Recientemente, se han podido observar compañas de malware que tienen como objetivo la industria de defensa y servidores de Exchange. Las campañas buscan instalar el backdoor “DeliveryCheck” en equipos comprometidos, y se ha atribuido al grupo de actores maliciosos rusos, “Turla”.
Según las observaciones llevadas a cabo por Microsoft y Cert-ua, los responsables de dicha campaña es el grupo malicioso Turla, también conocido como Secre Blizzard, y UAC-0003, quienes has sido vinculados al gobierno ruso, y catalogado como un grupo APT. Los actores maliciosos en cuestión han sido, previamente vinculados a otros tipos de ataques contra países de la región occidental, a través de los años. Ejemplo de esto es “Snake”, campaña de ciber espionaje mediante malware distribuido por botnets. Dicha operación fue interrumpida por acciones conjuntas en la operación denominada “MEDUSA”.
La campaña más reciente de UAC-0003, se encuentra dirigida a fuerzas de defensa con finalidades de espionaje a través del malware denominado “CAPIBAR” también conocido como “DeliveryCheck” por Microsoft, y “GAMEDAY” por mandiant. Según reportes de Microsoft, DeliveryCheck es distribuido mediante correos electrónicos como documentos con macros maliciosas. Su capacidad de persistencia se debe a tareas programadas que lo descarga y lanza en memoria.
Microsoft Exchange
El ataque tiene su inicio mediante correos electrónicos de phishing los cuales tiene adjuntos archivos XLSM con macros maliciosos, una vez activados, los macros ejecutan un comando de PowerShell con la finalidad de crear una tarea programada la cual simula ser un actualizador del buscador de Firefox.
La tarea programada realiza la descarga del backdoor “DeliveryCheck” y lo inicia en la memoria, desde donde se conecta hacia el servidor de comando y control (C2) de los atacantes, desde aquí, el backdoor recibe instrucciones para ejecutar o desplegar posteriormente, payloads de malware, las cuales se son integradas y lanzadas desde un XSLT.
Al mismo tiempo y bajo circunstancias específicas, también se carga el backdoor denominado “KAZUAR” el cual procede a implementar mas de 40 funciones, en los sistemas comprometidos. Entre las funciones, se puede mencionar:
- “chakra”, el cual ejecuta JS mediante ChakraCore,
- “eventlog”, que recupera información de registros del sistema operativo, “forensic”, el cual colecta distintos artefactos,
- “steal” el cual realiza suplantación de identidad: contraseñas, marcadores, autorrelleno, historial, proxies, cookies, filezilla, chromium, mozilla, outlook, openvpn, system, winscp, signal, git, y
- “unattend” el cual ejecuta robo de bases de datos/archivos de configuración de aplicaciones: KeePass, Azure, Gcloud, AWS, bluemix, entre otros.
Luego de infectar los dispositivos mediante el uso de la herramienta Rclone, los actores maliciosos filtran información sensible, a través del backdoor.
La capacidad por resaltar de DeliveryCheck, es la de su componente que convertir a un servidor de Microsoft Exchange, en un servidor de comando y control que puede se utilizado por los actores maliciosos, a su conveniencia. Según lo informa Microsoft el componente se instala mediante la configuración del estado deseado, un modulo de PowerShell que permite a administradores, crear configuraciones de servidor estandarizadas y aplicarlas a los dispositivos.
Esta capacidad se utiliza usualmente para la creación de una plantilla de configuración por defecto, la cual puede ser utilizada para configurar varios dispositivos con las mismas configuraciones, automáticamente.
Según lo expone Microsoft, la utilización de DSC por parte de los actores maliciosos, cumple la finalidad de cargar de manera automática un ejecutable de Windows, cifrado en base 64, lo cual convierte los servidores de Microsoft Exchange legítimos en un servidor de distribución de malware.
Indicadores de Compromiso
| tipo | indicador |
| MD5 | cdf7fa901701ea1ef642aeb271c70361 |
| MD5 | 153b713b3c6e642f39993d65ab33c5f0 |
| MD5 | 9ececb4acbf692c2a8ea411f2e7dd006 |
| MD5 | 5c7466a177fcaad2ebab131a54c28fab |
| MD5 | b63c2ec9a631e0217d39c4a43527a0ce |
| MD5 | 420b7dc391f2cb0a9a684c1c48c334e2 |
| MD5 | 491e462bf1213fede82925dea5df8fff |
| MD5 | 9dd2bea4f2df8d3ef51dc10c6db2e07a |
| MD5 | 8c56c22343853d3797037bdac2cec6c7 |
| MD5 | 17402fc21c7bafae2c1a149035cd0835 |
| MD5 | d3065b4b1e8f6ecb63685219113ff0b8 |
| MD5 | 5210b3d85fd0026205baee2c77ac0acd |
| MD5 | 4065e647380358d22926c24a63c26ac4 |
| MD5 | 11a289347b95aab157aa0efe4a59bf24 |
| MD5 | cba1f4c861240223332922d2913d18e5 |
| MD5 | 65102299bf8d7f0129ebbcb08a9c2d98 |
| SHA256 | 1c97f92a144ac17e35c0e40dc89e12211ef5a7d5eb8db57ab093987ae6f3b9dc |
| SHA256 | 5cf64f37fac74dc8f3dcb58831c3f2ce2b3cf522db448b40acdab254dd46cb3e |
| SHA256 | 07f9b090172535089eb62a175e5deaf95853fdfd4bcabf099619c60057d38c57 |
| SHA256 | bd7dbaf91ba162b6623292ebcdd2768c5d87e518240fe8ca200a81e9c7f01d76 |
| SHA256 | 1c1bb64e38c3fbe1a8f0dcb94ded96b332296bcbf839de438a4838fb43b20af3 |
| SHA256 | 01c5778be73c10c167fae6d7970c0be23a29af1873d743419b1803c035d92ef7 |
| SHA256 | ba2c8df04bcba5c3cfd343a59d8b59b76779e6c27eb27b7ac73ded97e08f0f39 |
| SHA256 | aaf7642f0cab75240ec65bc052a0a602366740b31754156b3a0c44dccec9bebe |
| SHA256 | d4d7c12bdb66d40ad58c211dc6dd53a7494e03f9883336fa5464f0947530709f |
| SHA256 | 19b7ddd3b06794abe593bf533d88319711ca15bb0a08901b4ab7e52aab015452 |
| SHA256 | 4ef8db0ca305aaab9e2471b198168021c531862cb4319098302026b1cfa89947 |
| SHA256 | 64e8744b39e15b76311733014327311acd77330f8a135132f020eac78199ac8a |
| SHA256 | 5e122ff3066b6ef2a89295df925431c151f1713708c99772687a30c3204064bd |
| SHA256 | 91dc8593ee573f3a07e9356e65e06aed58d8e74258313e3414a7de278b3b5233 |
| SHA256 | b8ee794b04b69a1ee8687daabfe4f912368a500610a099e3072b03eeb66077f8 |
| SHA256 | 8168dc0baea6a74120fbabea261e83377697cb5f9726a2514f38ed04b46c56c8 |
| URL | hXXps://www.adelaida[.]ua/plugins/vmsearch/wp-config-plugins.php |
| URL | hXXps://www.adelaida[.]ua/plugins/vmsearch/wp-config-themes.php |
| URL | hXXps://www.adelaida[.]ua/plugins/vmsearch/wp-file-script.js |
| URL | hXXps://atomydoc[.]kg/src/open_center/ |
| URL | hXXps://atomydoc[.]kg/src/open_center/?page=ccl |
| URL | hXXps://atomydoc[.]kg/src/open_center/?page=fst |
| URL | hXXps://atomydoc[.]kg/src/open_center/?page=snd |
| URL | hXXps://atomydoc[.]kg/src/open_center/?page=trd |
| URL | hXXps://aleimportadora[.]net/images/slides_logo/ |
| URL | hXXps://aleimportadora[.]net/images/slides_logo/?page= |
| URL | hXXps://aleimportadora[.]net/images/slides_logo/fg/message |
| URL | hXXps://aleimportadora[.]net/images/slides_logo/fg/music |
| URL | hXXps://aleimportadora[.]net/images/slides_logo/fg/video |
| URL | hXXps://aleimportadora[.]net/images/slides_logo/index.php |
| URL | hXXps://octoberoctopus.co[.]za/wp-includes/sitemaps/web/ |
| URL | hXXps://sansaispa[.]com/wp-includes/images/gallery/ |
| URL | hXXps://www.pierreagencement[.]fr/wp-content/languages/index.php |
| URL | hXXps://mail.aet.in[.]ua/outlook/api/logon.aspx |
| URL | hXXps://mail.kzp[.]bg/outlook/api/logon.aspx |
| URL | hXXps://mail.numina[.]md/owa/scripts/logon.aspx (CAPIBAR C2URL) |
| URL | hXXps://mail.aet.in[.]ua/outlook/api/logoff.aspx (CAPIBAR C2URL) |
| URL | hXXps://mail.arlingtonhousing[.]us/outlook/api/logoff.aspx (CAPIBAR C2URL) |
| URL | hXXps://mail.kzp[.]bg/outlook/api/logoff.aspx (CAPIBAR C2URL) |
| URL | hXXps://mail.lechateaudelatour[.]fr/MICROSOFT.EXCHANGE.MAILBOXREPLICATIONSERVICE.PROXYSERVICE/RPCWITHCERT/SYNC (CAPIBAR C2URL) |
| URL | hXXps://mail.lebsack[.]de/MICROSOFT.EXCHANGE.MAILBOXREPLICATIONSERVICE.PROXYSERVICE/RPCWITHCERT/SYNC (CAPIBAR C2URL) |
