El Centro de Inteligencia de Amenazas de Microsoft (MSTIC) ha descubierto un actor malicioso bautizado como NICKEL, que tiene su base en China, y dirige sus ataques a gobiernos, entidades diplomáticas y organizaciones no gubernamentales (ONG) en toda América Central y del Sur, el Caribe, Europa y América del Norte.
MSTIC ha estado rastreando a NICKEL desde 2016, pero no fue hasta hace unas horas que la Unidad de Crímenes Digitales de Microsoft (DCU) anunció la incautación exitosa de un conjunto de sitios web operados por NICKEL y la interrupción de sus ataques en curso dirigidos a organizaciones en 29 países, tras una orden judicial de un tribunal en Estados Unidos que otorgó a Microsoft la autoridad para incautar estos sitios.
La de Redmond cree NICKEL ha logrado un acceso a largo plazo a varios objetivos, lo que le ha permitido realizar actividades como la exfiltración de datos programada regularmente.
"A medida que la influencia de China en todo el mundo sigue creciendo y la nación establece relaciones bilaterales con más países y amplía las asociaciones en apoyo de la Iniciativa del Cinturón y la Ruta de China, evaluamos que los actores de la amenaza con base en China seguirán apuntando a clientes en los sectores gubernamental, diplomático y de ONG para obtener nuevos conocimientos". Microsoft cree que el objetivo es espionaje económico y recopilar información.
España no parece afectada por ahora, según las investigaciones de Microsoft, pero sí Argentina, Colombia, México, Panamá, Venezuela, Ecuador y Perú en América Latina o Francia, Italia, Portugal y Reino Unido, vecinos cercanos a nuestro país en Europa. La lista completa de los países atacados está en el mapa previo. Microsoft está notificando a los clientes que han sido atacados o comprometidos, aunque no ha hecho esta información pública.
Microsoft aconseja a sus clientes en general que revisen cuanto antes la actividad de su sistema operativo y sus equipos y que implementen mitigaciones de riesgo e investiguen los comportamientos sospechosos que coincidan con las tácticas descritas en este blog.
MSTIC ha observado que los actores de NICKEL utilizan exploits contra sistemas no parcheados para comprometer servicios de acceso remoto y dispositivos. "Una vez que la intrusión ha tenido éxito, han utilizado volcadores o robadores de credenciales para obtener credenciales legítimas, los actores de NICKEL crearon y desplegaron malware personalizado que les permitió mantener la persistencia en las redes de las víctimas durante largos períodos de tiempo. MSTIC también ha observado que NICKEL lleva a cabo una recolección y exfiltración de datos frecuente y programada".
NICKEL logra comprometer las redes mediante ataques a aplicaciones web orientadas a Internet que se ejecutan en Microsoft Exchange y SharePoint. También atacan la infraestructura de acceso remoto, como los dispositivos VPN sin parchear. Es decir, Nickel fue capaz de comprometer a los proveedores de VPN u obtener credenciales robadas, mientras que en otros casos, se aprovecharon de sistemas Exchange Server y SharePoint sin parches.
Además, NICKEL suele desplegar un keylogger para capturar las credenciales de los usuarios de los sistemas comprometidos. Hemos observado que NICKEL utiliza Mimikatz, WDigest (un antiguo método de autenticación que permite al atacante acceder a las credenciales en texto claro), NTDSDump y otras herramientas de volcado de contraseñas para recopilar credenciales en un sistema y en navegadores.
De acuerdo con la firma fabricante de Windows, las familias de malware Leeson, Neoichor y NumbIdea suelen utilizar la interfaz COM de Internet Explorer (IE) para conectarse y recibir comandos de servidores C2 codificados. Debido a su dependencia del IE, estas familias de malware configuran intencionadamente los ajustes del navegador modificando diversas entradas del registro. Luego se conectan a los servidores C2 y las solicitudes de URL siguen nuevos formatos.
Una respuesta típica del servidor C2 es una página web de aspecto legítimo que contiene la cadena "!DOCTYPE html", que el malware comprueba. A continuación, el malware localiza un blob codificado en Base64, que decodifica y procede a cargar como shellcode.
Los implantes NICKEL son puertas traseras capaces de recopilar información del sistema, como: Dirección IP, versión del sistema operativo, ID del idioma del sistema, nombre del ordenador y nombre de usuario registrado. MSTIC ha observado que NICKEL coloca su malware en las rutas de los programas instalados. Este malware parecen ser archivos utilizados por una aplicación instalada. Un ejemplo de ruta sería C:\Program Files (x86)\Adobe\Flash Player\AddIns\airappinstaller\airappinstall.exe.
Fuente: Genbeta
¿Quieres formarte dentro del amplio universo de la Seguridad Informática? En EducaciónIT tenemos una gran variedad de cursos en Seguridad Informática, mediante los cuales podrás convertirte en un experto en seguridad en Windows, Linux, desarrollo seguro de aplicaciones web, mobile, y mucho más.