Nueva campaña del grupo ruso TA505 dirigida a Chile y Argentina. #ServHelper #FlawedAmmy
TA505 (nombre asignado por Proofpoint) han estado en el negocio del Cibercrimen durante al menos 6 años. Este es el grupo detrás del infame troyano bancario Dridex y Locky ransomware. También están asociados al RAT tRAT y los ransomware Philadelphia y GlobeImposter.
Recientemente han introducido otra familia de malware como son FlawedGrace, FlawedAmmy y ServHelper.
El pasado 18 de Marzo leí la investigación de TI.360.NET RESEARCH y empece a hacerles seguimiento:
El siguiente Timeline de TA505 desde la gente de TI360 Research:
La campaña y amenaza en esta oportunidad es ServHelper, escrito en Delphi y que según ProofPoint, está clasificado como Backdoor. Se conocen dos variantes distintas: “Tunnel” y “Downloader”:
- La variante ‘Tunnel’ tiene múltiples funciones y se enfoca en la configuración de túneles SSH inversos para permitir que el atacante acceda al host infectado a través del Protocolo de escritorio remoto (RDP). Una vez que ServHelper establece el acceso al escritorio remoto, permite al atacante secuestrar las cuentas de usuario legítimas o los perfiles de navegador web y usarlos como le parezca.
- La variante de “Downloader” es capaz de descargar y ejecutar cualquier otro malware que se le proporcione: troyano bancario, steeler, cryptomining, ransomware, keylogger, etc.
Desde la semana pasada que se mantiene una campaña activa con casos conocidos en Chile y Argentina.
El vector de ataque y entrada como siempre es el Phishing, algunas muestras de las plantillas utilizadas en esta campaña y en perfecto español, a continuación:
Template reportado por el Ingeniero Pablo Mejías Osorio:
El mismo template se repite en Argentina pero además se suma la extensión .WIZ. Las muestras son subidas por Ernesto @Dkavalanche (https://twitter.com/Dkavalanche/status/1118929600573267969)
Una muestra nueva en Any.Run permite conocer el flujo de infección:
Un nuevo sitio con la descarga del payload msiexec.exe se encuentra activo al momento de escribir este artículo:
Ultimas muestras en Any.Run:
- https://app.any.run/tasks/804f1ace-cd13-48b6-8b9a-87a983cfce5a
- https://app.any.run/tasks/1546da9a-d3b0-4e2d-a1e7-90c58b54b134
- https://app.any.run/tasks/5d68c43e-15b2-48c0-bcbe-2a60f3112639
Indicadores de Compromiso (IOC):
- canyoning-austria[.]at/dashost
- profan[.]es/dashost
- kerrison[.]com/dashost
- globe-trotterltd[.]com/dashost
- 195[.]123[.]227[.]20/dashost
- hxxp://houusha33[.]icu/jquery/jquery.php
- hxxp://joisff333[.]icu/jquery/jquery.php
- hxxp://91[.]201[.]67[.]96/cyf
- 66[.]232[.]130[.]161
- 195[.]123[.]227[.]79
- C:\Windows\Installer\MSI3DA2.tmp
64d48cde2de91849a414a86ad342a157288e7f6e58d7e58de1d077b9737e6dd8 - C:\Windows\Installer\MSI419D.tmp
7b2c826503c671dfcb7f28c7631a27538cd984e1ca5c76ab932fbd37afe4ce50 - C:\Users\admin\AppData\Local\Temp\nsu4228.tmp\ns4229.tmp
79fd3041ab85e378839d2e3cf155fc91a2d541304d209f5d1d57ac7d791190ec - C:\Users\admin\AppData\Local\Temp\nsu4228.tmp\nsExec.dll
b22c8f676dec58be8d25fbad1a37835ffc4029f29aaf79f4dc0337ca73a38782 - C:\Users\admin\AppData\Local\Temp\repotaj.dll
fd2516f5a8dd9eaddac65f4bd8ae4ed6cba9e115ebe88c3f6d2f5e2cdd5e20a6 - C:\Windows\Installer\MSI777D.tmp
75708412609376b75e821d0d200ba6aec495b80629c7293d0bd1c9484c0f1c36 - C:\Windows\Installer\MSI7D8B.tmp
843578299d9e60e52f781ca487aa83f5df4c5f4ca71d3a941a8ea249476c5c3c - C:\Users\admin\AppData\Local\Temp\nsl7E55.tmp\nsExec.dll
b22c8f676dec58be8d25fbad1a37835ffc4029f29aaf79f4dc0337ca73a38782 - C:\Users\admin\AppData\Local\Temp\pegas.dll
9dc1381816b8b18aead256bdc05486171968abbc6ff01766088fbfe7badd194e - C:\Users\admin\AppData\Local\Temp\nsl7E55.tmp\ns7E66.tmp
79fd3041ab85e378839d2e3cf155fc91a2d541304d209f5d1d57ac7d791190ec
Recomendaciones de Seguridad:
- Mantener actualizado Microsoft Office y todo el software de seguridad del equipo.
- No abra documentos adjuntos de remitentes desconocido.
- Aprenda a identificar correos fraudulentos.
- No deshabilite las funciones de seguridad en los documentos de Office.
- El correo Phishing puede venir de cualquier persona, incluso un email conocido, asi que desconfíe inmediatamente de correos con asuntos como: “AUTORIZACION”, “PAGO”, “CONFIRMACIÓN”, “BLOQUEO”, “FACTURA” y derivados. Compruebe su veracidad.
Referencias:
- https://www.proofpoint.com/us/threat-insight/post/servhelper-and-flawedgrace-new-malware-introduced-ta505
- https://e.cyberint.com/hubfs/Report%20Legit%20Remote%20Access%20Tools%20Turn%20Into%20Threat%20Actors%20Tools/CyberInt_Legit%20Remote%20Access%20Tools%20Turn%20Into%20Threat%20Actors'%20Tools_Report.pdf
- https://www.deepinstinct.com/2019/04/02/new-servhelper-variant-employs-excel-4-0-macro-to-drop-signed-payload/
- https://ti.360.net/blog/articles/excel-4.0-macro-utilized-by-ta505-to-target-financial-institutions-recently-en/
La información en este post será actualizada según el avance de esta amenaza.
Saludos.
Germán Fernández Bacian (1ZRR4H)
WWW.CRONUP.COM
~