TA505: Nueva Amenaza

Última actualización: 30 de abril 17hs

Detalles

En los últimos días se ha identificado una amenaza dirigida a países de la región, empleando técnicas y procedimientos avanzados para evitar la detección y se confirma su relación con el actor APT TA505.

Se han detectado más de 100 muestras relacionadas y distribuidas, detectadas como Trojan.MSOffice.Alien.*:

El análisis de las muestras confirma un despliegue dirigido a América Latina y países de habla Hispana, enfocado en los últimos días a Chile, Argentina, México  y España, además se han detectado muestras en menor cuantía en Panamá, Colombia, Costa Rica, Cuba, Brasil y Perú.


¿Qué es TA505?:

Este actor es conocido por controlar troyanos bancarios y botnets como Dridex, Gozi y Locky ransomware. Actualmente ha sido relacionado con la creación de malware como GlobeImposter,  FlawedGrace, FlawedAmmy y ServHelper.

Aspectos clave de la Amenaza:

De acuerdo a la publicación en el portal de Cybereason (https://www.cybereason.com/blog/threat-actor-ta505-targets-financial-enterprises-using-lolbins-and-a-new-backdoor-malware) se trata de un archivo XLS/XLSX que hace uso de macros para ejecutar, mediante archivos legítimos del sistema operativo, (lolbins: https://lolbas-project.github.io/) la descarga e instalación de diferentes variantes de malware firmados digitalmente para evadir los mecanismos de protección. Este malware instalado permita a los atacantes robar información confidencial o tomar control remoto de las estaciones infectadas.

Esta amenaza presenta los siguientes elementos clave que dan cuenta de que se trata de un actor muy preparado:

  • Campaña de phishing altamente dirigida a un pequeño número de cuentas específicas dentro de la empresa.
  • Código malicioso firmado y verificado. Esta es una precaución adicional tomada para evitar la detección.
  • Una línea de tiempo deliberada, indicada por el momento del ataque de phishing y la firma del código malicioso.
  • Un mecanismo de persistencia selectiva y autodestrucción de comandos basados en el reconocimiento autónomo.
  • Gran énfasis en la eliminación de pruebas mediante comandos de autodestrucción y eliminación de scripts.
  • Múltiples dominios C2, en el caso de una lista negra o incapacidad para conectarse por otra razón.
  • La operación integra cuatro LOLBins diferentes, lo que indica que los atacantes desplegaron intentos avanzados para evitar la detección.

Recomendaciones:

  • Seguir las recomendaciones de seguridad sobre correos electrónicos frente a mensajes no deseados o no esperados, evitando acceder a contenido potencialmente peligroso.
  • Evitar la ejecución de Macros en archivos office, y preparar a los empleados para que identifiquen elementos maliciosos en archivos diferentes a ejecutables.
  • Concientizar a los usuarios en aspectos de Ciberseguridad de forma recurrente e iterativa pudiendo contrastar la puesta en práctica de los conocimiento a través de pruebas de hackeo ético.

Fuentes: Kaspersky LAB