BEC and EAC

Un nuevo grupo de amenazas utiliza señuelos en español para distribuir Bandook, un mal malware poco habitual

Hallazgos principales

  • Los investigadores de Proofpoint identificaron un nuevo grupo, TA2721, que distribuía amenazas por correo electrónico en español.
  • El grupo suele dirigir sus ataques a personas con apellidos en español que trabajan en multinacionales de una amplia variedad de sectores.
  • La cadena de infección incluye un PDF que contiene una URL que lleva a un archivo RAR cifrado que instala el malware Bandook.
  • Los ciberdelincuentes suelen utilizar la misma infraestructura de mando y control durante semanas o meses cada vez. Proofpoint solo ha observado tres dominios de mando y control distintos en los últimos seis meses.
  • Bandook es un malware antiguo que no utilizan muchos ciberdelincuentes.

Descripción general

Los investigadores de Proofpoint identificaron un grupo de amenazas muy activo, TA2721, al que también se refieren los investigadores de manera coloquial como Caliente Bandits. El grupo dirige sus ataques contra múltiples sectores que van del financiero al del entretenimiento. El grupo utiliza señuelos en español para distribuir un conocido (aunque poco utilizado) troyano de acceso remoto (RAT) llamado Bandook. Los investigadores apodaron al grupo con el nombre Caliente Bandits por el uso de cuentas de correo electrónico de Hotmail, (“hot” significa “caliente” en español).

El seguimiento del grupo comenzó en enero de 2021 y los investigadores observaron que distribuía amenazas por correo electrónico con Bandook todas las semanas desde abril. Las campañas eran de bajo volumen, con menos de 300 mensajes por campaña. Las amenazas van dirigidas contra empresas de todo el mundo, pero los ciberdelincuentes se centran principalmente en los empleados con apellidos en español. La empresa de ciberseguridad ESET fue la primera en publicar detalles del malware utilizado por este grupo.

Detalles de las campañas

TA2721 utiliza el mismo tipo de señuelos relacionados con presupuestos o pagos en sus campañas para conseguir que el usuario descargue un PDF.

Figura 1: Ejemplo de mensaje disfrazado de propuesta de cotización/presupuesto.

El PDF adjunto contiene una URL y una contraseña incrustadas que, al hacer clic en ella, genera la descarga de un ejecutable comprimido protegido mediante contraseña que contiene Bandook.

 

Graphical user interface, application

Description automatically generated 

Figura 2: PDF que contiene un enlace malicioso y una contraseña que da lugar a la descarga de Bandook.

Los investigadores de Proofpoint observaron al grupo TA2721 enviando campañas de pequeño volumen contra menos de 100 organizaciones al mismo tiempo desde enero de 2021. Los objetivos incluían empresas de los sectores de la fabricación, automoción, alimentos y bebidas, entretenimiento y medios de comunicación, banca, seguros y agricultura. Estas organizaciones, tanto multinacionales como pequeñas empresas, estaba ubicadas en EE. UU., Europa y Suramérica. Solo un reducido grupo de personas de cada organización era víctima del ataque, y la mayoría tenían apellidos en español, como Pérez, Castillo, Ortiz, etc.

La selección de objetivos sugiere que TA2721 realiza acciones de reconocimiento y planificación del ataque para obtener datos de empleados e información de contacto. El grupo parece dirigir los ataques contra hispanohablantes, lo que aumenta la probabilidad de que el ataque tenga éxito.

Entrega e instalación

Los investigadores de Proofpoint han observado a este grupo distribuyendo dos variantes de Bandook distintas. Bandook es un malware comercial, pero las tácticas utilizadas en las campañas demuestran algunos intentos de eludir la detección y de añadir esfuerzos suplementarios para el atacante. La protección mediante contraseñas del archivo malicioso es una forma sencilla de complicar la detección a los productos de análisis automáticos, y el uso específico de apellidos en español junto con el reducido número de objetivos sugiere que el grupo había realizado labores de reconocimiento antes de lanzar las campañas.

Casi todas las campañas observadas contenían archivos PDF adjuntos con enlaces para la descarga de Bandook; sin embargo en una campaña de junio, el grupo empezó a utilizar URL directamente en el mensaje.

TA2721 envía mensajes en español en los que se hace pasar por empresas ubicadas en Suramérica, por lo general en Venezuela, y México. Los mensajes se envían desde direcciones de correo electrónico de Hotmail o Gmail. Los asuntos y nombres de archivo contienen por lo general los términos “PRESUPUESTO”, “COTIZACION”, y “rcibo de pago”.

El grupo suele utilizar la misma infraestructura de mando y control durante semanas o meses cada vez. Por ejemplo:

  • “s1[.]megawoc[.]com” se utilizó en enero.
  • “d1[.]ngobmc[.]com” se utilizó entre marzo y junio.
  • “r1[.]panjo[.]club” se utilizó desde junio.

Las URL observadas de enero a junio de 2021 utilizaban URL abreviadas como enlaces de bit[.]ly y rebrand[.]ly. Estos enlaces redirigen a spideroak[.]com, una plataforma empresarial de intercambio de archivos de seguridad. Las URL llevan a la descarga de una contraseña de un archivo RAR protegido mediante contraseña que instala Bandook.

Análisis del malware

Bandook es un troyano de acceso remoto (RAR) disponible comercialmente escrito en Delphi y que se ha observado en circulación al menos desde 2007. Los investigadores han publicado detalles sobre múltiples variantes disponibles de forma generalizada. Bandook puede capturar vídeos, audio, pulsaciones de teclado y capturas de pantalla en el host, y puede utilizarse en operaciones de recopilación de información. 

A pesar de su disponibilidad y antigüedad de uso, Proofpoint no ha observado a ningún otro grupo que en la actualidad utilice este malware. De hecho, desde 2015, Proofpoint ha observado unas 40 campañas que distribuían este malware, y solo las campañas del grupo TA2721 en 2021 protagonizaron el 50 % de la actividad observada. Según la wiki de malware de MITRE ATT&CK, Bandook no se utiliza de forma generalizada.

A continuación se incluye un ejemplo de una cadena de ataque de TA2721 con la muestra identificada:

Subject: COMPROBANTE DE PAGO LOGSITICA CARACAS CA 

Sender: logvenccs@doca-safety[.]com 

Attachment: comprobante de pago corporacion alfeca, c.a..pdf 

PDF: 5eaa1f5305f4c25292dff29257cd3e14ba3f956f6f8ddb206c0ee3e09af8244e 

Bandook: 561cb93118fef1966a3233ae7ffd31017823dd5aaad5dc1b2542e717055c197a 

Text

Description automatically generated

Figura 3: Cadena de ataque de TA2721.

El mensaje contiene un archivo adjunto PDF. Una URL dentro del PDF lleva a un archivo RAR protegido mediante contraseña. La contraseña del archivo RAR se encuentra en el PDF inicial (123456). Aunque los ciberdelincuentes han cambiado de acortadores de URL y dominio de mando y control, la contraseña del archivo comprimido sigue siendo la misma en cada campaña.

Graphical user interface, application, Word

Description automatically generated 

Figura 4: PDF que contiene un enlace al malware alojado en el servicio de intercambio de archivos SpiderOak.

El mensaje contiene la siguiente URL:

hxxps[:]//bit[.]ly/bcomprob-sbaa1

Que lleva a:

hxxps[:]//spideroak[.]com/storage/OVPXG4DJMRSXE33BNNPWC5LUN5PTMNBSHE2TM/shared/1764556-1-1104/COMPROBANTE[.]rar?e22cde1331099985a6339fac899e3ebe 

Y descarga COMPROBANTE.rar con el siguiente hash:

39ce7b1e2dc1d4fe3bee24a9be8bea52bcb9028b50090731e5fff586106c264f 

El archivo extraído contiene el siguiente ejecutable de Bandook:

Filename: COMPROBANTE.exe 

Hash: 561cb93118fef1966a3233ae7ffd31017823dd5aaad5dc1b2542e717055c197a 

El ejecutable se comprime varias veces (por ejemplo, UPX). Las cadenas utilizan codificación Base64 y están cifradas, lo que complica la ingeniería inversa. Al ejecutarlo, crea un nuevo proceso de Internet Explorer (iexplore.exe) e inyecta la payload (carga útil) de Bandook en él. Este proceso se conoce como vaciado del proceso

Bandook mantiene la persistencia creando una copia de sí mismo y añadiendo una entrada que ejecuta las claves en el Registro de Microsoft que dirige a la copia que se cargará cada vez que se conecte un usuario.

Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\xxhgjyljicoftqsffwxx 

Datos: C:\Users\[user]\AppData\Roaming\xxhgjyljicoftqsffwxx\xxhgjyljicoftqsffwxx.exe 

La versión de Bandook que utiliza Caliente Bandits es similar a la que notificó Checkpoint en noviembre de 2020. Las muestras identificadas también utilizan cifrado AES en modo CFB (unidad de cifrado por bloques) para la comunicación de mando y control (C2) mediante el uso de una clave codificada, y un vector de inicialización (IV), que no forma parte de las versiones de Bandook disponibles de forma generalizada.

Configuración de Bandook

  • Servidor de mando y control principal: r3[.]panjo[.]club:7893
  • Servidor de mando y control de respaldo: hxxp[:]//ladvsa[.]club/Hayauaia/
  • Clave AES_CFB: HuZ82K83ad392jVBhr2Au383Pud82AuF
  • Vector de inicialización AES_CFB 0123456789123456

Por el momento, Proofpoint solo ha observado una clave AES codificada y valor IV utilizado por Caliente Bandits.

La payload conecta el servidor de mando y control a través de TCP y le envía información básica con cifrado AES sobre la máquina infectada. Hay un dominio de mando y control y un puerto principales, pero también al menos un servidor de mando y control de respaldo.

Ejemplo de comunicación de mando y control:

Se envía un TCP Beacon r3[.]panjo[.]club:7893.

NI3B/VGNQOWJuJcQAnbGe/G61uhAy4GYmdnmFINKBGqWguDaTfoBUpvbIU+eXfiFOuOFhoFBB082Csj3qSZuKOG4HeBWO28K85yCos0NNYOuORGHxypQL8iOeqyfX7q9ZpaXRjw78bch6bsfFLdfc2t/QOy6lrxIS5BCNrmv8g==&&& 

Nota de los analistas: el tráfico con cifrado AES lleva siempre el sufijo "&&&".

El TCP Beacon cifrado que se envió a r3[.]panjo[.]club:7893.

!O12HYV~!22535~!192.168.0.107~!XTWGHENV~!dwrsApXT~!Seven~!0d 3h 24m~!0~!5.2~!JN2021~!0~!0~!0~!0~!~!0~!0--~!None~!0~!21/6/2021~! 

El TCP Beacon codificado y cifrado se parece a la comunicación de mando y control de Bandook observada previamente en incidentes comunicados. Se agregan varios elementos de información básica del sistema con "~!" como delimitador.

Valor 

Propósito

O12HYV 

Desconocido, posiblemente el ID de la única víctima

22535 

Desconocido, posible valor del Registro definido para persistencia

192[.]168[.]0[.]107 

Dirección IP de la máquina infectada

XTWGHENV 

Nombre del equipo

dwrsApXT 

Nombre de usuario

Seven 

Sistema operativo (Windows 7, Windows 10, etc.) 

0d 3h 24m 

Tiempo de actividad

Desconocido

5.2 

Desconocido, posible control de versiones de Bandook

JN2021 

Desconocido, posiblemente el ID o fecha de la campaña

21/6/2021 

Fecha actual

Proofpoint identificó un tercer servidor de mando y control que señalaba a una dirección de localhost en todas las muestras de Bandook asociadas con TA2721.

hxxp[:]//localhost:9991/KBL/ 

Proofpoint cree que se trata de un artefacto del ciberdelincuente probando el malware que lo incluyó por error después de probar y atacar a víctimas en campañas reales.

Conclusión

Proofpoint considera que TA2721 seguirá utilizando un conjunto reducido de variantes del malware Bandook, una cadena de infección similar y grupo selecto de dominios de mando y control. Los objetivos específicos sugieren que los ciberdelincuentes realizan labores de reconocimiento sobre las empresas objetivo antes de enviar las amenazas por correo electrónico. 

Los investigadores de Proofpoint prevén que este grupo seguirá utilizando señuelos de correo electrónico, cadenas de infección y contraseñas similares aunque cambiando entre dominios de mando y control.

Indicadores de compromiso (IOC)

IOC  

IOC Type  

Description  

ba1355c5e24c431a34bae10915f7cc9b4b1a8843dc79d9c63f1a13f0f9d099f7 

SHA256 Hash 

“cotizacion corporacion alfeca, c.a..pdf” PDF del 21 junio

hxxps[:]//bit[.]ly/acotiz-abaa1 

URL 

URL dentro del PDF del 21 de junio

hxxps[:]//spideroak[.]com/storage/OVPXG4DJMRSXE33BNNPWC5LUN5PTMNBSHE2TM/shared/1764556-1-1105/COTIZACION 21[.]rar?17afe9bc9463ab5de84bd956cf4dfa9e 

URL 

URL de Bitly sin acortar del 21 de junio

a37c79c57ae9e2d681e5f9ef92798278d2bec68bcd91f08d96768e3fe8d5af19 

SHA256 Hash 

"COTIZACION 21.rar" Archivo RAR descargado el 21 de junio (contraseña: 123456)

561cb93118fef1966a3233ae7ffd31017823dd5aaad5dc1b2542e717055c197a 

SHA256 Hash 

"COTIZACION 21.exe" Ejecutable de Bandook dentro del archivo RAR del 21 de junio

r3[.]panjo[.]club:7893 

C2 

Servidor de mando y control principal de la muestra de Bandook del 21 de junio

hxxp[:]//ladvsa[.]club/Hayauaia/ 

C2 

Servidor de mando y control de respaldo de la muestra de Bandook del 21 de junio

5eaa1f5305f4c25292dff29257cd3e14ba3f956f6f8ddb206c0ee3e09af8244e 

SHA256 Hash 

"comprobante de pago corporacion alfeca, c.a..pdf" PDF del 21 de junio

hxxps[:]//bit[.]ly/bcomprob-sbaa1 

URL 

URL dentro del PDF del 21 de junio

hxxps[:]//spideroak[.]com/storage/OVPXG4DJMRSXE33BNNPWC5LUN5PTMNBSHE2TM/shared/1764556-1-1104/COMPROBANTE[.]rar?e22cde1331099985a6339fac899e3ebe 

URL 

URL de Bitly sin acortar el 21 de junio

39ce7b1e2dc1d4fe3bee24a9be8bea52bcb9028b50090731e5fff586106c264f 

SHA256 Hash 

"COMPROBANTE.rar" Archivo RAR descargado el 21 de junio (contraseña: 123456)

561cb93118fef1966a3233ae7ffd31017823dd5aaad5dc1b2542e717055c197a 

SHA256 Hash 

"COMPROBANTE.exe" Ejecutable de Bandook dentro del RAR del 21 de junio

  

Firmas de amenazas emergentes

2003549 - ET MALWARE Bandook v1.2 Initial Connection and Report 

2003550 - ET MALWARE Bandook v1.2 Get Processes 

2003551 - ET MALWARE Bandook v1.2 Kill Process Command 

2003552 - ET MALWARE Bandook v1.2 Reporting Socks Proxy Active 

2003553 - ET MALWARE Bandook v1.2 Reporting Socks Proxy Off 

2003554 - ET MALWARE Bandook v1.2 Client Ping Reply 

2003555 - ET MALWARE Bandook v1.35 Initial Connection and Report 

2003556 - ET MALWARE Bandook v1.35 Keepalive Send 

2003557 - ET MALWARE Bandook v1.35 Keepalive Reply 

2003558 - ET MALWARE Bandook v1.35 Create Registry Key Command Send 

2003559 - ET MALWARE Bandook v1.35 Create Directory Command Send 

2003560 - ET MALWARE Bandook v1.35 Window List Command Send 

2003561 - ET MALWARE Bandook v1.35 Window List Reply 

2003562 - ET MALWARE Bandook v1.35 Get Processes Command Send 

2003563 - ET MALWARE Bandook v1.35 Start Socks5 Proxy Command Send 

2003564 - ET MALWARE Bandook v1.35 Socks5 Proxy Start Command Reply 

2003565 - ET MALWARE Bandook v1.35 Get Processes Command Reply 

2003937 - ET MALWARE Bandook iwebho/BBB-phish trojan leaking user data 

2805272 - ETPRO MALWARE Bandook Variant CnC Checkin 

2810120 - ETPRO MALWARE Bandook Retrieving Payloads set 

2810121 - ETPRO MALWARE Bandook Retrieving Payloads 

2810122 - ETPRO MALWARE Bandook Initial HTTP CnC Beacon 

2810123 - ETPRO MALWARE Bandook Initial HTTP CnC Beacon Response 

2810124 - ETPRO MALWARE Bandook HTTP CnC Beacon M1 

2810125 - ETPRO MALWARE Bandook HTTP CnC Beacon M2 

2810126 - ETPRO MALWARE Bandook HTTP CnC Beacon M3 

2810127 - ETPRO MALWARE Bandook HTTP CnC Beacon Response 

2810128 - ETPRO MALWARE Bandook TCP CnC Beacon 

2810129 - ETPRO MALWARE Bandook TCP CnC Beacon Response 

2814671 - ETPRO MALWARE Bandook Retrieving Payload (cap) 

2814672 - ETPRO MALWARE Bandook Retrieving Payload (tv) 

2839949 - ETPRO MALWARE Bandook v0.5FM TCP CnC Beacon 

2841218 - ETPRO MALWARE Bandook TCP CnC Beacon 

2841802 - ETPRO MALWARE Suspected Bandook CnC M1 

2841803 - ETPRO MALWARE Suspected Bandook CnC Response 

2845793 - ETPRO MALWARE Suspected Bandook CnC M2 

2848605 - ETPRO MALWARE Bandook TCP CnC Beacon Keep-Alive (Inbound) 

2848616 - ETPRO MALWARE Bandook TCP CnC Beacon Keep-Alive (Inbound) 

2848728 - ETPRO MALWARE Bandook v0.5FM TCP CnC Beacon M2