Nueva campaña del grupo ruso TA505 dirigida a Chile y Argentina. #ServHelper #FlawedAmmy

TA505 (nombre asignado por Proofpoint) han estado en el negocio del Cibercrimen durante al menos 6 años. Este es el grupo detrás del infame troyano bancario Dridex y Locky ransomware. También están asociados al RAT tRAT y los ransomware Philadelphia y GlobeImposter.

Recientemente han introducido otra familia de malware como son FlawedGrace, FlawedAmmy y ServHelper.

El pasado 18 de Marzo leí la investigación de TI.360.NET RESEARCH y empece a hacerles seguimiento:

El siguiente Timeline de TA505 desde la gente de TI360 Research:

La campaña y amenaza en esta oportunidad es ServHelper, escrito en Delphi y que según ProofPoint, está clasificado como Backdoor. Se conocen dos variantes distintas: “Tunnel” y “Downloader”:

• La variante ‘Tunnel’ tiene múltiples funciones y se enfoca en la configuración de túneles SSH inversos para permitir que el atacante acceda al host infectado a través del Protocolo de escritorio remoto (RDP). Una vez que ServHelper establece el acceso al escritorio remoto, permite al atacante secuestrar las cuentas de usuario legítimas o los perfiles de navegador web y usarlos como le parezca.
• La variante de “Downloader” es capaz de descargar y ejecutar cualquier otro malware que se le proporcione: troyano bancario, steeler, cryptomining, ransomware, keylogger, etc.

Desde la semana pasada que se mantiene una campaña activa con casos conocidos en Chile y Argentina.

El vector de ataque y entrada como siempre es el Phishing, algunas muestras de las plantillas utilizadas en esta campaña y en perfecto español, a continuación:

Template reportado por el Ingeniero Pablo Mejías Osorio:

El mismo template se repite en Argentina pero además se suma la extensión .WIZ. Las muestras son subidas por Ernesto @Dkavalanche (https://twitter.com/Dkavalanche/status/1118929600573267969)

Una muestra nueva en Any.Run permite conocer el flujo de infección:

El detalle en: https://app.any.run/tasks/2c6b4f99-1482-4b30-87b0-2c9ac99b0be0

Un nuevo sitio con la descarga del payload msiexec.exe se encuentra activo al momento de escribir este artículo:

Ultimas muestras en Any.Run:

• https://app.any.run/tasks/804f1ace-cd13-48b6-8b9a-87a983cfce5a
• https://app.any.run/tasks/1546da9a-d3b0-4e2d-a1e7-90c58b54b134
• https://app.any.run/tasks/5d68c43e-15b2-48c0-bcbe-2a60f3112639

Indicadores de Compromiso (IOC):

• canyoning-austria[.]at/dashost
• profan[.]es/dashost
• kerrison[.]com/dashost
• globe-trotterltd[.]com/dashost
• 195[.]123[.]227[.]20/dashost
• hxxp://houusha33[.]icu/jquery/jquery.php
• hxxp://joisff333[.]icu/jquery/jquery.php
• hxxp://91[.]201[.]67[.]96/cyf
• 66[.]232[.]130[.]161
• 195[.]123[.]227[.]79
• C:\Windows\Installer\MSI3DA2.tmp
  64d48cde2de91849a414a86ad342a157288e7f6e58d7e58de1d077b9737e6dd8
• C:\Windows\Installer\MSI419D.tmp
  7b2c826503c671dfcb7f28c7631a27538cd984e1ca5c76ab932fbd37afe4ce50
• C:\Users\admin\AppData\Local\Temp\nsu4228.tmp\ns4229.tmp
  79fd3041ab85e378839d2e3cf155fc91a2d541304d209f5d1d57ac7d791190ec
• C:\Users\admin\AppData\Local\Temp\nsu4228.tmp\nsExec.dll
  b22c8f676dec58be8d25fbad1a37835ffc4029f29aaf79f4dc0337ca73a38782
• C:\Users\admin\AppData\Local\Temp\repotaj.dll
  fd2516f5a8dd9eaddac65f4bd8ae4ed6cba9e115ebe88c3f6d2f5e2cdd5e20a6
• C:\Windows\Installer\MSI777D.tmp
  75708412609376b75e821d0d200ba6aec495b80629c7293d0bd1c9484c0f1c36
• C:\Windows\Installer\MSI7D8B.tmp
  843578299d9e60e52f781ca487aa83f5df4c5f4ca71d3a941a8ea249476c5c3c
• C:\Users\admin\AppData\Local\Temp\nsl7E55.tmp\nsExec.dll
  b22c8f676dec58be8d25fbad1a37835ffc4029f29aaf79f4dc0337ca73a38782
• C:\Users\admin\AppData\Local\Temp\pegas.dll
  9dc1381816b8b18aead256bdc05486171968abbc6ff01766088fbfe7badd194e
• C:\Users\admin\AppData\Local\Temp\nsl7E55.tmp\ns7E66.tmp
  79fd3041ab85e378839d2e3cf155fc91a2d541304d209f5d1d57ac7d791190ec

Recomendaciones de Seguridad:

- Mantener actualizado Microsoft Office y todo el software de seguridad del equipo.

- No abra documentos adjuntos de remitentes desconocido.

- Aprenda a identificar correos fraudulentos.

- No deshabilite las funciones de seguridad en los documentos de Office.

- El correo Phishing puede venir de cualquier persona, incluso un email conocido, asi que desconfíe inmediatamente de correos con asuntos como: “AUTORIZACION”, “PAGO”, “CONFIRMACIÓN”, “BLOQUEO”, “FACTURA” y derivados. Compruebe su veracidad.

Referencias:

• https://www.proofpoint.com/us/threat-insight/post/servhelper-and-flawedgrace-new-malware-introduced-ta505
• https://e.cyberint.com/hubfs/Report%20Legit%20Remote%20Access%20Tools%20Turn%20Into%20Threat%20Actors%20Tools/CyberInt_Legit%20Remote%20Access%20Tools%20Turn%20Into%20Threat%20Actors'%20Tools_Report.pdf
• https://www.deepinstinct.com/2019/04/02/new-servhelper-variant-employs-excel-4-0-macro-to-drop-signed-payload/
• https://ti.360.net/blog/articles/excel-4.0-macro-utilized-by-ta505-to-target-financial-institutions-recently-en/

La información en este post será actualizada según el avance de esta amenaza.

Saludos.
Germán Fernández Bacian (1ZRR4H)
WWW.CRONUP.COM
~