El 6 de julio de 2018, se publicó una publicación que decía contener el código fuente del malware del grupo Carbanak en un foro clandestino de habla rusa. Poco después de compartir el código en el subsuelo ruso, un actor desconocido lo subió a la plataforma de intercambio de texto Pastebin, haciéndolo accesible para todos. Al mismo tiempo, los investigadores de malware que analizan el código compartido descubrieron que el malware no es utilizado por el grupo Carbanak, sino más bien, es el software espía Ratopak / Pegasus , utilizado en los ataques contra los bancos rusos en 2016.

EL SPYWARE FILTRADO

El código filtrado de Ratopak / Pegasus es un conjunto de herramientas que se utiliza para generar solicitudes de pago fraudulentas que contienen características como el troyano de acceso remoto (RAT) utilizado para la recolección de credenciales, comunicación de canal de bloque de mensajes del servidor (SMB), intercambios de datos KBR (un sistema de pago ruso) módulo de intercepción y una versión modificada de la herramienta de post explotación, Mimikatz .

El malware filtrado finalmente se atribuyó al grupo Buhtrap cuando los investigadores revisaron un certificado de firma de código que aparece en el código binario encontrado en la fuga de datos. Se descubrió que el certificado fue utilizado anteriormente en un ataque contra empleados de bancos rusos por el grupo Buhtrap en 2016.

El certificado encontrado en los archivos filtrados
Figura 1: El certificado encontrado en los archivos filtrados

En comparación, el código filtrado, denominado Pegasus, tiene secciones idénticas altroyanoRatopak de Buhtrap, junto con dominios utilizados como parte de las diferentes campañas.

Figura 2: Resultados que confirman la conexión del malware Pegasus al grupo Buhtrap

Aunque el malware fue aparentemente desarrollado por el grupo Buhtrap , dado que los miembros del grupo fueron arrestados en Rusia en 2016, es probable que el malware se haya vendido a un grupo ciberdelincuente diferente después de que los miembros clave del grupo fueron detenidos. Por lo tanto, dado que el malware supuestamente cambió de manos, no está claro si los datos filtrados se originaron en un miembro del grupo Buhtrap , o en un actor del grupo cibercriminal / amenaza individual, que compró el malware.

ANÁLISIS DE LOS DATOS FILTRADOS

Los datos filtrados se almacenaron en un archivo protegido con contraseña llamado «group_ib_smart_boys». El nombre sugiere que los actores de la amenaza son conscientes del éxito de la compañía de seguridad del Grupo IB en detectar ataques cibernéticos contra bancos rusos, y demuestra su intento de desafiar ese logro. El archivo filtrado consistía en una variedad de archivos que contenían código escrito en lenguajes de programación que iban desde el ensamblaje hasta C ++, que comprendía documentación de herramientas e instrucciones recopiladas como parte de operaciones anteriores. Los datos se organizaron en cuatro carpetas: bck_check, cvs_check, gen_payments_script y Pegasus . Mientras que bck_check contenía registros de análisis y gen_payments_script contenía un script generador de metadatos falsos creíbles de PHP, el contenido más interesante se encontró en las dos carpetas adicionales.

Las cuatro carpetas que comprenden la fuga
Figura 3: Las cuatro carpetas que comprenden la fuga

La carpeta cvs_banks contenía inteligencia e instrucciones meticulosas para numerosos ataques contra una variedad de bancos en Rusia. La información incluía la información personal de miles de empleados bancarios clave (direcciones de correo electrónico, números de teléfono y puestos dentro del banco), volcados de directorios de infracciones anteriores de los sistemas internos de los bancos, una guía para la evasión de productos de seguridad antifraude, sistemas de detección de fraude bancario instrucciones de operación y tutoriales de pago fraudulentos.

Un ejemplo de la información del personal del banco encontrada en la fuga
Figura 4: Un ejemplo de la información del personal del banco encontrada en la fuga

La carpeta Pegasus contenía el código fuente de un malware troyano. El troyano abusa de la API ‘MapViewOfSection’ a través del proceso de vaciado para lograr la inyección de código en el proceso svchost.exe para la autoinstalación. Tras la instalación, el troyano escanea el dispositivo de la víctima en busca de software de contabilidad ruso. Si se encuentra, el malware intenta ejecutar archivos ejecutados e inyectar código en ellos mediante una técnica diferente, utilizando el proceso ‘WriteProcessMemory’. Además del escaneo del software de autoinstalación y contabilidad, el malware también contiene una versión personalizada actualizada de las credenciales Mimikatz.herramienta y un módulo de difusión para el movimiento lateral en la red de la víctima. El módulo de expansión utiliza numerosas técnicas, como WSH Remote, PowerShell, RDP Scripts, SCM, etc. Cabe destacar que la versión personalizada de Mimikatz que aparece en la filtración solo afecta a versiones anteriores de Windows , antes de Windows 8.1. Cabe destacar que también se reveló que el malware del grupo se deja abierto a cambios, lo que sugiere que cada operación incluye diferentes características de malware, en función de las personas y la organización objetivo.

Entre sus recursos de malware, el grupo utiliza dos vulnerabilidades de escalada de privilegios del servidor Microsoft Windows relativamente antiguas (CVE-2015-0057 y CVE-2015-1701). A juzgar por una «Lista de tareas» encontrada en la filtración, los actores de la amenaza estaban planeando implementar escaneos en su malware, para evitar máquinas parcheadas contra las vulnerabilidades del servidor Microsoft Windows.

EL ACTOR DE LA AMENAZA QUE PUBLICÓ LA FUGA

Según los medios, la filtración se publicó en un foro de habla inglesa el 7 de julio de 2018, por un actor llamado FR3D . Sin embargo, utilizando nuestras fuentes, logramos detectar una publicación anterior de la fuga en la clandestinidad de habla rusa.
Un actor de amenazas llamado Bobby. Axelrod fue el primero en publicar los datos filtrados en dos foros clandestinos de habla rusa diferentes el 6 de julio de 2018. Parece ser la fuente original de la filtración, ya que se registró en ambos foros el mismo día. de la publicación y solo publicó dos veces: una vez, los enlaces para descargar los materiales, y otra publicación, titulada «PIR Bank perdió 58 millones de rublos en un ataque cibernético», en referencia a un ataque a principios de julio de 2018, atribuido a MoneyTaker grupo que opera contra bancos en los Estados Unidos, el Reino Unido y Rusia. El contenido de esta publicación contiene información sobre AWS CBR (Cliente de estación de trabajo automatizada del Banco Central de Rusia). Con base en estas dos publicaciones, asumimos que este actor de amenaza se vincula entre la fuga y el ataque, alegando que el malware filtrado se usó en este ataque reciente y atribuyéndolo al grupo de ataque MoneyTaker .

La publicación recibió numerosas respuestas de los miembros del foro, principalmente escribiendo sobre la sensibilidad de los materiales, y especulando que probablemente fueron proporcionados por personas conocedoras del sistema bancario ruso. Dado que los ataques contra bancos rusos no son bienvenidos en los foros clandestinos rusos, fuimos testigos de respuestas muy restringidas en la publicación. Sin embargo, creemos que numerosos actores de amenazas utilizarán el malware en futuros ataques, después de modificarlo y actualizarlo.

Fuente: cis.verint.com

Compartir