Análisis del actor de amenazas APT34: Principales campañas atribuidas - Part 2
¡Hola, lectores!
Como ya os avanzamos anteriormente, esta investigación está dividida en tres partes, por lo que, a continuación, os presentamos la segunda.
En esta parte del análisis relacionado con el actor de amenazas APT34 se realiza un recorrido por las campañas principales que se han atribuido a lo largo del tiempo a este grupo, con la finalidad de estudiar, posteriormente, posibles variaciones en su trayectoria y examinar sus posibilidades de futuro.
Principales campañas atribuidas a APT34
El grupo de actores APT34 ha protagonizado una multitud de campañas de ciberataques desde el año 2015 que han afectado predominantemente a organizaciones provenientes de países de Oriente Medio y que siguen teniendo lugar en el presente. A continuación, se señalan algunas de las principales campañas que se han vinculado a este grupo:
- Campaña de distribución de la herramienta Helminth
Durante el mes de mayo del año 2016 se descubrió una campaña de ciberataques dirigida contra entidades financieras y organizaciones tecnológicas de Arabia Saudí.
La campaña comenzaba con un mensaje de correo electrónico de phishing en la que los atacantes simulaban que provenía de un servicio técnico legítimo dedicado al soporte y a la resolución de problemas informáticos. Los mensajes de correo electrónico de phishing enviados por APT34 contenían hojas de cálculo de Excel adjuntas con macros maliciosas que serían denominadas ClaySlide y respondían a una doble función: por una parte, al abrirse el documento se mostraba información relacionada con la temática del phishing a modo de señuelo; y, por otra parte, instalaba una variante de la puerta trasera Helminth, un script de VBScript y PowerShell. La puerta trasera era utilizada para recopilar datos e información del dispositivo afectado, tales como información inicial del sistema, cuentas y nombre de usuario, nombre del equipo, tareas en ejecución, si el escritorio remoto se encontraba o no habilitado y los servicios de red. Después se comunicaría con el servidor de comando y control para transmitir a los atacantes la información recogida y recibir instrucciones.
En momentos posteriores también se identificaron nuevas muestras de Helminth que podían ser ejecutadas por el usuario al que se dirigiese el ataque sin necesidad de que fueran incrustadas en un documento señuelo. En este caso la puerta trasera se instalaba junto a un troyano denominado HerHer, que, tras su ejecución, guardaba varios ficheros en el sistema de archivos para instalar Helminth en el dispositivo.
La campaña se mantuvo activa al menos hasta noviembre del año 2016, debido a lo cual APT34 realizó modificaciones sutiles en distintas ocasiones sobre los ficheros malintencionados, con la finalidad de evadir su detección.
- Campaña de distribución de la herramienta POWBAT
Durante el mes de mayo del año 2016 se identificó una campaña de distribución de malware dirigida contra varias entidades bancarias en Oriente Medio.
La campaña comenzaba con la distribución de mensajes de correo electrónico de phishing que utilizaban información relacionada con informes de estado del servidor u otra serie de datos relacionados con el sector de tecnologías de la información como señuelo y simulaban formar parte de conversaciones entre varios empleados de la entidad, en algunos casos aportando detalles de los trabajadores, como su información de contacto. Los mensajes de correo contenían ficheros maliciosos adjuntos, concretamente documentos de Excel con macros habilitadas que terminaban desplegando sobre el sistema el malware POWBAT, una herramienta utilizada para realizar labores de ciberespionaje, dado que permite a los atacantes recopilar información del sistema como el usuario conectado, el nombre del host, datos de red, cuentas de usuarios y grupos, cuentas de administrador local y de dominio y procesos en ejecución, entre otros datos.
Cabe mencionar que en momentos posteriores un documento de Excel malicioso denominado en castellano “Empresas que han sido atacadas.xls” fue subido a un repositorio público de malware por una entidad iraní desconocida con la finalidad de que las empresas iraníes que deseasen conocer si habían sido víctimas de un ciberataque, al tratar de consultar su aparición en el listado, descargasen el documento, de manera que al abrirlo terminarían siendo infectadas con la misma carga útil.
- Campaña relacionada con el perfil falso Mia Ash
Durante el mes de julio del año 2017 se descubrió una campaña dirigida contra Deloitte, una popular consultora tecnológica, a través de la red social de uno de sus empleados.
Para ejecutar con éxito el ataque, APT34 elaboró un perfil falso en Facebook que denominaría “Mia Ash” y que pertenecería a una mujer ficticia. El perfil, que había sido objeto de un profundo desarrollo, había sido creado utilizando las imágenes y la información del perfil de una atractiva fotógrafa rumana. Sin embargo, se trataba de un fraude llevado a cabo por este grupo de actores y que permitió la instalación de un malware dentro de uno de los equipos de Deloitte.
A través del perfil falso de Mia Ash, a partir del mes de julio de 2016 APT34 estableció una relación personal con uno de los empleados de la entidad, gracias a la que obtuvo información sobre su trabajo, como su pertenencia al departamento de ciberseguridad. Con el paso del tiempo, el empleado de Deloitte y el perfil falso de Mia Ash establecieron una relación de confianza, momento en el cual este último solicitó ayuda al primero para desarrollar una página web para su negocio. Tras ello, el perfil falso de Mia Ash consiguió que el empleado abriese un documento malicioso en su equipo de trabajo que contenía un malware denominado PupyRAT, utilizado para labores relacionadas con el robo de credenciales. Tras conseguir la infección, la cual, según manifestó la organización, no alcanzó la red empresarial, en febrero de 2017 Mia Ash desapareció de Facebook definitivamente.
- Campaña de suplantación de la Universidad de Oxford
Durante el mes de enero del año 2017 se identificó una nueva campaña de ciberataques dirigida contra distintas organizaciones en Israel y otros países de Oriente Medio como Turquía, Qatar, Kuwait, Emiratos Árabes Unidos, Arabia Saudí y Líbano. Entre las organizaciones objetivo se encontraban varios proveedores de tecnología, entidades financieras y una oficina de correos israelí.
Para llevar a cabo la campaña APT34 diseñó dos páginas web falsas que simulaban constituir, por un lado, un formulario de inscripción para una conferencia de la Universidad de Oxford y, por otro, un portal de empleo para postular a la misma entidad. En ambos casos las páginas alojaban un tipo de malware que había sido firmado con un certificado válido emitido por Symantec a Al Squared, una organización legítima dedicada al desarrollo de software, con alta probabilidad robado en momentos previos al inicio de la campaña.
Este grupo de actores también desarrolló un portal web VPN falso que era enviado al personal de las organizaciones objetivo mediante un mensaje de correo electrónico que provenía de distintos proveedores de tecnología, cuyas direcciones de correo habían sido comprometidas previamente. El mensaje de correo contenía credenciales de acceso y un enlace malicioso dentro del cual se solicitaba a la persona iniciar sesión con el usuario y contraseña proporcionados. Tras ello, se requería al usuario la instalación de un cliente VPN que contenía software legítimo de Juniper VPN y la puerta trasera Helminth, de manera que en los casos en los que el usuario hubiese aceptado la descarga e instalación del fichero habría instalado en su dispositivo tanto el software legítimo como el malicioso.
- Campaña de suplantación de la Universidad Ben Gurion
Durante el mes de abril del año 2017 se descubrió una campaña dirigida contra la Universidad israelí Ben Gurion, que congrega al Centro de Investigación de Seguridad Cibernética de Israel, así como contra el Ministerio de Salud israelí y otras entidades médicas, tecnológicas y gubernamentales de la región.
La campaña comenzaba con mensajes de correo electrónico de spearphishing enviados desde cuentas de correo de la universidad Ben Gurion de doctores conocidos y que contenían información falsa sobre supuestos currículums, exámenes y planes de vacaciones como señuelo para que el usuario descargase un fichero adjunto malicioso que contenía un exploit y la carga útil, que no en todos los casos perteneció a la misma familia de malware. El contenido del mensaje instaba a los receptores a abrir el archivo adjunto, lo que producía una petición GET directa al servidor de comando y control (C&C) del atacante. En el momento en que el usuario abriese en un dispositivo vulnerable el documento malicioso se produciría la explotación de una vulnerabilidad que afecta a Word y que hasta el momento no había sido parcheada, con identificador CVE-2017-0199, y cuya explotación permitía a los atacantes la descarga y ejecución de scripts de Visual Basic. Adicionalmente, se descargaba directamente un archivo en el dispositivo comprometido que ejecutaba hasta tres cargas útiles diferentes que permitían la creación de archivos, directorios, tareas, recopilar información y eliminar el contenido malicioso en caso de que fuese preciso para evadir la detección. En relación con lo anterior, cabe señalar que algunos investigadores consideraron que la finalidad de la campaña era debilitar la infraestructura de defensa crítica de Israel.
La explotación de una vulnerabilidad, el desarrollo de un exploit y el resto de los aspectos intrínsecos a la campaña hicieron visible un incremento de la complejidad de sus actividades, pues hasta el momento APT34 había sido relacionado con campañas de menor envergadura o sofisticación. Así mismo, el análisis de la campaña reveló que APT34 no solo había modificado los métodos utilizados para llevar a cabo la campaña, sino que en alguna de las cargas útiles se encontró el texto “test5.hta”, circunstancia que hacía sospechar la posibilidad de que el grupo estuviese probando nuevas herramientas e impulsando sus capacidades.
- Campaña de distribución de las herramientas ISMDoor y TwoFace
Durante el mes de julio del año 2017 se identificó una campaña que puso de relieve la capacidad de distintos grupos de actores para operar de manera conjunta. A la actividad de APT34 dirigida contra Oriente Medio se uniría potencialmente un grupo de actores conocido como GreenBug, descubierto durante el mes de enero de 2017.
La campaña fue dirigida contra una entidad tecnológica en Oriente Medio que ya había sido blanco de campañas anteriores de APT34. De hecho, las tácticas, técnicas y procedimientos utilizados en este caso no variaron en exceso con respecto a la campaña de mayo de 2016, dado que también se distribuyeron los característicos documentos ClaySlide como señuelo para entregar malware. La diferencia radicó principalmente en la carga útil, puesto que, en lugar de distribuir la puerta trasera Helminth, en este caso se propagó una variante de ISMDoor, un troyano de robo de información desarrollado por GreenBug y atribuido con consistencia a este grupo, que pasaría a conocerse como ISMAgent. La utilización de una herramienta que había sido vinculada con alta probabilidad a otro grupo hizo sospechar a los investigadores sobre la posibilidad de que los dos grupos estuviesen colaborando u operando de manera conjunta.
La técnica utilizada para llevar a cabo la campaña fue el envío de mensajes de correo electrónico de spearphishing que, en la mayoría de los casos, provenían de usuarios internos de la organización atacada, circunstancia que indica que APT34 realizó una labor previa de compromiso de credenciales. Por su parte, ISMAgent se comunicaba con el servidor de comando y control a través de solicitudes HTTPS y un túnel DNS, presentando bastante parecido con ISMDoor. Desde el servidor de comando y control ISMAgent recibía los comandos que debía introducir en el dispositivo afectado, pudiendo leer archivos y descargarlos.
En adición a lo anterior, durante el mes de julio del año 2017 también se identificó otra campaña relacionada con APT34 y que, según afirmaron los investigadores, llevaba activa desde el mes de junio del año anterior. Este conjunto de ciberataques fue dirigido contra una entidad en Oriente Medio, con la finalidad de acceder a su red en remoto. Para conseguirlo, APT34 desarrolló una webshell conocida como TwoFace que contiene dos componentes: un cargador que se comunica con el servidor del atacante y guarda y carga el malware en el dispositivo comprometido y la propia carga útil, que se encuentra cifrada. El atacante, a través del servidor, envía ciertos datos que permiten al cargador descifrar la carga útil incorporada en TwoFace. La webshell fue utilizada en dos sentidos: por un lado, se implementó con la finalidad de desplegar variantes de Mimikatz, utilizadas para recopilar credenciales de las cuentas conectadas al dispositivo; y, por otro, para realizar movimientos laterales en la red.
- Campaña de distribución de la herramienta ISMInjector
Durante el mes de octubre del año 2017 se detectó un ciberataque dirigido contra una entidad perteneciente al gobierno de los Emiratos Árabes Unidos.
Para llevar a cabo la campaña APT34 desarrolló un nuevo documento de entrega que sería conocido como ThreeDollars, distribuido a través de mensajes de correo electrónico de spear phishing. El correo contenía dos archivos .zip adjuntos, dos documentos de Microsoft Word con macros maliciosas que se ejecutaban cuando el usuario pulsaba la opción “Habilitar contenido”. Una vez la víctima había realizado la acción, la macro ejecutaba un comando de Powershell que instalaba el malware ISMInjector en el dispositivo, un troyano que, a su vez, inyectaba la carga útil final en el sistema comprometido, una variante de ISMAgent.
- Campaña de distribución de la herramienta ALMA Communicator
Durante el mes de noviembre del año 2017 se identificó una campaña de ciberataques dirigida contra una organización del sector público en Oriente Medio.
La campaña comenzaba, al igual que había sucedido durante el transcurso de actividades anteriores, con la distribución de un mensaje de correo electrónico de phishing que contenía documentos ClaySlide con los que APT34 trataba de propagar un nuevo tipo de malware denominado ALMA Communicator. En este caso el actor actualizó el documento señuelo con la finalidad de evadir la detección, de manera que añadió una función de “Habilitar contenido” que, al ser accionada por el usuario, ejecutaba una macro maliciosa que al mismo tiempo que exponía una hoja con contenido de señuelo también ejecutaba un script de VBScript que instalaba el malware en el dispositivo afectado.
ALMA Communicator es un troyano con capacidades de puerta trasera que emplea túneles DNS tanto para recibir comandos del atacante como para filtrar información. Sin embargo, la capacidad de transferencia de datos de esta herramienta está limitada, pudiendo enviar solamente 10 bytes por cada solicitud, debido a lo cual APT34 también incluyó el malware Mimikatz en el documento ClaySlide, que fue utilizado durante la campaña para recopilar credenciales de inicio de sesión del sistema comprometido.
- Campaña de distribución de las herramientas POWRUNER Y BONDUPDATER
Durante el mes de diciembre del año 2017 se detectó una campaña de ciberespionaje dirigida contra una organización gubernamental de Oriente Medio.
La campaña comenzaba con la distribución de un mensaje de correo electrónico de phishing que contenía un documento .rtf malicioso que explotaba una vulnerabilidad en Microsoft Office a la que se asignó el identificador CVE-2017-11882, la cual permite a los posibles atacantes la ejecución de código arbitrario en remoto y en el contexto del usuario actual, a consecuencia de un manejo inadecuado de los objetos en la memoria. La vulnerabilidad, aunque fue corregida por el fabricante, dispone de prueba de concepto (PoC) pública, lo que facilita su explotación.
Una vez se explotó con éxito la vulnerabilidad, APT34 desplegó sobre los dispositivos afectados las herramientas de malware POWRUNER Y BONDUPDATER. La primera de ellas es un script de PowerShell que actúa a modo de puerta trasera para enviar y recibir comandos del servidor de comando y control y la segunda es un script que genera subdominios para la comunicación con el servidor. POWRUNER, además, es capaz de recopilar información del sistema como el usuario actual, el nombre del equipo, los datos de configuración de red, conexiones activas, información sobre procesos y cuentas de administrador locales y de dominio, entre otros datos.
- Campaña de distribución de las herramientas RGDoor y OopsIE!
Durante el mes de enero del año 2018 se observó una campaña de distribución de malware dirigida contra distintas organizaciones gubernamentales en Oriente Medio, una entidad financiera y una institución educativa.
APT34 en este caso aprovechó la interfaz web de TwoFace para desplegar RGDoor sobre un servidor web IIS. RGDoor es una puerta trasera que estaba siendo instalada en los dispositivos con la finalidad de mantener o recuperar el acceso al servidor comprometido en caso de que se eliminase la webshell. Esta puerta trasera también proporcionaba a los atacantes la posibilidad de cargar y descargar archivos en el servidor y ejecutar comandos.
Adicionalmente, durante el mes de enero del año 2018 se advirtió otra campaña de distribución de malware llevada a cabo por APT34. En este caso los ciberataques habían sido dirigidos contra una entidad aseguradora y una organización financiera, ambas ubicadas en Oriente Medio.
En los dos casos APT34 emitió mensajes de correo electrónico de spearphishing para entregar el malware, si bien se utilizaron dos técnicas distintas: para asegurar la infección de la entidad aseguradora la carga útil fue incrustada dentro de un documento malicioso ThreeDollars, mientras que para introducirse dentro de la organización financiera se entregó el malware a través de un enlace malicioso. En ambos casos la finalidad era distribuir el malware OopsIE, un troyano que genera persistencia a través de tareas programadas y se comunica con el servidor de comando y control mediante peticiones HTTP, desde donde recibe comandos para ejecutar en el sistema afectado y órdenes para cargar o descargar archivos.
- Campaña de distribución de la herramienta QUADAGENT
Durante los meses de mayo y junio de 2018 se detectaron varias oleadas de ciberataques dirigidas contra un proveedor de servicios tecnológicos y una entidad gubernamental en Oriente Medio.
Para llevar a cabo la campaña APT34 utilizó credenciales que habían sido comprometidas en ataques anteriores pertenecientes a una entidad gubernamental del mismo país, de manera que los mensajes de correo electrónico de spearphishing parecían provenir de un emisor legítimo.
La finalidad de estas oleadas de ciberataques consistía en desplegar sobre los objetivos avistados el malware QUADAGENT, una puerta trasera basada en scripts de PowerShell comúnmente atribuida a APT34. Estos scripts fueron aglomerados en un archivo ejecutable portátil (PE) que, al igual que en campañas anteriores, fue distribuido a través de documentos con macros maliciosas adjuntos a los mensajes de correo.
En el momento en que el usuario descargase y ejecutase el documento malicioso, QUADAGENT se instalaba en el dispositivo sin que apareciese contenido de señuelo, si bien en algunos casos se mostraba a la víctima del ataque un cuadro de diálogo de error con el objetivo de evitar sospechas. Adicionalmente, se desplegaba también un archivo VBScript que proporcionaba soporte a la tarea de ejecución del malware y se generaba una tarea programada que proporcionaba persistencia a la herramienta. QUADAGENT se comunicaba con un servidor de comando y control a través de peticiones HTTPS o, en su defecto, peticiones HTTP o túnel DNS, transmitiendo datos específicos del sistema afectado y recibiendo comandos de los atacantes.
- Campaña de distribución de la herramienta BONDUPDATER
Durante el mes de agosto del año 2018 se descubrió una campaña de distribución de malware dirigida contra varias entidades gubernamentales de Oriente Medio que tenía como objetivo obtener información sobre la inteligencia militar y geopolítica de estos países.
Al igual que anteriormente, APT34 envió a una serie de destinatarios concretos, empleados de las oficinas del gobierno, mensajes de correo electrónico de spearphishing con documentos adjuntos que contenían macros maliciosas. En este caso la macro trataba de instalar en el dispositivo afectado una versión nueva del malware BONDUPDATER, un troyano que ya había sido distribuido en campañas anteriores y que emplea el túnel DNS para comunicarse con el servidor de comando y control. La herramienta fue actualizada con un archivo de bloqueo que impedía que se pudiese ejecutar más de una instancia de BONDUPDATER simultáneamente y se le añadió la capacidad de crear carpetas para almacenar los archivos que recibiese del servidor y enviar los que obtuviese del sistema comprometido. Gracias al despliegue del malware incrustado en los archivos maliciosos APT34 recopilaba credenciales de empleados de los diferentes organismos del gobierno y obtenía, de esta manera, pleno acceso a la información gubernamental.
- Campaña xHunt - Distribución de las herramientas Sakabota, Hisoka, Netero y Killua
Durante los meses de mayo y junio del año 2019 se identificó una campaña de distribución de malware dirigida contra una empresa de transportes y paquetería con sede en Kuwait.
Si bien los investigadores no pudieron descubrir cuál fue el método utilizado por los atacantes para lograr la infección, determinaron que se había implementado el malware Hisoka, una puerta trasera que proporciona control a los atacantes sobre el dispositivo comprometido y con los que se puede comunicar a través de un servidor de comando y control que utiliza túneles HTTP o DNS, así como servicios web de Exchange (EWS) que permitían a los atacantes la utilización de cuentas legítimas para comunicarse con el malware. Adicionalmente, para evadir la detección, las comunicaciones se realizaban mediante borradores de correo electrónico, de manera que no se identificaron correos entrantes ni salientes.
Después de que el actor consiguiese introducirse en el sistema con Hisoka, implementó otras dos herramientas, la primera de ellas denominada Gon, que busca puertos abiertos en sistemas remotos y tiene funcionalidades para cargar y descargar archivos, ejecutar comandos, crear sesiones de RDP (Remote Desktop Protocol), tomar capturas de pantalla y buscar otros dispositivos en la red; y la segunda conocida como EYE, que elimina los procesos creados por el actor y otros artefactos que puedan servir para identificarlo mientras se encuentra conectado al dispositivo mediante RDP.
Posteriormente se identificó una nueva infección en otra organización del mismo sector en Kuwait en la que también se había instalado Hisoka. En este caso se observó que un archivo era transferido a otros sistemas a través del protocolo SMB (Server Message Block). El archivo mencionado, que sería denominado Killua, constituía una puerta trasera que permitía al actor ejecutar comandos desde un servidor de comando y control a través de un túnel DNS. Una vez analizada la similitud entre los dos códigos, se determinó que la herramienta Killua probablemente había sido concebida como actualización de Hisoka. En tal sentido, el grupo de actores actualizó Hisoka eliminando algunas de sus funciones, que habrían sido transferidas a una nueva herramienta denominada Netero, desarrollada con la finalidad de evadir la detección, de manera que Netero solo se ejecutaría cuando Hisoka necesitase realizar esas funcionalidades en concreto.
Durante el transcurso del análisis los investigadores identificaron una campaña anterior, llevada a cabo a finales del año 2018, en la que se había distribuido el malware Sakabota, que fue considerado como la herramienta predecesora de Hisoka y el resto de las puertas traseras utilizadas en el marco de la campaña de mediados de 2019, dado que existían similitudes significativas en el código de todas ellas.
Esta campaña pasó a denominarse xHunt debido a que el actor nombró a varias de sus puertas traseras utilizando los nombres de personajes de la serie de anime Hunter x Hunter. Cabe mencionar, además, que, teniendo en cuenta que los objetivos de la campaña estaban geolocalizados en Oriente Medio y que la infraestructura utilizada mostraba similitudes con la de APT34, los investigadores consideraron que la campaña podía haber sido llevada a cabo por este grupo de actores, si bien la atribución no está constatada por completo.
- Campaña Hard Pass – Distribución de las herramientas Tonedeaf, Longwatch, Pickpocket y Valuevault
Durante los meses de junio y julio del año 2019 varios investigadores identificaron una campaña de distribución de malware en la que se había utilizado la red profesional LinkedIn y distintas plataformas sociales como vector de ataque. APT34 creó y alimentó perfiles falsos que simulaban pertenecer a profesores de educación superior para contactar con los objetivos potenciales del ataque y dotar de fiabilidad a los mensajes distribuidos, correos electrónicos de spearphishing en los que se insertaba la carga útil que el grupo de actores pretendía desplegar.
La campaña, que sería conocida como Hard Pass, estaba dirigida específicamente contra el sector energético, el petróleo y el gas, así como contra servicios públicos, entidades gubernamentales y pertenecientes al sector de las telecomunicaciones. Su objetivo era debilitar algunas de las infraestructuras críticas más importantes de Oriente Medio y el Norte de África.
Para atraer a los potenciales objetivos se utilizaban dominios de comando y control que suplantaban a la Universidad de Cambridge o a empresas de gestión de datos. En estos dominios se creaban falsas ofertas de trabajo y falsas encuestas de empleo como método de atracción. Las direcciones URL fraudulentas eran distribuidas a través de las plataformas sociales o del correo electrónico, haciendo que los usuarios se descargasen un archivo .zip que incluía el contenido malicioso.
Durante el transcurso de esta campaña fueron detectadas varias familias de malware diseñadas para robar credenciales de los dispositivos comprometidos, entre las que destacan TONEDEAF, una puerta trasera que se comunica con servidores de comando y control integrados mediante peticiones HTTP o túneles DNS para recolectar información del sistema; LONGWATCH, un keylogger que registra las pulsaciones que se hacen en el teclado en un archivo log.txt en la carpeta temporal de Windows; PICKPOCKET, una herramienta de robo de credenciales que recopila las credenciales del sitio web del usuario desde navegadores Chome, Firefox e Internet Explorer; y VALUEVAULT, una herramienta de robo de credenciales que recopila las credenciales almacenadas en Windows a través del historial de navegación.
- Campaña de distribución de la herramienta ZeroCleare
A mediados del año 2019 se identificó una campaña de distribución de malware dirigida contra los sectores energético e industrial en Oriente Medio.
La campaña, que se remonta al otoño del año anterior, fue llevada a cabo por APT34 con la finalidad de distribuir un malware denominado ZeroCleare, que contiene similitudes con Shamoon. ZeroCleare es un malware con capacidades destructivas que puede borrar los datos del disco duro. El despliegue de la herramienta se consiguió gracias a un ciberataque previo, iniciado en el segundo semestre del año 2018, en el que se realizaron escaneos a las redes de destino y durante el cual este grupo de actores realizó ataques de fuerza bruta para recopilar credenciales de acceso a los sistemas de las entidades objetivo. Adicionalmente, APT34 explotó una vulnerabilidad en SharePoint con el objetivo de instalar webshells como China Chopper y Tunna. Después de introducirse en los sistemas de la organización, APT34 efectuó movimientos laterales dentro de las redes comprometidas para obtener acceso a un número elevado de dispositivos en los que posteriormente desplegaría el malware ZeroCleare, que podía ser utilizado tanto para ocultar la intrusión, gracias a su capacidad para borrar evidencias que pudiesen ser examinadas en un análisis forense, como para menoscabar la actividad habitual de la entidad en la que se hubiera desplegado.
- Campaña de distribución de las herramientas Tonedeaf 2.0. y Valuevault 2.0
A finales del mes de enero del año 2020 se identificó una campaña dirigida contra empleados de Westat, una organización que presta servicios de investigación a entidades gubernamentales estatales, así como contra las compañías que contratasen sus servicios. Westat ofrece, entre otras soluciones y servicios, encuestas dirigidas hacia empleados federales. Durante el transcurso de esta campaña se detectó un cambio sustancial en los objetivos perseguidos por APT34, que pasó de atacar a entidades de Oriente Medio a atacar a Estados Unidos, lo que permite correlacionar este acontecimiento con el contexto geopolítico de Irán, teniendo en cuenta las vinculaciones del actor al estado iraní y las tensiones existentes entre ambas naciones a consecuencia de la transgresión del acuerdo nuclear y el más que reciente asesinato de Qasem Soleimani en Irak, además de la imposición constante de sanciones internacionales sobre Irán.
Una vez se descubrió el vector de acceso inicial para proceder a la infección, los investigadores consideraron que el ataque había sido dirigido específicamente hacia los clientes de Westat, dado que el archivo malicioso “survey.xls”, que contenía el logo y el nombre de Westat, simulaba constituir una encuesta de satisfacción dirigida tanto hacia los empleados de la organización como a sus clientes. Esta campaña de phishing había sido diseñada para que los usuarios, confiando en la legitimidad y autoridad de Westat, procediesen a la apertura del documento ofimático anterior, el cual contenía macros maliciosas que eran ejecutadas tanto si se encontraban habilitadas de manera predeterminada como si los usuarios permitían manualmente su ejecución al visualizar el aviso correspondiente. Además, para propiciar la ejecución de las macros, la hoja de cálculo era inicialmente mostrada sin contenido, de modo que debían ser habilitadas para que se mostrase la encuesta al usuario. Una vez se realizaba el paso anterior se desplegaba sobre el equipo una nueva versión de la herramienta de malware Tonedeaf, que sería posteriormente conocida como Tonedeaf 2.0. Este malware había sido diseñado para actuar a modo de puerta trasera, de modo que permitía la comunicación con el servidor de comando y control (C&C) mediante la utilización del protocolo HTTP y era utilizado para recopilar y enviar información sensible a los atacantes, al mismo tiempo que había sido configurado para ejecutar comandos, permitir la carga de archivos y desplegar la familia de malware Valuevault como carga útil final, la cual, a su vez, era empleada para recopilar credenciales obtenidas directamente desde el navegador. La nueva versión de Tonedeaf habría sido diseñada para actuar con un nivel mayor de sigilo con respecto a su antecesora, con mecanismos aumentados para evadir la detección al almacenar cierta información como cadenas codificadas e incorporando además nuevas capacidades que le permitirían la ejecución de webshell, al mismo tiempo que eliminaba la función de ejecución de comandos predefinidos. Así mismo, la versión 2.0 de la herramienta Valuevault también habría sido actualizada, si bien en este caso lo habría hecho reduciendo la amplitud de funcionalidades disponibles, con la finalidad, al igual que Tonedeaf, de evadir la detección e incrementar su capacidad de sigilo.
- Campaña Fox Kitten – Distribución de las herramientas ZeroCleare y Dustman
Durante el mes de febrero del año 2020 varios investigadores identificaron una campaña dirigida contra organizaciones relevantes de los sectores de las tecnologías de la información, telecomunicaciones, petróleo y gas, aviación, gobierno y seguridad que llevaba tres años activa. La campaña, que sería conocida como Fox Kitten, tendría afectación a nivel global pero más específicamente sobre organizaciones israelíes.
La campaña alcanzó una gran envergadura debido a la acción conjunta de APT34 y Elfin, también conocido como APT33. Su finalidad fue la realización de labores de reconocimiento y ciberespionaje, para lo cual los actores desarrollaron a lo largo de los tres años sobre los que se prolongó la campaña una infraestructura de acceso persistente y de desarrollo complejo. Adicionalmente, se desplegaron sobre las organizaciones objetivo varias herramientas de malware destructivo, como ZeroCleare y Dustman, diseñadas para efectuar acciones relacionadas con el robo de información.
En este caso los actores explotaron varias vulnerabilidades recientemente descubiertas en distintos servicios VPN (Pulse Secure VPN, Fortinet VPN y Global Protect) para introducirse en los dispositivos elegidos por ambos grupos como destino. Una vez pudieron introducirse en las redes objetivo, desplegaron distintas herramientas que permitían el acceso a los equipos en remoto y permitían la comunicación con el servidor y la escalada de privilegios. Adicionalmente, garantizaban la persistencia de la infección con la utilización del protocolo RPD y el empleo de túneles SSH. Finalmente, los atacantes desplegaron herramientas dedicadas al robo de información sensible de las entidades seleccionadas. Los datos y la información recopilada fueron transmitidos a los atacantes para realizar labores de reconocimiento, ciberespionaje o, incluso, para profundizar en la infección de las redes comprometidas.
- Campaña de distribución de la herramienta SideTwist
A principios del mes de abril del año 2021 el actor de amenazas APT34 sería descubierto empleando una nueva herramienta de malware contra un objetivo libanés. El malware empleado en este caso, al que se apodaría con el nombre SideTwist, constituye una puerta trasera que fue entregada a entidades en el Líbano con vectores de infección inicial no confirmados, por lo cual el análisis de la campaña comenzó con la subida a la plataforma VirusTotal de un documento procedente de la nación libanesa en la que se utilizaban como señuelo ofertas de empleo, una de las tácticas habituales empleadas por APT34 para la entrega de la carga útil.
En este caso, el malware SideTwist era desplegado en los sistemas objetivo mediante la apertura de un documento ofimático de Word especialmente diseñado denominado “Job-Details.doc”, el cual informaba aparentemente sobre varias ofertas de empleo referentes a la consultora Ntiva, originaria del estado de Virginia, en Estados Unidos. Sin embargo, al igual que ocurría en otras campañas efectuadas por este actor de amenazas, el documento incorporaba macros maliciosas que, de ser habilitadas, desencadenaban el despliegue de la carga útil. Además, desde el momento en el que se ejecutaban las macros, se establecía una comunicación con el atacante mediante la cual se le informaba en todo momento del estado y etapa de compromiso, al mismo tiempo que se le enviaba cierta información referente al sistema objetivo (nombre del usuario, del equipo y del dominio objetivo). Por su parte, SideTwist actuaba a modo de carga útil de segunda etapa, configurada con la finalidad de cargar y descargar archivos y ejecutar webshell. Si bien SideTwist no cuenta con mecanismos de persistencia, ésta era garantizada durante la primera fase de la infección, al registrar una tarea programada que ejecutaba SideTwist cada vez que transcurrían cinco minutos.
- Campaña de intrusiones en servidores Microsoft Exchange
A finales del mes de julio del año 2021 se detectó una intrusión prolongada dirigida a organizaciones expuestas a CVE-2020-0688, una vulnerabilidad que afectaba a los servidores Microsoft Exchange y permitía la ejecución de código en remoto a los atacantes debido a un manejo incorrecto de los objetos en la memoria.
Esta campaña, que fue presuntamente atribuida al grupo de actores APT34, habría estado activa hasta el mes de abril de 2021, tras el cual habría acontecido un periodo de inactividad que se habría reanudado desde junio de ese mismo año. Tras explotar la vulnerabilidad anterior, los atacantes habrían instalado una webshell de escasa complejidad destinada a procurar la ejecución de comandos y la carga de archivos en servidores de Microsoft Exchange empresariales. Posteriormente, el grupo de atacantes habría descargado y extraído las credenciales almacenadas en el servidor de la autoridad de certificación de la entidad y de un controlador de dominio mediante el empleo de herramientas como Mimikatz y otras nativas del sistema.
- Campaña de distribución de las herramientas SLINGRING y WEBPIPE
Durante el mes de octubre del año 2021 se dio a conocer una campaña de ciberespionaje dirigida contra el sector de las telecomunicaciones en Oriente Medio en la que se utilizaban dos nuevas familias de malware denominadas SLINGRING y WEBPIPE, así como distintas herramientas públicas empleadas en campañas anteriores como Mimikatz. Cabe señalar, además, que las entidades concretas a las que se dirigió el ciberataque ya habían constituido el foco de campañas anteriores de APT34 y de otros actores de amenazas de origen iraní, circunstancia que pone de manifiesto el especial interés tanto de este actor de amenazas como del conjunto de las entidades gubernamentales de la nación sobre la información circundante al sector.
Tanto la puerta trasera WEBPIPE como la familia SLINGRING y el resto de las herramientas empleadas en el transcurso de este ciberataque fueron utilizadas para realizar actividades de reconocimiento interno, recolección de credenciales e información sensible y movimientos laterales. Además, se detectaron algunas técnicas empleadas en campañas anteriores atribuidas a este grupo, como la utilización de credenciales robadas para introducirse en servicios de escritorio remoto, la creación de tareas programadas para desplegar la carga útil o la utilización de PowerShell para realizar labores de reconocimiento, monitoreo y ejecución de comandos.
- Campaña de distribución de las herramientas HOTBREW y SUGARPEAK
Durante el mes de marzo del año 2022 se detectó, continuando la tendencia manifestada en la campaña anterior, que el actor de amenazas APT34 mantenía su predilección por los objetivos del sector de las telecomunicaciones en Oriente Medio. En este caso la campaña llevaba activa desde principios de año y concluía con el despliegue de las nuevas familias de malware .NET conocidas como HOTBREW y SUGARPEAK, que eran distribuidas a través de LinkedIn utilizando falsas ofertas de empleo como señuelo para que los empleados de organizaciones del sector descargasen y ejecutasen un archivo especialmente diseñado adjunto a una conversación efectuada a través de la red social.
Con la finalidad de garantizar la persistencia en los sistemas, la herramienta SUGARPEAK desplegaba varias muestras de la puerta trasera HOTBREW sobre el dispositivo afectado, de modo que, aunque se identificase una de ellas, el resto permaneciese activo; al mismo tiempo, hacía uso de las tareas programadas. Por su parte, la puerta trasera HOTBREW era utilizada para comunicarse con el servidor de comando y control, recopilando y enviando toda la información que pudiese obtener desde el sistema afectado por la infección, como los datos del hardware del sistema, la información de red, procesos y servicios e información de usuarios.
- Campaña de distribución de la herramienta SAITAMA
Durante el mes de junio del año 2022 se identificó una campaña de ciberataques efectuada por el actor de amenazas APT34 durante al menos los dos meses precedentes y dirigida contra organizaciones gubernamentales en Jordania y Baréin en la que se habría desplegado una puerta trasera escrita en .NET denominada SAITAMA.
Al igual que en la mayor parte de las campañas atribuidas a APT34, el proceso de compromiso comenzaba con la distribución de mensajes de correo de spearphishing que en este caso fueron enviados durante el mes de abril a entidades en Jordania. En el mensaje se incorporaba un documento que contenía macros maliciosas que al ser habilitadas desplegarían la carga útil SAITAMA al mismo tiempo que se establecía persistencia sobre el sistema. Por su parte, SAITAMA se comunica con el servidor de comando y control mediante el uso de túneles DNS y permite realizar ejecución de comandos, transferencia de archivos y funciones de recopilación de información del sistema.
Días más tarde se publicó el mensaje de correo en un repositorio público de malware, gracias a lo cual se pudo descubrir que el fichero malicioso, denominado "Confirmation Receive Document”, desplegaba no solo la carga útil sino también un archivo de configuración y una biblioteca de soporte de Exchange Web Services (EWS).
