20 feb. 2020

DRBControl: grupo dedicado al ciberespionaje de casas de juego y apuestas

DRBControl es el nombre con el que investigadores de Trend Micro han bautizado a un nuevo grupo de atacantes dedicados al ciberespionaje de casas de juego y apuestas. Los atacantes hacían uso de un malware no conocido hasta la fecha cuyo propósito era el robo de información de las bases de datos y repositorios de código de estas empresas.

Estos no son los primeros ataques a sitios de apuestas y apuestas en línea. En 2018, ESET informó que atacantes respaldados por el estado de Corea del Norte habían atacado al menos un casino en línea en América Central desde donde se cree que intentaron robar fondos.

Aunque el foco de los atacantes se encuentra en empresas de origen asiático, algunos reportes informan también de ataques en Europa y Oriente Medio. Tras estudiar uno de los ataques realizados a una compañía de Filipinas, el equipo de Trend Micro pudo descubrir un completo arsenal de backdoors y exploits que el grupo utilizaba para sus operaciones.

En agosto de 2019, la firma de seguridad FireEye informó que algunos grupos patrocinados por el estado chino estaban llevando a cabo ataques cibernéticos paralelos, en su tiempo libre, para sus propios beneficios e intereses, separados de sus operaciones normales patrocinadas por el estado.

Esto permitió a los investigadores trazar un perfil más detallado sobre el grupo y su modus operandi:
La primera fase de la intrusión consistía en un ataque de spear phishing que utilizaba documentos .DOCX para infectar las máquinas.
La infección utilizaba el servicio legítimo MSMpEng.exe (Antimalware Service Executable) para cargar una DLL maliciosa y ejecutar la puerta trasera que llamaremos Tipo 1. Las últimas versiones de este malware tenían la particularidad de utilizar Dropbox como servidor de control y comando, desde donde descargar diversos payloads, herramientas de post-explotación y almacenar la información robada.

Los atacantes también desplegaban un segundo tipo de puerta trasera, independiente del primero pero con funcionalidades de espionaje y control parecidas. Al igual que el primero, este malware está escrito en C++ y utiliza un mecanismo similar para cargarse a través de una DLL maliciosa. El malware utilizaba claves del registro de Windows para guardar la información de conexión con el C&C y también implementaba mecanismos de persistencia en el sistema.

Las campañas también utilizaban otras familias ya conocidas, como son:
  • PlugX RAT
  • Trochilus RAT
  • MFC Keyloggers
  • HyperBro
  • Cobalt Strike
El grupo DRBControl se vale de estas puertas traseras para conseguir información confidencial sobre las empresas objetivo: documentos de Office, ficheros PDF, bases de datos, cookies del navegador y bases de datos de KeePass.

Además utilizan diversas herramientas de post-explotación que permiten:
  • Robar información del portapapeles
  • Analizar el tráfico de red
  • Obtener la IP pública de la máquina
  • Obtener información de la red de la máquina
  • Realizar ataques de fuerza bruta
  • Elevar privilegios en el sistema
  • Volcado de contraseñas
  • Salto de protecciones UAC
  • Cargar y ejecutar código
Si bien todo parece indicar que DRBControl es un nuevo grupo, se han encontrado algunas relaciones con otros grupos APT como Winnti y Emissary Panda (también conocidos como BRONZE UNION, APT27, Iron Tiger o LuckyMouse).

Puede obtenerse más información en el informe elaborado por Trend Micro disponible en su web.

Fuente: Hispasec | Operation DRBControl

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!