Investigadores de AlienVault observaron recientemente una nueva campaña lanzada por el grupo de atacantes KeyBoy, que ha estado activa al menos desde 2013. En esta última operación, el grupo envió un correo electrónico de phishing al embajador de India en Etiopía desde una dirección de correo electrónico en nic.in, India. Centro Nacional de Informática.
El correo electrónico llegó con un archivo adjunto que ejecutaba un script que contenía el código de vulnerabilidad pública para CVE-2017-0199, una vulnerabilidad de Microsoft que permite a los atacantes ejecutar código arbitrario utilizando un documento elaborado. Otros documentos contenían un generador de exploits para CVE-2017-8570, que omite el parche de Microsoft para CVE-2017-0199.
Aprovechar las vulnerabilidades conocidas para instalar TSSL y Titan Malware
Al lanzar el código de explotación, el script descargó un malware conocido como TSSL. Citizen Lab observó variantes de TSSL que venían con el cargador FakeRun y la puerta trasera TClient, lo que permitió al grupo atacante descargar amenazas adicionales y mantener una presencia en un sistema infectado.
AlienVault también detectó la distribución en curso de KeyBoy de Titan, el malware para Android que es capaz de recopilar los datos de un usuario infectado y realizar instrucciones como superusuario, según los investigadores de Lookout.
Estos ataques KeyBoy no fueron los primeros en involucrar el código de explotación para CVE-2017-0199 y CVE-2017-8570. FireEye observó que los atacantes abusaban de CVE-2017-0199 con documentos malintencionados de Microsoft Office RTF en abril de 2017, y Trend Micro detectó campañas que explotaban esa misma falla a través de presentaciones de diapositivas de PowerPoint varios meses después. En abril de 2018, Zscaler identificó una campaña que aprovechó el código de explotación para CVE-2017-8570 para distribuir LokiBot.
La clave para detener los ataques de KeyBoy
Las organizaciones pueden protegerse contra las campañas de KeyBoy y operaciones similares practicando la administración inteligente de vulnerabilidades . Este enfoque requiere que las organizaciones creen un proceso de evaluación de vulnerabilidad efectivo y lo utilicen para evaluar fallas en función de su nivel de riesgo. En lugar de parchear todo lo más rápido posible, las organizaciones pueden usar estas evaluaciones de vulnerabilidad para determinar el orden en que se deben parchar los errores.
Fuente: Securityintelligence.com