Un hack avanzado y poco convencional está dirigido a empresas industriales

Una gran cantidad de ceros y unos.
Agrandar / / Código binario, ilustración.

Los atacantes están poniendo considerable habilidad y esfuerzo en penetrar compañías industriales en múltiples países, con hacks que usan múltiples mecanismos de evasión, un innovador esquema de encriptación y exploits personalizados para cada objetivo con precisión precisa.

Los ataques comienzan con correos electrónicos personalizados para cada objetivo, un investigador de la firma de seguridad Kaspersky Lab reportado esta semana. Para que se active el exploit, el idioma en el correo electrónico debe coincidir con la localización del sistema operativo del objetivo. Por ejemplo, en el caso de un ataque a una empresa japonesa, el texto del correo electrónico y un documento adjunto de Microsoft Office que contiene una macro maliciosa tuvo que escribirse en japonés. También se requiere: un módulo de malware cifrado podría descifrarse solo cuando el sistema operativo también tuviera una localización japonesa.

Los destinatarios que hagan clic en una solicitud para habilitar urgentemente el contenido activo del documento no verán ninguna indicación de que algo está mal. Detrás de escena, sin embargo, una macro ejecuta un script Powershell. La razón por la que permanece oculto: los parámetros del comando:

  • ExecutionPolicy ByPass: para anular las políticas de la organización
  • WindowStyle Hidden. Esto oculta la ventana de PowerShell
  • NoProfile, que ejecuta el script sin configuración de usuario final.

Esteganografía de triple codificación, ¿alguien?

El script de PowerShell llega a imgur.com o imgbox.com y descarga una imagen que tiene código malicioso oculto dentro de los píxeles a través de una técnica llamada esteganografía. Los datos se codifican mediante el algoritmo Base64, se cifran con una clave RSA y luego se codifican de nuevo con Base64. En un movimiento inteligente, el script contiene un error intencional en su código. El mensaje de error resultante que se devuelve, que es diferente para cada paquete de idioma instalado en el sistema operativo, es la clave de descifrado.

Los datos descifrados y decodificados se utilizan como un segundo script de PowerShell que, a su vez, desempaqueta y decodifica otro blob de datos codificados en Base64. Con eso, un tercer script ofuscado de PowerShell ejecuta el malware Mimikatz que está diseñado para robar las credenciales de la cuenta de Windows utilizadas para acceder a varios recursos de red. En el caso de que las credenciales robadas incluyan aquellas para los poderosos Active Directory de Windows, los atacantes tienen acceso a prácticamente todos los nodos de la red.

El siguiente diagrama resume el flujo del ataque:

Un hack avanzado y poco convencional está dirigido a empresas industriales

Kaspersky Lab

Los ataques, que Kaspersky Lab ha visto en Japón, Italia, Alemania y el Reino Unido, son notables por sus enfoques poco convencionales, como se señaló en la publicación de Kaspersky Lab de esta semana. El investigador de la compañía Vyacheslav Kopeytsev escribió:

Primero, el módulo malicioso está codificado en una imagen usando técnicas esteganográficas y la imagen está alojada en recursos web legítimos. Esto hace que sea prácticamente imposible detectar dicho malware utilizando herramientas de control y monitoreo de tráfico de red mientras se está descargando. Desde el punto de vista de las soluciones técnicas, esta actividad es indistinguible del envío de solicitudes ordinarias a servicios legítimos de alojamiento de imágenes.

Una segunda característica curiosa del malware es el uso del mensaje de excepción como clave de descifrado de la carga maliciosa. Esta técnica puede ayudar al malware a evadir la detección en los sistemas de análisis automático de la clase sandbox y hace que el análisis de la funcionalidad del malware sea mucho más difícil para los investigadores si no saben qué paquete de idioma se utilizó en la computadora de la víctima.

El uso de las técnicas anteriores, combinado con la naturaleza precisa de las infecciones, indica que estos fueron ataques dirigidos. Es preocupante que las víctimas de ataques incluyan contratistas de empresas industriales. Si los atacantes pueden obtener las credenciales de los empleados de una organización contratista, esto puede llevar a una serie de consecuencias negativas, desde el robo de datos confidenciales hasta ataques a empresas industriales a través de herramientas de administración remota utilizadas por el contratista.

El software de Kaspersky Lab cerró los ataques antes de que pudieran continuar. Como resultado, los investigadores aún no saben cuál era el objetivo final de los atacantes. En los últimos años, los sistemas de control para refinerías de gas, plantas de energía, fábricas y otras infraestructuras críticas se han visto cada vez más atacados por saboteadores y ransomware. Es posible que el objetivo final de estos ataques fueran los clientes de empresas industriales de los contratistas.

Recent Articles

IBM tiene un problema con Open Usage Commons de Google

Agrandar / / Nadie de IBM está proponiendo ninguna demanda por la incorporación de Istio por...

Asus TUF Gaming VG27AQ Revisión

Fabricante: AsusPrecio del Reino Unido (según lo revisado): £ 448.99 (IVA incluido) Precio de EE. UU. (Según lo revisado): MSRP $ 429.00 (sin impuestos)El...

Cómo Call of Duty Warzone está en constante evolución

Call Of Duty: Warzone, el shooter de batalla real de Infinity Ward, lanzado en marzo de 2020 y entrará en la temporada 5 en...

Related Stories

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí