blog

Novedades

Reunimos en una misma página todas las noticias más importantes de NextVision, incluyendo el contenido de los comunicados de prensa, artículos de Ciberseguridad, investigaciones, novedades de nuestro equipo NV y mucho más!
abril 30, 2019

TA505: Nueva Amenaza

Todo sobre Ciberseguridad

NextVision

0

Última actualización: 30 de abril 17hs

Detalles

En los últimos días se ha identificado una amenaza dirigida a países de la región, empleando técnicas y procedimientos avanzados para evitar la detección y se confirma su relación con el actor APT TA505.

Se han detectado más de 100 muestras relacionadas y distribuidas, detectadas como Trojan.MSOffice.Alien.*:

El análisis de las muestras confirma un despliegue dirigido a América Latina y países de habla Hispana, enfocado en los últimos días a Chile, Argentina, México  y España, además se han detectado muestras en menor cuantía en Panamá, Colombia, Costa Rica, Cuba, Brasil y Perú.


¿Qué es TA505?:

Este actor es conocido por controlar troyanos bancarios y botnets como Dridex, Gozi y Locky ransomware. Actualmente ha sido relacionado con la creación de malware como GlobeImposter,  FlawedGrace, FlawedAmmy y ServHelper.

Aspectos clave de la Amenaza:

De acuerdo a la publicación en el portal de Cybereason (https://www.cybereason.com/blog/threat-actor-ta505-targets-financial-enterprises-using-lolbins-and-a-new-backdoor-malware) se trata de un archivo XLS/XLSX que hace uso de macros para ejecutar, mediante archivos legítimos del sistema operativo, (lolbins: https://lolbas-project.github.io/) la descarga e instalación de diferentes variantes de malware firmados digitalmente para evadir los mecanismos de protección. Este malware instalado permita a los atacantes robar información confidencial o tomar control remoto de las estaciones infectadas.

Esta amenaza presenta los siguientes elementos clave que dan cuenta de que se trata de un actor muy preparado:

  • Campaña de phishing altamente dirigida a un pequeño número de cuentas específicas dentro de la empresa.
  • Código malicioso firmado y verificado. Esta es una precaución adicional tomada para evitar la detección.
  • Una línea de tiempo deliberada, indicada por el momento del ataque de phishing y la firma del código malicioso.
  • Un mecanismo de persistencia selectiva y autodestrucción de comandos basados en el reconocimiento autónomo.
  • Gran énfasis en la eliminación de pruebas mediante comandos de autodestrucción y eliminación de scripts.
  • Múltiples dominios C2, en el caso de una lista negra o incapacidad para conectarse por otra razón.
  • La operación integra cuatro LOLBins diferentes, lo que indica que los atacantes desplegaron intentos avanzados para evitar la detección.

Recomendaciones:

  • Seguir las recomendaciones de seguridad sobre correos electrónicos frente a mensajes no deseados o no esperados, evitando acceder a contenido potencialmente peligroso.
  • Evitar la ejecución de Macros en archivos office, y preparar a los empleados para que identifiquen elementos maliciosos en archivos diferentes a ejecutables.
  • Concientizar a los usuarios en aspectos de Ciberseguridad de forma recurrente e iterativa pudiendo contrastar la puesta en práctica de los conocimiento a través de pruebas de hackeo ético.

Fuentes: Kaspersky LAB

Comments are closed.