TA505 intensifica ciberataques a Chile y Latinoamérica con #FlawedAmmy

Primero que todo, para conocer más sobre este grupo ruso, ServHelper y la última campaña de ataque dirigida a Chile y Argentina debes leer mi artículo anterior aquí: https://tinyurl.com/y3n7wdob.

Ahora continuemos, el día de ayer (24 de Abril) este grupo inicio una nueva campaña masiva de Phishing, pero en esta oportunidad, distribuyendo inicialmente el RAT (Remote Administration Tool) FlawedAmmy. Digo inicialmente porque luego de instalar este RAT, los atacantes tienen la capacidad de instalar cualquier otro tipo de amenaza en el equipo infectado.

Todo inicia con la llegada de un correo malicioso con el siguiente template:

Cuando el usuario abre el documento Excel, se inicia automáticamente la instalación de FlawedAmmy, quien a su vez descarga otros dos componentes:

  1. Email Stealer: Se encarga de recopilar todos los correos electrónicos almacenados en el equipo, ya sea en el disco o en cualquier cliente de correo que el usuario tenga instalado, principalmente Microsoft Outlook. El propósito de esto es construir bases de datos con emails “frescos” para seguir distribuyendo la amenaza.
  2. Botnet Bancaria “Amadey”: Permite a los autores realizar múltiples tareas maliciosas, como por ejemplo descargar y ejecutar malware adicional, recibir comandos desde un servidor de control, exfiltrar información sensible, actualizarse o borrarse, robar inicios de sesión, registrar teclas pulsadas (Keylogger), generar ataques de Denegación de Servicio Distribuido (DDoS), robo de accesos y claves de transferencias bancarias e incluso instalación masiva de Ransomware.

Flujo de Infección

Luego de hacer algunos análisis, obtuvimos acceso “temporal” al panel de control de la Botnet Amadey, donde se podía ver claramente la magnitud, los usuarios en línea, las estadísticas generales y el detalle de los usuarios infectados en esta nueva campaña:

Por otra parte, logramos acceso al servidor web donde se exfiltran los correos recopilados por el Email Stealer, donde en unas pocas horas de campaña detectamos dos archivos:

Archivo1: 509.540 emails recopilados (desde el disco)
Archivo2: 1.590.035 emails recopilados (desde clientes de correo)

Realice una búsqueda de emails asociados a banco y este fue el resultado (archivo2).

El archivo1 fue publicado en los grupos de inteligencia a los que pertenezco para la alerta y precaución de las distintas organizaciones.

Durante las pruebas, logre dejar un mensaje en los logs y obviamente agregue mi correo en la lista de distribución para que me lleguen las futuras campañas y poder hacerles seguimiento ;)

Actualización (26–04–2019)

Una muestra nueva del Email Stealer esta exfiltrando ahora las credenciales de acceso de las cuentas de correo, si estas en el listado debes cambiar tus password’s inmediatamente:

Cuentas de email comprometidas hasta ahora

El listado completo de las cuentas comprometidas aquí: https://pastebin.com/XBPCTBgi

Indicadores de Compromiso (IOC’s)

Email Senders:
mail[@]123hotels[.]com
david.payne[@]unicombox[.]com
comenzi[@]barady[.]ro
info[@]hotelsinmarche[.]com
jack[@]nav-tv[.]com

Email Servers:
217.12.204.243
88.208.252.9 unicombox.com
109.234.106.231 mail3.hostingww.com
62.149.223.85 mail.clion.email

Email Subjects:
FACTURA FMV6136
FACTURA FMV6062
FACTURA FMV2327
FACTURA FMV0355
FACTURA FMV2667

URLs:
hxxp://92.38.135.134/dom2
hxxp://gohaiendo.com/ppk/index.php
hxxp://tunnelview.co.uk/es_2.exe
hxxp://govhotel.us/p.exe
hxxp://163.172.147.137/b2ccsaG/login.php
hxxp://ashleywalkerfuns.com/2hYbb4x/login.php
hxxp://109.234.38.177/dom4
hxxp://163.172.84.54/filename.php
hxxp://160.202.162.147/1.tmp
hxxp://dsuda2.com/upload/index.php

C2:
gohaiendo.com
213.183.59.107 ashleywalkerfuns.com
212.22.77.42 ashleywalkerfuns.com
109.234.38.177 host-109–234–38–177.hosted-by-vdsina.ru
95.111.66.122 ip-95–111–66–122.home.megalan.bg
92.38.135.134 kaspenskiy90.example.com
86.61.75.99 BSN-61–75–99.static.siol.net
213.164.242.16 corvette.ro
89.45.19.18 flowjob.top
89.45.19.18 adonis-medicine.at
89.45.19.18 chase453validate.com
188.112.188.207 r207–188–112–188-broadband.btv.lv
163.172.84.54 163–172–84–54.rev.poneytelecom.eu
160.202.162.147 NN
213.222.130.75 catv-213–222–130–75.catv.broadband.hu
149.129.131.77 gvs1.in
dsuda2.com
149.129.131.77 m21ch.com
149.129.131.77 gdlvw1.com
149.129.131.77 jdcbhs.ru
149.129.131.77 cnocks.net
98.173.195.44 govhotel.us
108.163.236.246 tunnelview.co.uk

Files and Sandbox:
912ED46B_Factura_FMC2213_20190424.xls hxxps://app.any.run/tasks/19176c50–8fe7–4f1d-b6f4–50a9bfed16bb
B7117814_Factura_FMC4614_20190424.xls hxxps://app.any.run/tasks/cfdfc3a7–0170–44d4-ba74–7c70f4ff657d
dom2 (msi) hxxps://app.any.run/tasks/6393f92e-c48b-43bb-b78e-275ff38ef62e
67B099BC_Factura_FMC4424_20190424.xls hxxps://app.any.run/tasks/9a63801a-6900–4cc2-a959–94e5d8de37fc
A00EF601_Factura_FMC2264_20190424.xls hxxps://app.any.run/tasks/955c0482–51d9–43fc-84d1-c54a125ba0db
65796C03_Factura_FMC7048_20190424.xls hxxps://app.any.run/tasks/724826e7-e872–43f0-ae3f-3e97f40933d2
1E2C6116_Factura_FMC6124_20190424.cleaned.xls hxxps://app.any.run/tasks/8f86f0b3–96fc-409a-a1fe-57d10421dba7
ACF0999B_Factura_FMC5353_20190424.zip hxxps://app.any.run/tasks/ff4549e3–46e8–4899–9012–18e07bb04172
a.exe hxxps://app.any.run/tasks/c24f512f-a77e-4aaa-a3fd-4fdfa7610983
989B7EBE_Factura_FMC7105_20190424.xls hxxps://app.any.run/tasks/ca938874-e967–4ebf-b03d-c822d91c114a
ES_2.exe hxxps://app.any.run/tasks/2bbf4ab5-a4a3–427b-bf1b-88bd9af38863
p.exe hxxps://app.any.run/tasks/4589842f-f4ec-4020–9292–02c51c4e352e
1.tmp hxxps://app.any.run/tasks/054dc5e9-e359–4a38–857f-a08314392971
cmuarlc.exe hxxps://app.any.run/tasks/6c2fba8a-ab35–4048-bb42–29eb74ba691d

MD5 Hash:
 f04eca1cf8a93f8ca7fff0e976036e02 
d33fd4d91e78f4e4cda03703159bc37e 78985160bda86130570cafeb6f7fcdda 5881373811fcca6e422385f317145916 91d1ccd11820f2c0289b62367f2d407c 86d452e02442fe2a8abedba371fd8ef0 
c11a23b0bc0c167af0b040fd94facbda 
6882056ea5a56f7e0e7caad320f76fe4 
982fc9ded34c85469269eacb1cb4ef26 2518fe35e9d2380136a6fad8973cc9e0 
cfd3bbce7cc2c03f842c8eaa39e830d3 
df03e73c0bca68c25b7fcdd9e5912601 7db165d593d7fca58c44fa132e1e8283 fbe6d341c1b69975be74616d01c6d273

Recomendaciones de Seguridad

- Mantener actualizado Microsoft Office y todo el software de seguridad del equipo.

- No abra documentos adjuntos de remitentes desconocido.

- Aprenda a identificar correos fraudulentos.

- No deshabilite las funciones de seguridad en los documentos de Office.

  • El correo Phishing puede venir de cualquier persona, incluso un email conocido, así que desconfíe inmediatamente de correos con asuntos como: “AUTORIZACION”, “PAGO”, “CONFIRMACIÓN”, “BLOQUEO”, “FACTURA” y derivados. Compruebe su veracidad.

Mención Honrosa

Esta información será actualizada en el caso de nuevos antecedentes.

Sígueme en Twitter: https://twitter.com/1ZRR4H y enterate de lo último en temas de seguridad digital.

Saludos,
Germán Fernández
WWW.CRONUP.COM