Ataques de Phishing con Facturas Falsas Despliegan Puertas Traseras Basadas en AnyDesk 

Ciberataque a AnyDesk: Importante Proveedor de Acceso Remoto Confirma Brecha de Seguridad

Se ha detectado una nueva campaña de phishing dirigida a organizaciones del sector aeroespacial y de aviación (principalmente en Rusia, Bielorrusia y Kazajistán) que convierte herramientas legítimas de acceso remoto en puertas traseras para el espionaje a largo plazo. Los atacantes utilizan técnicas de Living-off-the-Land (LotL) para eludir las defensas, combinando AnyDesk con utilidades de ocultación para mantener un control silencioso de las máquinas infectadas. 


Veredicto Analítico 
  • Estado: Campaña Activa. Identificada y documentada por analistas de seguridad. 
  • Confianza: Alta. Modus operandi bien definido con tácticas de evasión documentadas. 
  • Riesgo para SOC, TDIR y Redes: Alto. Al basarse enteramente en utilidades legítimas y de uso generalizado (software comercial de soporte remoto), la detección basada en firmas de los antivirus tradicionales es prácticamente ineficaz. 
  • Urgencia Operativa: Media-Alta. Requiere una transición de la detección basada en firmas hacia la monitorización de comportamiento (creación de tareas programadas y tráfico SMTP anómalo). 
  • Base del Veredicto: La cadena de ataque elimina proactivamente los artefactos forenses (limpieza de huellas) tras asegurar la persistencia, y se sospecha que está vinculada al grupo de ciberdelincuentes conocido como Rare Werewolf (o Librarian Ghouls). 

Hallazgos Clave 
  • Vector de Entrada Ofuscado: Los correos electrónicos suplantan a un instituto federal de investigación real mediante dominios recién registrados. Utilizan archivos adjuntos protegidos con contraseña (la cual se incluye en el cuerpo del correo) para evadir la inspección del contenido por parte de las pasarelas de correo seguro (SEG). 
  • Armamento Legítimo: En lugar de malware personalizado, la carga útil incluye una copia portátil de AnyDesk, herramientas de correo de línea de comandos, y una utilidad llamada “Tray Minimizer” para ocultar las ventanas de la aplicación al usuario. 
  • Exfiltración de Credenciales: Una vez configurado AnyDesk con una contraseña preestablecida, el script envía los archivos de configuración y certificados al atacante a través de un servicio SMTP legítimo. 

Análisis Técnico: Mecanismo de Explotación 

Esta operación destaca por su automatización y limpieza forense: 

  • Infección Inicial: La víctima abre el archivo protegido (etiquetado como factura). En su interior hay un instalador empaquetado que coloca los archivos en una carpeta oculta mientras muestra un PDF falso como señuelo. 
  • Descarga y Evasión: Archivos por lotes (batch) se conectan a un servidor remoto para descargar la carga útil. El script realiza una pausa intencional de un minuto, una técnica clásica para agotar el tiempo de análisis de los entornos aislados (sandboxing automáticos). 
  • Configuración Silenciosa: Se descomprime y ejecuta AnyDesk en segundo plano. La utilidad Tray Minimizer garantiza que no aparezcan avisos en la pantalla de la víctima. 
  • Persistencia y Limpieza: Se crea una tarea programada (disfrazada de actualización rutinaria) para asegurar que AnyDesk y Tray Minimizer se ejecuten en cada inicio de sesión. Inmediatamente después, el script elimina los archivos de comandos, ejecutables temporales, registros y el PDF señuelo, dificultando enormemente la respuesta a incidentes forense. 

Tácticas, Técnicas y Procedimientos (MITRE ATT&CK) 
  • Acceso Inicial: Archivo Adjunto de Spearphishing (Spearphishing Attachment – T1566.001) protegido con contraseña. 
  • Ejecución y Persistencia: Tarea Programada (Scheduled Task/Job – T1053) utilizada para mantener la herramienta activa tras el reinicio. 
  • Evasión de Defensas: Eliminación de Indicadores (Indicator Removal on Host – T1070) mediante el borrado de archivos, y el uso de Archivos/Directorios Ocultos (Hidden Files and Directories – T1564). 
  • Comando y Control: Software de Acceso Remoto (Remote Access Software – T1219) utilizando AnyDesk. 

Recomendaciones Operativas 

Para Administración de Redes y TI (Acción Prioritaria) 

  • Bloqueo de Aplicaciones: Si AnyDesk no es la herramienta de soporte remoto oficial y autorizada por la organización, debe bloquearse su ejecución mediante políticas de AppLocker o el EDR, y restringir su comunicación a nivel de firewall. 
  • Restricción de Tráfico: Limitar el tráfico de correo electrónico saliente (SMTP) a servidores estrictamente autorizados para evitar que herramientas de línea de comandos filtren configuraciones al exterior. 

Para el Centro de Operaciones de Seguridad (SOC) 

  • Monitorización de Comportamiento: Configurar alertas de cacería de amenazas (Threat Hunting) centradas en la creación de tareas programadas sospechosas (especialmente aquellas que invocan ejecutables desde directorios temporales o AppData). 
  • Ingesta de IoCs: Monitorizar la infraestructura y los hashes detallados a continuación. 

Indicadores de Compromiso (IoC) 
  • Hash SHA256: 47854deb456cb08c651b7f9ae2f9d87c72d0719de6af233340632efb3c1980f4 (Componente ejecutable/de descarga malicioso). 
  • Hash SHA256: 12648cd9d425f78db2dbc6e03c14f11e6ac6aadf8b3975c23cce9519e2b58d33 (Archivo de carga útil relacionado). 
  • Hash SHA256: f57e010541fb4ccbf23aefc4a827f753a6ff3f8792d9c04c3eea83f6963c6bae (Archivo de carga útil relacionado). 
  • Hash SHA256: 0dc0fa727f900ed5033f46f8ba6cf2d97d20ab95fd334cabc0f216da6e0622b0 (Archivo de carga útil relacionado). 
  • Dirección IP: 198.54.120[.]13 (Infraestructura del atacante). 
  • Dirección IP: 194.87.57[.]81 (Infraestructura del atacante). 
  • Dirección IP: 2.23.88[.]201 (Infraestructura del atacante). 
  • Dirección IP: 109.106.178.14 (Infraestructura del atacante). 
  • Dominio: aviatronika[.]online (Dominio de imitación falsificado). 
  • Dominio: vniir-avia[.]espacio (Dominio falsificado que suplanta la identidad del instituto VNIIR, utilizado para enviar correos). 
  • Dominio: fgub-vniir[.]espacio (Dominio de imitación falsificado). 
  • Dominio: vniir-info[.]espacio (Dominio de imitación falsificado). 
  • Dominio: nova-stream[.]sitio (Dominio de imitación falsificado). 

Related Post