Operation Ghost: el grupo de ciberespionaje “The Dukes” sigue activo
The Dukes (también conocidos como APT29 y Cozy Bear) ha estado en el centro de atención después de su presunta participación en la violación del Comité Nacional Demócrata (DNC, por sus siglas en inglés) previo a las elecciones estadounidenses de 2016. Desde entonces, y con la excepción de lo que se sospecha pudo haber sido una aparición del grupo en noviembre de 2018 mediante una campaña de phishing dirigida a varias organizaciones con sede en los EE. UU, ninguna actividad se ha atribuido con certeza a The Dukes, lo cual nos hizo pensar que quizás el grupo había detenido sus actividades.
Sin embargo, este pensamiento se mantuvo hasta los últimos meses, cuando descubrimos tres nuevas familias de malware que atribuimos a the Dukes, que son: PolyglotDuke, RegDuke y FatDuke. Estos nuevos implantes se utilizaron hasta hace muy poco; de hecho, en junio de 2019 fue la última vez que identificamos una muestra siendo desplegada. Esto significa que the Dukes ha estado bastante activos desde 2016, desarrollando nuevos implantes y comprometiendo objetivos de alto valor. Llamamos de manera colectiva a estas actividades realizadas por el grupo y que fueron descubiertas recientemente, como: Operation Ghost.
En Operation Ghost, the Dukes ha utilizado un número limitado de herramientas, pero se han basado en numerosas e interesantes tácticas para evitar ser detectados. Primero, son muy persistentes. Roban credenciales y las utilizan sistemáticamente para moverse lateralmente en la red. Los hemos visto utilizar credenciales administrativas para comprometer y también para volver a comprometer máquinas en la misma red local. Por lo tanto, al momento de responder ante un compromiso de este grupo, es importante asegurarse de remover cada implante en un corto período de tiempo. De lo contrario, los atacantes harán uso de cualquier implante remanente para comprometer nuevamente los sistemas limpios.
En segundo lugar, tienen una plataforma de malware sofisticada dividida en cuatro etapas:
PolyglotDuke, que usa Twitter u otros sitios web como Reddit e Imgur para obtener la URL de su C&C. También hace uso de esteganografía en imágenes para su comunicación con el C&C.
RegDuke, una primera etapa de recuperación que utiliza Dropbox como su servidor de C&C. El payload principal está cifrado en el disco y la clave de cifrado se almacena en el registro de Windows. También se basa en la esteganografía como se indicó anteriormente.
Backdoor MiniDuke, la segunda etapa. Este simple backdoor está escrito en assembler, conocido en español como lenguaje ensamblador y es muy similar a viejos backdoors MiniDuke.
FatDuke, la tercera etapa. Este backdoor sofisticado implementa muchas funcionalidades y tiene una configuración muy flexible. Su código también está bien ofuscado utilizando muchos predicados opacos. Lo recompilan y modifican su ofuscación con frecuencia para evitar su detección por productos de seguridad.
La siguiente imagen resume la patlaforma de malware de Operation Ghost.
En tercer lugar, también notamos que los operadores evitan utilizar la misma infraestructura de red de C&C entre las diferentes organizaciones víctimas de sus ataques. Generalmente este tipo de compartimentación es visto solamente por parte de los atacantes más meticulosos. Evita que toda la operación salte a la vista cuando una sola víctima descubre la infección y comparte los IoC relacionados con la comunidad de seguridad.
Fuente: https://www.welivesecurity.com