicas de MITRE ATT&CK
Acciones de Validación de Seguridad de Mandiant
Las organizaciones pueden validar sus controles de seguridad mediante las siguientes acciones con la Validación de Seguridad de Mandiant.
VID | Nombre |
A102-144 | Command and Control - FIN13, DRAWSTRING, C2 Communication |
A104-905 | Host CLI - FIN13, DRAWSTRING, Exclude From Scanning |
A104-906 | Host CLI - FIN13, DRAWSTRING, Using netsh to Allow Communications |
A104-907 | Host CLI - FIN13, Persistence Using Registry Keys |
A104-908 | Host CLI - FIN13, Persistence Using Schedule Tasks |
A102-119 | Malicious File Transfer - FIN13, CLOSEWATCH, Download, Variant #1 |
A102-120 | Malicious File Transfer - FIN13, DRAWSTRING, Download, Variant #1 |
A102-121 | Malicious File Transfer - FIN13, DRAWSTRING, Download, Variant #2 |
A102-122 | Malicious File Transfer - FIN13, GOBOT2, Download |
A102-123 | Malicious File Transfer - FIN13, JSPRAT, Download, Variant #1 |
A102-124 | Malicious File Transfer - FIN13, JSPRAT, Download, Variant #2 |
A102-125 | Malicious File Transfer - FIN13, JSPRAT, Download, Variant #3 |
A102-126 | Malicious File Transfer - FIN13, JSPRAT, Download, Variant #4 |
A102-127 | Malicious File Transfer - FIN13, LATCHKEY, Download |
A102-128 | Malicious File Transfer - FIN13, MAILSLOT, Download |
A102-129 | Malicious File Transfer - FIN13, MIMIKATZ, Download |
A102-130 | Malicious File Transfer - FIN13, NIGHTJAR, Download, Variant #1 |
A102-131 | Malicious File Transfer - FIN13, NIGHTJAR, Download, Variant #2 |
A102-132 | Malicious File Transfer - FIN13, PORTHOLE, Download, Variant #1 |
A102-133 | Malicious File Transfer - FIN13, PORTHOLE, Download, Variant #2 |
A102-134 | Malicious File Transfer - FIN13, SIXPACK, Download |
A102-135 | Malicious File Transfer - FIN13, SPINOFF, Download |
A102-136 | Malicious File Transfer - FIN13, SWEARJAR, Download, Variant #1 |
A102-137 | Malicious File Transfer - FIN13, SWEARJAR, Download, Variant #2 |
A102-138 | Malicious File Transfer - FIN13, SWEARJAR, Download, Variant #3 |
A102-139 | Malicious File Transfer - FIN13, SWEARJAR, Download, Variant #4 |
A102-140 | Malicious File Transfer - FIN13, TINYSHELL, Download |
A102-141 | Malicious File Transfer - FIN13, WMIEXEC, Download |
A102-142 | Malicious File Transfer - HOTLANE (UPX unpacked), Download |
A102-143 | Malicious File Transfer - HOTLANE, Download, UPX Packed |
A104-909 | Protected Theater - FIN13, GOBOT2, Execution |
Agradecimientos
Este blog no hubiera sido posible sin los esfuerzos excepcionales del equipo de respuesta a incidentes de Mandiant Consulting, los analistas de Managed Defense, los sobresalientes investigadores de ingeniería inversa del FLARE, el mago de la detección Evan Reese, Jeremy Kennelly por su experiencia, el equipo de colección de Mandiant Threat Intelligence y todos esos ingenieros no reconocidos de Mandiant los cuales mantienen los engranajes engrasados y girando.
APÉNDICE A: CICLO DE VIDA DEL ATAQUE DIRIGIDO
Reconocimiento inicial: El atacante investiga los sistemas y los empleados de un objetivo y describe una metodología para la intrusión. El atacante puede buscar una infraestructura la cual proporcione acceso remoto a un entorno o investigar a los empleados para atacar con ataques de ingeniería social.
Compromiso inicial: El atacante ejecuta, con éxito, un código malicioso en uno o más sistemas. Esto suele ocurrir como resultado de un ataque de ingeniería social o la explotación de una vulnerabilidad en un sistema conectado a Internet.
Establecer presencia: Inmediatamente después del compromiso inicial, el atacante mantiene un control continuo sobre un sistema recientemente comprometido. El atacante generalmente establece presencia instalando una puerta trasera persistente o descargando utilerías adicionales al sistema comprometido.
Escalación de privilegios: El atacante obtiene más acceso a los sistemas y datos dentro del entorno. Los atacantes a menudo escalan sus privilegios mediante la recolección de credenciales, el registro de pulsaciones de teclas o la subversión de los sistemas de autenticación.
Reconocimiento interno: El atacante explora el entorno de la organización para comprender mejor la infraestructura, el almacenamiento de información de interés y las funciones y responsabilidades de las personas clave.
Movimiento lateral: El atacante utiliza cuentas obtenidas de la fase "Escalación de privilegios" y se mueve lateralmente a los sistemas adicionales dentro del entorno comprometido. Las técnicas comunes de movimiento lateral incluyen el acceso a recursos compartidos de archivos de red, la ejecución remota de comandos o el acceso a sistemas por medio de protocolos de inicio de sesión remotos, como servicios de escritorio remoto (RDS) o shell seguro (SSH).
Mantener presencia: El atacante garantiza el acceso continuo al entorno instalando múltiples variantes de puertas traseras o accediendo a servicios de acceso remoto como la red privada virtual corporativa (VPN).
Completar la misión: El atacante logra los objetivos de la intrusión, como el robo de propiedad intelectual, datos financieros, información sobre fusiones y adquisiciones o información de identificación personal (PII). En otros casos, el objetivo de la misión podría ser una interrupción de los sistemas o servicios o la destrucción de datos en el entorno.