US-CERT ha advertido sobre una sofisticada campaña de ataques usando múltiples implantes de malware y que tiene como blanco organizaciones en la industria de TI, energía, salud, comunicaciones, y el sector manufacturero.

“De acuerdo con un análisis preliminar, los actores amenazantes parecen estar aprovechándose de credenciales administrativas robadas y certificados, seguido de malware sofisticado implantado en sistemas críticos”, dice la alerta.

“Algunas de las víctimas de esta campaña han sido proveedores de servicios de TI, cuyas credenciales comprometidas pudrieron haber dado acceso potencial a entornos de los clientes. Dependiendo de las medidas defensivas aplicadas, el actor de riesgo podría haber ganado acceso total a las redes y datos en una forma que parecería legítima para herramientas de monitoreo.”

Aparentemente, los ataques han sido ejecutados desde mayo de 2016, al menos, y continúan. Las agencias National Cybersecurity y Communications Integration Center (NCCIC) han liberado indicadores de afectación (IOCs) para que las organizaciones puedan revisar sus propias redes y sistemas comprometidos.

Dominios maliciosos conocidos, malware sin archivos

En los archivos del IOC se puede notar que algunos de los dominios posiblemente usados en los ataques pueden estar relacionados con la infraestructura del comando y control (C&C) de Stone Panda (alias APT10 o menuPass). Se cree que el grupo es de origen chino, y al parecer ha estado involucrado en ataques recientes contra blancos surcoreanos, así como también en espionaje contra compañías estadounidenses y varias organizaciones en Japón.

“La suplantación del usuario por medio de credenciales comprometidas es el mecanismo principal usado por el adversario. Sin embargo, una segunda técnica para mantener la persistencia y proveer acceso adicional a la red de la víctima es el uso de implantes de malware dejado en diversos puntos”, apuntó US-CERT .

“En algunas circunstancias, el malware solo ha sido encontrado en la memoria sin dejar evidencia para examinar en el disco. A la fecha los actores han desplegado múltiples familias de malware y variantes, algunas de las cuales no son detectadas por firmas antivirus. El malware observado incluye PlugX/Sogu y Redleaves.

Los indicadores de afectación (IOCs) para variantes del malware PlugX/Sogu y Redleaves usados por el grupo también pueden ser encontrados adjuntos en los documentos IOC del reporte.

“El implante Redleaves consiste de tres partes: un ejecutable, un cargador y un shellcode. El implante Redleaves es una consola de administración remota (RAT) que fue desarrollada en Visual C++ y hace un pesado uso de generación de hilos en tiempo de ejecución durante su ejecución. El implante contiene un número de funciones típicas de los RATs, incluyendo sistemas de enumeración y creando un Shell remoto hacia el C2”, explica US-CERT .

PlugX es un RAT sofisticado operando desde aproximadamente 2012. Es conocido por utilizar DLL del tipo side-loading para evadir antivirus y para mantener la persistencia en el sistema víctima, y es el mismo caso en estas campañas.

NCCIC ha proporcionado una lista comprensible de cómo debería funcionar la mitigación para mantener a los intrusos fuera.