Descripción general de la operación Dianxun
En un informe reciente, el equipo de Inteligencia Estratégica de McAfee Advanced Threat Research (ATR) reveló una campaña de espionaje, dirigida a empresas de telecomunicaciones, llamada Operation Diànxùn.
Las tácticas, técnicas y procedimientos (TTP) utilizados en el ataque son similares a las observadas en campañas anteriores atribuidas públicamente a los actores de amenazas RedDelta y Mustang Panda. Lo más probable es que esta amenaza esté dirigida a personas que trabajan en la industria de las telecomunicaciones y se ha utilizado con fines de espionaje para acceder a datos confidenciales y para espiar empresas relacionadas con la tecnología 5G.
Si bien el vector inicial de la infección no está del todo claro, el equipo de McAfee ATR cree con un nivel medio de confianza que las víctimas fueron atraídas a un dominio bajo el control del actor de la amenaza, desde el cual fueron infectadas con malware que el actor de la amenaza aprovechó para realizar descubrimiento adicional y recopilación de datos. Creemos que los atacantes utilizaron un sitio web de phishing que se hizo pasar por la página de carrera de la empresa Huawei.
Descripción general de la arquitectura defensiva
Entonces, ¿cómo puedo defender a mi organización de la manera más efectiva posible de un ataque de este tipo, que involucra diferentes técnicas y tácticas y un impacto potencial? Para responder a esta pregunta, creemos que es necesario tener un enfoque multicapa y analizar los distintos pasos, tratando de entender la mejor manera de abordarlos uno a uno con una arquitectura de seguridad integrada. A continuación, se muestra un resumen de cómo la arquitectura de seguridad de McAfee lo ayuda a protegerse contra las tácticas y técnicas utilizadas en la Operación Dianxun.
El objetivo es desplazarse hacia la izquierda y bloquear o identificar una amenaza lo antes posible dentro de la Cadena de asesinatos para limitar cualquier daño adicional. El cambio a la izquierda comienza con MVISION Insights, que recopila de forma proactiva inteligencia sobre la amenaza y proporciona detalles sobre los indicadores de compromiso y las técnicas MITRE utilizadas en el ataque. MVISION Insights combina la investigación de Threat Intelligence de McAfee con la telemetría de los controles de su endpoint para reducir su superficie de ataque contra amenazas emergentes. MVISION Insights rastrea más de 800 campañas avanzadas de amenazas persistentes y delitos cibernéticos según lo investigado por el equipo de ATR de McAfee, incluida la Operación Dianxun, que comparte un resumen rápido de la amenaza, proporciona recursos externos y una lista de indicadores conocidos como archivos, URL o IP direcciones.
Como analista de inteligencia de amenazas o respondedor, puede profundizar en la interfaz de MVISION Insights para recopilar información más específica sobre la campaña Operation Dianxun, verificar la gravedad asociada, verificar la prevalencia geográfica y enlaces a otras fuentes de información. Además, MVISION Insights proporciona información útil como la cobertura de los productos de McAfee con detalles de la versión mínima de AMCore; este tipo de información es útil para verificar las capacidades defensivas reales dentro de la empresa y podría aumentar la gravedad del riesgo en caso de cobertura débil.
Hay información adicional disponible para investigar más a fondo sobre las IoC y las técnicas MITRE asociadas a la campaña. Los IoC también se pueden exportar en formato STIX2 para ser ingeridos en otras herramientas para automatizar respuestas o actualizar defensas.
El primer paso antes de la identificación es garantizar que nuestra arquitectura pueda detener o identificar la amenaza en el vector de acceso inicial. En este caso, el vector de entrega inicial es un ataque de phishing, por lo que el canal web es fundamental en la fase inicial de la infección. McAfee Web Gateway y MVISION UCE brindan protección de vectores web de múltiples capas con verificación de reputación de URL, descifrado SSL y capacidades de emulación de malware para analizar contenido web activo peligroso.
MVISION UCE también incluye las capacidades de Aislamiento Remoto del Navegador (RBI), la única solución que puede brindar protección al 100% durante la navegación web. El aislamiento remoto del navegador es de hecho una nueva tecnología innovadora que contiene la actividad de navegación web dentro de un entorno de nube aislado para proteger a los usuarios de cualquier malware o código malicioso que pueda estar oculto en un sitio web. La tecnología RBI proporciona la forma más poderosa de protección contra amenazas web disponible, eliminando la oportunidad de que el código malicioso incluso toque el dispositivo del usuario final.
El cuadrado verde alrededor de la página significa que el contenido web está aislado por RBI y se proporciona de forma segura a través de un flujo visual dinámico renderizado que ofrece una experiencia de navegación completa sin riesgo de infección.
La segunda fase de explotación y persistencia resulta de la ejecución en el punto final de la víctima del malware de artefactos basados en Flash y, más tarde, de la carga útil de DotNet. McAfee Endpoint Security que se ejecuta en el punto final de destino protege contra la Operación Dianxun con una variedad de técnicas de prevención y detección. ENS Threat Prevention y ATP proporcionan capacidad de análisis de firmas y de comportamiento que detecta de forma proactiva la amenaza. ENS también aprovecha Global Threat Intelligence, que se actualiza con IoC conocidos. Para las detecciones basadas en DAT, la familia se informará como Trojan-Cobalt, Trojan-FSYW, Trojan-FSYX, Trojan-FSZC y CobaltStr-FDWE.
Si bien la ejecución del instalador de Flash falso inicial actúa principalmente como un descargador, la carga útil de DotNet contiene varias funciones y actúa como una utilidad para comprometer aún más la máquina. Esta es una herramienta para administrar y descargar puertas traseras a la máquina y configurar la persistencia. Por lo tanto, el motor de aprendizaje automático de McAfee Endpoint Security Adaptive Threat Protection activa la detección y bloquea la ejecución en su análisis basado en el comportamiento.
La última fase del ataque implica la creación de una puerta trasera para el control remoto de la víctima a través de un servidor de comando y control y una baliza de ataque de Cobalt. En este caso, además de las capacidades de detección presentes en el nivel de McAfee Endpoint Security, las funciones de detección y bloqueo que se pueden activar en una solución de sistema de prevención de intrusiones de próxima generación como McAfee NSP son importantes. NSP incluye un motor de detección de devolución de llamada y es capaz de detectar y bloquear anomalías en las señales de comunicación con los servidores C2.
Investigación y caza de amenazas con MVISION EDR
Demostramos anteriormente cómo una arquitectura bien defendida puede frustrar y contrarrestar un ataque de este tipo en cada fase. McAfee Web Gateway y MVISON Unified Cloud Edge pueden detener el vector de entrada inicial, McAfee Endpoint Protection Platform puede bloquear la ejecución del cuentagotas o interrumpir las siguientes actividades maliciosas pero, solo mediante el uso de MVISION EDR, puede obtener una amplia visibilidad de la cadena de eliminación completa.
En MVISION EDR tenemos la detección de amenazas en el tablero de monitoreo para las dos diferentes etapas y procesos del ataque.
Una vez alertado, el analista de seguridad puede profundizar en la actividad del proceso y comprender el comportamiento y los indicadores relacionados con lo que sucedió, como:
La carga útil inicial del descargador flashplayer_install_cn.exe es ejecutada directamente por el usuario y generada por svchost.exe.
Al principio, se conecta de nuevo a hxxp: //update.flach.cn registrándose en el c2 y crea un nuevo archivo ejecutable, flash.exe, en la carpeta Windows / temp.
Luego, la muestra verifica la hora y la geolocalización de la máquina infectada a través de una solicitud a http://worldclockapi.com .
A continuación, se conecta de nuevo al sitio web falso de Huawei » hxxp: \\ update.careerhuawei.net » utilizado para el ataque de phishing inicial.
Finalmente, para una mayor finalización, también puede utilizar MVISION EDR para buscar los indicadores de compromiso en tiempo real o históricamente (hasta 90 días) en los sistemas empresariales.
Buscando otros sistemas con evidencia de conexión al sitio web falso de Huawei:
HostInfo hostname, ip_address y NetworkFlow src_ip, proto, time, process, md5, usuario donde NetworkFlow dst_ip es igual a “8.210.186.138”
Buscando indicadores de la carga útil del descargador inicial vinculado a esta campaña.
HostInfo y nombre de archivos, full_name, create_user_name, sha1, md5, sha256 donde los archivos sha256 es igual a “422e3b16e431daa07bae951eed08429a0c4ccf8e37746c733be512f1a5a160a3” o archivos sha256 es igual a “8489ee84e810b5ed337f8496330e69d6840e7c8e228b245f6e28ac6905c19f4a” o archivos sha256 es igual a “c0331d4dee56ef0a8bb8e3d31bdfd3381bafc6ee80b85b338cee4001f7fb3d8c” o archivos sha256 es igual a “89a1f947b96b39bfd1fffd8d0d670dddd2c4d96f9fdae96f435f2363a483c0e1” o archivos sha256 es igual a “b3fd750484fca838813e814db7d6491fea36abe889787fb7cf3fb29d9d9f5429” o archivos sha256 es igual a “9ccb4ed133be5c9c554027347ad8b722f0b4c3f14bfd947edfe75a015bf085e5” o archivos sha256 es igual a “4e7fc846be8932a9df07f6c5c9cbbd1721620a85c6363f51fa52d8feac68ff47” o Archivos sha256 es igual a «0f2e16690fb2ef2b5b4c58b343314fc32603364a312a6b230ab7b4b963160382» o Archivos sha256 es igual a «db36ad77875bbf622d96ae8086f44924c370cc34add» “8bd55ecb27b94b10cb9b36ab40c7ea954cf602761202546f9b9e163de1dde8eb” o archivos sha256 es igual a “7de56f65ee98a8cd305faefcac66d918565f596405020178aee47a3bd9abd63c” o archivos sha256 es igual a “9d4b4c39106f8e2fd036e798fc67bbd7b98284121724c0f845bca0a6d2ae3999” o archivos sha256 es igual a “ac88a65345b247ea3d0cfb4d2fb1e97afd88460463a4fc5ac25d3569aea42597” o archivos sha256 es igual a “37643f752302a8a3d6bb6cc31f67b8107e6bbbb0e1a725b7cebed2b79812941f” o archivos sha256 es igual a “d0dd9c624bb2b33de96c29b0ccb5aa5b43ce83a54e2842f1643247811487f8d9” o archivos sha256 es igual a “260ebbf392498d00d767a5c5ba695e1a124057c1c01fff2ae76db7853fe4255b” o archivos sha256 es igual a “ e784e95fb5b0188f0c7c82add9a3c89c5bc379eaf356a4d3876d9493a986e343 ”o Archivos sha256 es igual a“ a95909413a9a72f69d3c102448d37a17659e46630999b25eals61d213ec25 ” “B7f36159aec7f3512e00bfa8aa189cbb97f9cc4752a635bc272c7a5ac1710e0b” o Archivos sha256 es igual a “4332f0740b3b6c7f9b438ef3caa995a40ce53b334803311b4cab423ff”
Consulte históricamente la resolución de nombres de dominio y la conexión de red a los indicadores involucrados.
Fuente: https://www.mcafee.com/blogs/other-blogs/mcafee-labs/mcafee-defenders-blog-operation-dianxun/
