Hallazgos principales
- Los investigadores de Proofpoint identificaron un nuevo grupo, TA2721, que distribuía amenazas por correo electrónico en español.
- El grupo suele dirigir sus ataques a personas con apellidos en español que trabajan en multinacionales de una amplia variedad de sectores.
- La cadena de infección incluye un PDF que contiene una URL que lleva a un archivo RAR cifrado que instala el malware Bandook.
- Los ciberdelincuentes suelen utilizar la misma infraestructura de mando y control durante semanas o meses cada vez. Proofpoint solo ha observado tres dominios de mando y control distintos en los últimos seis meses.
- Bandook es un malware antiguo que no utilizan muchos ciberdelincuentes.
Descripción general
Los investigadores de Proofpoint identificaron un grupo de amenazas muy activo, TA2721, al que también se refieren los investigadores de manera coloquial como Caliente Bandits. El grupo dirige sus ataques contra múltiples sectores que van del financiero al del entretenimiento. El grupo utiliza señuelos en español para distribuir un conocido (aunque poco utilizado) troyano de acceso remoto (RAT) llamado Bandook. Los investigadores apodaron al grupo con el nombre Caliente Bandits por el uso de cuentas de correo electrónico de Hotmail, (“hot” significa “caliente” en español).
El seguimiento del grupo comenzó en enero de 2021 y los investigadores observaron que distribuía amenazas por correo electrónico con Bandook todas las semanas desde abril. Las campañas eran de bajo volumen, con menos de 300 mensajes por campaña. Las amenazas van dirigidas contra empresas de todo el mundo, pero los ciberdelincuentes se centran principalmente en los empleados con apellidos en español. La empresa de ciberseguridad ESET fue la primera en publicar detalles del malware utilizado por este grupo.
Detalles de las campañas
TA2721 utiliza el mismo tipo de señuelos relacionados con presupuestos o pagos en sus campañas para conseguir que el usuario descargue un PDF.
Figura 1: Ejemplo de mensaje disfrazado de propuesta de cotización/presupuesto.
El PDF adjunto contiene una URL y una contraseña incrustadas que, al hacer clic en ella, genera la descarga de un ejecutable comprimido protegido mediante contraseña que contiene Bandook.
Figura 2: PDF que contiene un enlace malicioso y una contraseña que da lugar a la descarga de Bandook.
Los investigadores de Proofpoint observaron al grupo TA2721 enviando campañas de pequeño volumen contra menos de 100 organizaciones al mismo tiempo desde enero de 2021. Los objetivos incluían empresas de los sectores de la fabricación, automoción, alimentos y bebidas, entretenimiento y medios de comunicación, banca, seguros y agricultura. Estas organizaciones, tanto multinacionales como pequeñas empresas, estaba ubicadas en EE. UU., Europa y Suramérica. Solo un reducido grupo de personas de cada organización era víctima del ataque, y la mayoría tenían apellidos en español, como Pérez, Castillo, Ortiz, etc.
La selección de objetivos sugiere que TA2721 realiza acciones de reconocimiento y planificación del ataque para obtener datos de empleados e información de contacto. El grupo parece dirigir los ataques contra hispanohablantes, lo que aumenta la probabilidad de que el ataque tenga éxito.
Entrega e instalación
Los investigadores de Proofpoint han observado a este grupo distribuyendo dos variantes de Bandook distintas. Bandook es un malware comercial, pero las tácticas utilizadas en las campañas demuestran algunos intentos de eludir la detección y de añadir esfuerzos suplementarios para el atacante. La protección mediante contraseñas del archivo malicioso es una forma sencilla de complicar la detección a los productos de análisis automáticos, y el uso específico de apellidos en español junto con el reducido número de objetivos sugiere que el grupo había realizado labores de reconocimiento antes de lanzar las campañas.
Casi todas las campañas observadas contenían archivos PDF adjuntos con enlaces para la descarga de Bandook; sin embargo en una campaña de junio, el grupo empezó a utilizar URL directamente en el mensaje.
TA2721 envía mensajes en español en los que se hace pasar por empresas ubicadas en Suramérica, por lo general en Venezuela, y México. Los mensajes se envían desde direcciones de correo electrónico de Hotmail o Gmail. Los asuntos y nombres de archivo contienen por lo general los términos “PRESUPUESTO”, “COTIZACION”, y “rcibo de pago”.
El grupo suele utilizar la misma infraestructura de mando y control durante semanas o meses cada vez. Por ejemplo:
- “s1[.]megawoc[.]com” se utilizó en enero.
- “d1[.]ngobmc[.]com” se utilizó entre marzo y junio.
- “r1[.]panjo[.]club” se utilizó desde junio.
Las URL observadas de enero a junio de 2021 utilizaban URL abreviadas como enlaces de bit[.]ly y rebrand[.]ly. Estos enlaces redirigen a spideroak[.]com, una plataforma empresarial de intercambio de archivos de seguridad. Las URL llevan a la descarga de una contraseña de un archivo RAR protegido mediante contraseña que instala Bandook.
Análisis del malware
Bandook es un troyano de acceso remoto (RAR) disponible comercialmente escrito en Delphi y que se ha observado en circulación al menos desde 2007. Los investigadores han publicado detalles sobre múltiples variantes disponibles de forma generalizada. Bandook puede capturar vídeos, audio, pulsaciones de teclado y capturas de pantalla en el host, y puede utilizarse en operaciones de recopilación de información.
A pesar de su disponibilidad y antigüedad de uso, Proofpoint no ha observado a ningún otro grupo que en la actualidad utilice este malware. De hecho, desde 2015, Proofpoint ha observado unas 40 campañas que distribuían este malware, y solo las campañas del grupo TA2721 en 2021 protagonizaron el 50 % de la actividad observada. Según la wiki de malware de MITRE ATT&CK, Bandook no se utiliza de forma generalizada.
A continuación se incluye un ejemplo de una cadena de ataque de TA2721 con la muestra identificada:
Subject: COMPROBANTE DE PAGO LOGSITICA CARACAS CA
Sender: logvenccs@doca-safety[.]com
Attachment: comprobante de pago corporacion alfeca, c.a..pdf
PDF: 5eaa1f5305f4c25292dff29257cd3e14ba3f956f6f8ddb206c0ee3e09af8244e
Bandook: 561cb93118fef1966a3233ae7ffd31017823dd5aaad5dc1b2542e717055c197a
Figura 3: Cadena de ataque de TA2721.
El mensaje contiene un archivo adjunto PDF. Una URL dentro del PDF lleva a un archivo RAR protegido mediante contraseña. La contraseña del archivo RAR se encuentra en el PDF inicial (123456). Aunque los ciberdelincuentes han cambiado de acortadores de URL y dominio de mando y control, la contraseña del archivo comprimido sigue siendo la misma en cada campaña.
Figura 4: PDF que contiene un enlace al malware alojado en el servicio de intercambio de archivos SpiderOak.
El mensaje contiene la siguiente URL:
hxxps[:]//bit[.]ly/bcomprob-sbaa1
Que lleva a:
hxxps[:]//spideroak[.]com/storage/OVPXG4DJMRSXE33BNNPWC5LUN5PTMNBSHE2TM/shared/1764556-1-1104/COMPROBANTE[.]rar?e22cde1331099985a6339fac899e3ebe
Y descarga COMPROBANTE.rar con el siguiente hash:
39ce7b1e2dc1d4fe3bee24a9be8bea52bcb9028b50090731e5fff586106c264f
El archivo extraído contiene el siguiente ejecutable de Bandook:
Filename: COMPROBANTE.exe
Hash: 561cb93118fef1966a3233ae7ffd31017823dd5aaad5dc1b2542e717055c197a
El ejecutable se comprime varias veces (por ejemplo, UPX). Las cadenas utilizan codificación Base64 y están cifradas, lo que complica la ingeniería inversa. Al ejecutarlo, crea un nuevo proceso de Internet Explorer (iexplore.exe) e inyecta la payload (carga útil) de Bandook en él. Este proceso se conoce como vaciado del proceso.
Bandook mantiene la persistencia creando una copia de sí mismo y añadiendo una entrada que ejecuta las claves en el Registro de Microsoft que dirige a la copia que se cargará cada vez que se conecte un usuario.
Clave: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\xxhgjyljicoftqsffwxx
Datos: C:\Users\[user]\AppData\Roaming\xxhgjyljicoftqsffwxx\xxhgjyljicoftqsffwxx.exe
La versión de Bandook que utiliza Caliente Bandits es similar a la que notificó Checkpoint en noviembre de 2020. Las muestras identificadas también utilizan cifrado AES en modo CFB (unidad de cifrado por bloques) para la comunicación de mando y control (C2) mediante el uso de una clave codificada, y un vector de inicialización (IV), que no forma parte de las versiones de Bandook disponibles de forma generalizada.
Configuración de Bandook
- Servidor de mando y control principal: r3[.]panjo[.]club:7893
- Servidor de mando y control de respaldo: hxxp[:]//ladvsa[.]club/Hayauaia/
- Clave AES_CFB: HuZ82K83ad392jVBhr2Au383Pud82AuF
- Vector de inicialización AES_CFB 0123456789123456
Por el momento, Proofpoint solo ha observado una clave AES codificada y valor IV utilizado por Caliente Bandits.
La payload conecta el servidor de mando y control a través de TCP y le envía información básica con cifrado AES sobre la máquina infectada. Hay un dominio de mando y control y un puerto principales, pero también al menos un servidor de mando y control de respaldo.
Ejemplo de comunicación de mando y control:
Se envía un TCP Beacon r3[.]panjo[.]club:7893.
NI3B/VGNQOWJuJcQAnbGe/G61uhAy4GYmdnmFINKBGqWguDaTfoBUpvbIU+eXfiFOuOFhoFBB082Csj3qSZuKOG4HeBWO28K85yCos0NNYOuORGHxypQL8iOeqyfX7q9ZpaXRjw78bch6bsfFLdfc2t/QOy6lrxIS5BCNrmv8g==&&&
Nota de los analistas: el tráfico con cifrado AES lleva siempre el sufijo "&&&".
El TCP Beacon cifrado que se envió a r3[.]panjo[.]club:7893.
!O12HYV~!22535~!192.168.0.107~!XTWGHENV~!dwrsApXT~!Seven~!0d 3h 24m~!0~!5.2~!JN2021~!0~!0~!0~!0~!~!0~!0--~!None~!0~!21/6/2021~!
El TCP Beacon codificado y cifrado se parece a la comunicación de mando y control de Bandook observada previamente en incidentes comunicados. Se agregan varios elementos de información básica del sistema con "~!" como delimitador.
|
Valor |
Propósito |
|
O12HYV |
Desconocido, posiblemente el ID de la única víctima |
|
22535 |
Desconocido, posible valor del Registro definido para persistencia |
|
192[.]168[.]0[.]107 |
Dirección IP de la máquina infectada |
|
XTWGHENV |
Nombre del equipo |
|
dwrsApXT |
Nombre de usuario |
|
Seven |
Sistema operativo (Windows 7, Windows 10, etc.) |
|
0d 3h 24m |
Tiempo de actividad |
|
0 |
Desconocido |
|
5.2 |
Desconocido, posible control de versiones de Bandook |
|
JN2021 |
Desconocido, posiblemente el ID o fecha de la campaña |
|
21/6/2021 |
Fecha actual |
Proofpoint identificó un tercer servidor de mando y control que señalaba a una dirección de localhost en todas las muestras de Bandook asociadas con TA2721.
hxxp[:]//localhost:9991/KBL/
Proofpoint cree que se trata de un artefacto del ciberdelincuente probando el malware que lo incluyó por error después de probar y atacar a víctimas en campañas reales.
Conclusión
Proofpoint considera que TA2721 seguirá utilizando un conjunto reducido de variantes del malware Bandook, una cadena de infección similar y grupo selecto de dominios de mando y control. Los objetivos específicos sugieren que los ciberdelincuentes realizan labores de reconocimiento sobre las empresas objetivo antes de enviar las amenazas por correo electrónico.
Los investigadores de Proofpoint prevén que este grupo seguirá utilizando señuelos de correo electrónico, cadenas de infección y contraseñas similares aunque cambiando entre dominios de mando y control.
Indicadores de compromiso (IOC)
|
IOC |
IOC Type |
Description |
|
ba1355c5e24c431a34bae10915f7cc9b4b1a8843dc79d9c63f1a13f0f9d099f7 |
SHA256 Hash |
“cotizacion corporacion alfeca, c.a..pdf” PDF del 21 junio |
|
hxxps[:]//bit[.]ly/acotiz-abaa1 |
URL |
URL dentro del PDF del 21 de junio |
|
hxxps[:]//spideroak[.]com/storage/OVPXG4DJMRSXE33BNNPWC5LUN5PTMNBSHE2TM/shared/1764556-1-1105/COTIZACION 21[.]rar?17afe9bc9463ab5de84bd956cf4dfa9e |
URL |
URL de Bitly sin acortar del 21 de junio |
|
a37c79c57ae9e2d681e5f9ef92798278d2bec68bcd91f08d96768e3fe8d5af19 |
SHA256 Hash |
"COTIZACION 21.rar" Archivo RAR descargado el 21 de junio (contraseña: 123456) |
|
561cb93118fef1966a3233ae7ffd31017823dd5aaad5dc1b2542e717055c197a |
SHA256 Hash |
"COTIZACION 21.exe" Ejecutable de Bandook dentro del archivo RAR del 21 de junio |
|
r3[.]panjo[.]club:7893 |
C2 |
Servidor de mando y control principal de la muestra de Bandook del 21 de junio |
|
hxxp[:]//ladvsa[.]club/Hayauaia/ |
C2 |
Servidor de mando y control de respaldo de la muestra de Bandook del 21 de junio |
|
5eaa1f5305f4c25292dff29257cd3e14ba3f956f6f8ddb206c0ee3e09af8244e |
SHA256 Hash |
"comprobante de pago corporacion alfeca, c.a..pdf" PDF del 21 de junio |
|
hxxps[:]//bit[.]ly/bcomprob-sbaa1 |
URL |
URL dentro del PDF del 21 de junio |
|
hxxps[:]//spideroak[.]com/storage/OVPXG4DJMRSXE33BNNPWC5LUN5PTMNBSHE2TM/shared/1764556-1-1104/COMPROBANTE[.]rar?e22cde1331099985a6339fac899e3ebe |
URL |
URL de Bitly sin acortar el 21 de junio |
|
39ce7b1e2dc1d4fe3bee24a9be8bea52bcb9028b50090731e5fff586106c264f |
SHA256 Hash |
"COMPROBANTE.rar" Archivo RAR descargado el 21 de junio (contraseña: 123456) |
|
561cb93118fef1966a3233ae7ffd31017823dd5aaad5dc1b2542e717055c197a |
SHA256 Hash |
"COMPROBANTE.exe" Ejecutable de Bandook dentro del RAR del 21 de junio |
Firmas de amenazas emergentes
2003549 - ET MALWARE Bandook v1.2 Initial Connection and Report
2003550 - ET MALWARE Bandook v1.2 Get Processes
2003551 - ET MALWARE Bandook v1.2 Kill Process Command
2003552 - ET MALWARE Bandook v1.2 Reporting Socks Proxy Active
2003553 - ET MALWARE Bandook v1.2 Reporting Socks Proxy Off
2003554 - ET MALWARE Bandook v1.2 Client Ping Reply
2003555 - ET MALWARE Bandook v1.35 Initial Connection and Report
2003556 - ET MALWARE Bandook v1.35 Keepalive Send
2003557 - ET MALWARE Bandook v1.35 Keepalive Reply
2003558 - ET MALWARE Bandook v1.35 Create Registry Key Command Send
2003559 - ET MALWARE Bandook v1.35 Create Directory Command Send
2003560 - ET MALWARE Bandook v1.35 Window List Command Send
2003561 - ET MALWARE Bandook v1.35 Window List Reply
2003562 - ET MALWARE Bandook v1.35 Get Processes Command Send
2003563 - ET MALWARE Bandook v1.35 Start Socks5 Proxy Command Send
2003564 - ET MALWARE Bandook v1.35 Socks5 Proxy Start Command Reply
2003565 - ET MALWARE Bandook v1.35 Get Processes Command Reply
2003937 - ET MALWARE Bandook iwebho/BBB-phish trojan leaking user data
2805272 - ETPRO MALWARE Bandook Variant CnC Checkin
2810120 - ETPRO MALWARE Bandook Retrieving Payloads set
2810121 - ETPRO MALWARE Bandook Retrieving Payloads
2810122 - ETPRO MALWARE Bandook Initial HTTP CnC Beacon
2810123 - ETPRO MALWARE Bandook Initial HTTP CnC Beacon Response
2810124 - ETPRO MALWARE Bandook HTTP CnC Beacon M1
2810125 - ETPRO MALWARE Bandook HTTP CnC Beacon M2
2810126 - ETPRO MALWARE Bandook HTTP CnC Beacon M3
2810127 - ETPRO MALWARE Bandook HTTP CnC Beacon Response
2810128 - ETPRO MALWARE Bandook TCP CnC Beacon
2810129 - ETPRO MALWARE Bandook TCP CnC Beacon Response
2814671 - ETPRO MALWARE Bandook Retrieving Payload (cap)
2814672 - ETPRO MALWARE Bandook Retrieving Payload (tv)
2839949 - ETPRO MALWARE Bandook v0.5FM TCP CnC Beacon
2841218 - ETPRO MALWARE Bandook TCP CnC Beacon
2841802 - ETPRO MALWARE Suspected Bandook CnC M1
2841803 - ETPRO MALWARE Suspected Bandook CnC Response
2845793 - ETPRO MALWARE Suspected Bandook CnC M2
2848605 - ETPRO MALWARE Bandook TCP CnC Beacon Keep-Alive (Inbound)
2848616 - ETPRO MALWARE Bandook TCP CnC Beacon Keep-Alive (Inbound)
2848728 - ETPRO MALWARE Bandook v0.5FM TCP CnC Beacon M2