Compromiso estratégico importante con sitios en el Medio Oriente
Los investigadores de ESET han descubierto ataques de pozos de agua en sitios web populares de Oriente Medio y sus enlaces al software espía Candiru.
En 2018, los investigadores de ESET desarrollaron un sistema interno personalizado para detectar ataques de pozos de agua (también conocidos como intrusiones estratégicas en sitios web) en sitios web populares. En julio de 2020, el sistema nos informó que el sitio web de la embajada iraní en Abu Dhabi había sido modificado y que JavaScript se había implementado desde entonces. https: // piwiks[.]com / reconnect.jsComo se muestra en la Figura 1.
Figura 1. Inyección de guiones en el sitio web de la Embajada de Irán en Abu Dhabi.
La naturaleza del sitio web infectado despertó nuestra curiosidad y, durante las próximas semanas, descubrimos que otros sitios relacionados con Oriente Medio estaban experimentando operaciones similares, y rastreamos el inicio del evento en marzo de 2020 cuando se volvió a inscribir el dominio. cerveza[.]yCreemos que estas promociones estratégicas de sitios web comenzaron en abril de 2020 cuando Middle East Eye (middleeasteye.net), un sitio web de noticias digitales que cubre el distrito de Londres, comenzó a codificar desde el cerveza[.]y...
A finales de julio y principios de agosto de 2020, se limpiaron todos los sitios web infectados restantes; Es posible que el propio atacante haya eliminado el script malicioso del sitio infectado. Las organizaciones amenazantes permanecieron en silencio hasta enero de 2021 cuando vimos una nueva ola de promesas. La segunda ola duró hasta agosto de 2021 y todas las ubicaciones se limpiaron nuevamente. Comparta algunos de los indicadores de la segunda ola en TwitterEsto nos permitirá conectarnos a lo que Kaspersky llama Carcadanne.
Hemos detallado las funciones internas prometidas en este apartado. análisis técnico A continuación, pero vale la pena señalar que el destino final son ciertos visitantes de estos sitios y es probable que reciban exploits del navegador. El sitio web pirateado solo se utiliza para lograr el objetivo final.
También encontramos enlaces interesantes sobre Candiru, consulte la sección para más detalles. Vínculos entre el sitio web de Wateringhole, documentos de phishing dirigidos y CandiruCandiru es una empresa de espionaje privada israelí que se agregó recientemente a la lista de entidades legales del Departamento de Comercio de los Estados Unidos (organizaciones sujetas a restricciones de licencia). Esto podría evitar que cualquier organización de los EE. UU. Haga negocios con Candiru sin obtener primero una licencia comercial del Departamento de Comercio de EE. UU.
En el momento de escribir este artículo, los operadores parecen haberse detenido, quizás para reorganizar y oscurecer más sus actividades. Espero volver a verte en los próximos meses.
Objetivo del ataque
Nuestro seguimiento muestra que los operadores están interesados principalmente en Oriente Medio, especialmente en Yemen. La Tabla 1 enumera las víctimas conocidas en 2020 y 2021.
Tabla 1. Dominios dañados durante la primera ola
| Sitio web pirateado | C&C | desde | llegar | detalle |
|---|---|---|---|---|
| Red de ojos de Oriente Medio | cerveza[.]y | Un periódico de Internet de Oriente Medio con sede en el Reino Unido. | ||
| Aerolíneas Piaggio | cerveza[.]y | Compañía aérea italiana. | ||
| Exposición farmacéutica[.]cooperar | Rebautizar[.]lugar | 2020-07-09 | 2020-10-13 | Pretende ser un sitio web falso para la Feria Médica Alemana en Düsseldorf. |
| mfa.gov.ir | cerveza[.]y | 2020-07-11 | 2020-07-13 | Ministerio de Relaciones Exteriores de Irán. |
| Sitio web del anuario | Rebautizar[.]lugar | 2020-07-24 | 30 de julio de 2020 | Estaciones de televisión relacionadas con Hezbollah. |
| smc.gov.ye | Seguimiento de visitantes[.]red Olla caliente[.]red |
2021-01-18 2021-04-21 |
2021-04-14 2021-07-30 |
Ministerio del Interior de Yemen. |
| almasirahnews.com | Seguimiento de visitantes[.]red Olla caliente[.]red |
2021-01-25 2021-04-21 |
2021-03-25 2021-07-17 |
La estación de televisión yemení está asociada con el movimiento Ansar Allah (Houthis). |
| Sitio web del gobierno chino | Olla caliente[.]red | 2021-02-01 | desconocido | Oficina Central Siria de Supervisión e Inspección. |
| Sitio web del Ministerio de Educación | Olla caliente[.]red | 2021-02-01 | desconocido | Ministerio de Energía de Siria. |
| Sitio web del anuario | Efectos de red[.]bz Transmisión web[.]bz Transmisión web[.]bz |
2021-02-03 2021-03-12 2021-03-24 |
2021-02-23 2021-03-24 2021-03-25 |
Estaciones de televisión relacionadas con Hezbollah. |
| manartv.com.lb | Efectos de red[.]bz | 2021-02-03 | 2021-03-22 | Estaciones de televisión relacionadas con Hezbollah. |
| Ministerio de Finanzas | Olla caliente[.]red | 2021-02-11 | 2021-07-14 | Ministerio de Finanzas de Yemen. |
| scs-net.org | Olla caliente[.]red | 2021-03-07 | desconocido | Proveedor de servicios de Internet en Siria. |
| Red aduanera | Lección vital[.]tierno | 2021-03-24 | 2021-06-16 | Aduanas yemeníes. |
| denel.co.za pmp.co.za deneldynamics.co.za denellandsystems.co.za denelaviation.co.za |
Mejora el campo[.]red | 2021-03-31 2021-03-31 2021-04-03 04/04/2021 2021-04-07 |
2021-07-22 desconocido 2021-07-27 2021-07-23 2021-07-19 |
Grupo Técnico Aeroespacial y Militar del Estado Sudafricano. |
| Yemen Net | Olla caliente[.]red | 2021-04-15 | 2021-08-04 | Proveedor de servicios de Internet en Yemen. |
| Yemen Parliament.gov.ye | Olla caliente[.]red | 2021-04-20 | 2021-07-05 | Parlamento yemení. |
| yemenvision.gov.ye | Olla caliente[.]red | 2021-04-21 | 2021-06-13 | Sitio web del gobierno yemení. |
| Ma Ye | Olla caliente[.]red | 2021-05-04 | 2021-08-19 | Los medios yemeníes están relacionados con los hutíes. |
| thesaudreality.com | Cargador[.]red | 2021-06-16 | 2021-07-23 | Arabia Saudita puede ser un medio disidente. |
| Sabaya | Agregarlo[.]evento | 2021-06-18 | desconocido | La agencia de noticias yemení tiene vínculos con los hutíes. Sin embargo, parece que se entregará al Consejo de Transición Sur a principios de junio de 2021, justo antes de que el sitio fuera pirateado. |
Exposición farmacéutica[.]cooperar Este es el único valor atípico en esta lista, ya que el dominio no fue pirateado, sino que fue controlado por el propio atacante. Está alojado en ServerAstra como todos los demás servidores C&C en uso en 2020.
El sitio se hace pasar por un sitio legítimo medica-messe.deEste es el sitio web de la feria MEDICA World Medical Forum, que se celebra anualmente en Düsseldorf. El operador acaba de clonar el sitio web original y agregó un pequeño fragmento de JavaScript.
Como puede ver en la Figura 2, el contenido no parece haber cambiado. Es posible que los atacantes no puedan piratear sitios web legítimos, pero deben crear un sitio web falso para inyectar su código malicioso.
Arroz. 2. Versión clonada del sitio web MEDICA.
Curiosamente, los dominios maliciosos imitan el análisis web del mundo real, los acortadores de URL o URL y los dominios de la red de entrega de contenido. Esta es propiedad de un atacante.
Análisis técnico: interacción estratégica con el sitio web
Primero Ola-2020
Primera etapa: inyección de script
Todos los sitios web infectados fueron inyectados con código JavaScript de un dominio controlado por el atacante. cerveza[.]y Y el lado Rebautizar[.]lugarEn el primer caso conocido, la inyección se muestra en la Figura 3.
Figura 3. Un script incrustado en el sitio web de la Embajada de Irán en Abu Dhabi.
Esta inyección carga JavaScript remoto llamado Reconectar.js Y GeoJS, una biblioteca legítima de terceros para la búsqueda de IP por geolocalización.
En el caso de inyección in situ Rebautizar[.]lugarLos scripts adicionales se cargan a través de etiquetas. guión HTML como se muestra en la Figura 4.
Figura 4. Un script para insertar un sitio web Exposición farmacéutica[.]cooperar
Paso 2 script de reconocimiento de huellas dactilares
Reconectar.js sí recon-api.js Son casi iguales, solo se ha cambiado el orden de algunas líneas o funciones. Como se muestra en la Figura 5, el autor del malware intentó evitar sospechas agregando una copia del encabezado del complemento del navegador jQuery al script. Es de esperar que los analistas de malware no vayan más lejos.
Figura 5. Inicio del script de reconocimiento de huellas dactilares utilizado en la primera ola
El script primero implementa un programa llamado Información geográficaSe llamará automáticamente desde la biblioteca GeoJS previamente cargada como se describe en el sitio oficial de GeoJS. json Contiene información sobre la ubicación geográfica de la IP. Este JSON envía el script a través de una solicitud HTTP POST al servidor C&C ubicado debajo de la URL. https: // cambio de nombre[.]Sitio / reconnect-api.php... Cuando el servidor devuelve un código de estado HTTP 200, el script carga un archivo llamado Principalmente...
Primero, Principalmente Utilice la función personalizada que se muestra en la Figura 6 para recopilar información como la versión del sistema operativo y la versión del navegador. Todo lo que tiene que hacer es analizar el agente de usuario del navegador para extraer la información.
Figura 6. Reconocimiento de huellas dactilares por navegador y sistema operativo.
Como se muestra en la Figura 7, la función luego verifica si el sistema operativo es Windows o macOS y continúa en este caso. Esto es interesante porque muestra que se supone que este proceso daña las computadoras, no los dispositivos móviles como los teléfonos inteligentes. También analiza una lista de navegadores web populares: Chrome, Firefox, Opera, IE, Safari y Edge.
Figura 7. Función Principalmente Secuencia de comandos de reconocimiento de huellas dactilares utilizada en la primera ola
El script también cifra el valor codificado, 1122Por lo que no sabemos, incluso si la función se llama DescifrarSe utiliza correctamente para la biblioteca de cifrado RSA y JSEncrypt. Una clave RSA de 1024 bits está codificada y configurada para:
———— iniciar clave pública——
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDhIxVX6QGlxe1mrkPCgBtz8bWH
nzmek4He5caAE2sH2TFnXN1VdqpxMaJSi + dj9sbqHu0tSYd + 5tU20514jlEOX6 / D
yFFPCoOvx5TzAm + AkSmevUuMsfZTifK + wQRxRhiuMk2UbnVCVQS0CJDoPTl8Blsp
1oCEF2Kz7uIb0pea3QIDAQAB
———— Fin de la clave pública——
Luego, el script envía una solicitud HTTPS GET al servidor C&C. Rebautizar[.]lugarEl parámetro id contiene los datos de la huella digital y el último valor del parámetro contiene el país / región proporcionado por la biblioteca GeoJS.
Cuando el servidor devuelva una respuesta, descifrela usando AES y una clave codificada de la biblioteca CryptoJS. flcwsfjWCWEcoweijwf @ # $ @ # $ @ # 499299234 @ # $! @ 2... Incluso después de verificar varias consultas, esta clave sigue siendo la misma.
El valor descifrado debe ser una URL y se creará un nuevo iframe apuntando a esa URL. No pudimos obtener una respuesta eficaz, pero creemos que se trata de aprovechar las vulnerabilidades de ejecución remota de código en el navegador que podrían permitir a un atacante tomar el control de la computadora.
Hola por segunda vez - 2021
Una nueva ola de ataques comenzó en enero de 2021. El atacante creó una nueva infraestructura de red y cambió todo el código JavaScript.
Primera etapa: inyección de script
Para ser más discretos en la segunda ola, comenzaron a cambiar los scripts en el sitio infectado. En lugar de agregar código en la página principal del HTML, modificaron una biblioteca similar. wp-embed.min.jsComo se muestra en la Figura 8. Acabas de agregar algunas líneas al final. https://www.smc.gov.ye/wp-includes/js/wp-embed.min.js Descarga el script del servidor que administran: https: // carril de visitantes[.]Internet / sliders.js...
Figura 8. El script de inyección utilizado en la segunda ola.
Otra estrategia para limitar la exposición es crear una cookie la primera vez que un visitante ejecuta un script malicioso, como se muestra en la Figura 9. Dado que el script se inyecta condicionalmente dependiendo de si existe la cookie, esto evita otra inyección. Este código en particular se encontró en el sitio web del Servicio Central de Vigilancia e Inspección de Siria (Sitio web del gobierno chino).
Figura 9. Creación de una cookie para evitar más solicitudes
segunda planta
Desde enero de 2021 hasta marzo de 2021, los operadores utilizaron scripts basados en la biblioteca minAjax en la segunda fase. Este no es un script de huellas dactilares en sí mismo, ya que no envía información del navegador o del sistema operativo al servidor C&C; se muestra un ejemplo en la Figura 10. Cabe señalar que el software publicitario LNKR utiliza scripts muy similares para averiguar qué podría estar causando una gran cantidad de falsos positivos.
Figura 10. Segunda fase de la segunda ola de scripts.
Este script contiene la marca de tiempo actual, t0, Sello de tiempo de vencimiento, predecesor, Y dos hashes Sur sí CsActualmente no somos conscientes de su significado, estos valores se envían al servidor de C&C. https: // webfex[.]bz / f / gstats... si la respuesta es un objeto JSON y contiene una clave AdelanteEl script será redirigido a Adelante Utilice parent.top.window.location.href. Al igual que con la primera ola, no pudimos obtener redireccionamientos efectivos.
En abril de 2021, este script se cambió a FingerprintJS Pro, que es un producto comercial. El sitio web oficial del desarrollador se muestra en la Figura 11.
Figura 11. Página de inicio de FingerprintJS.
En comparación con el script de reconocimiento de huellas dactilares utilizado en 2020, es mucho más complicado ya que extrae el idioma predeterminado, la lista de fuentes admitidas por el navegador, la zona horaria, la lista de complementos del navegador y la dirección IP local que utilizaron. RTCP de igual a igual, etc. La comunicación de red con el servidor C&C está encriptada con la clave de sesión AES. Como se muestra en la Figura 12, el servidor puede devolver código JavaScript que se ejecuta en la página web actual.
Figura 12. FingerprintJS Pro agrega código JavaScript a la página actual.
Como en el caso anterior, no teníamos una redirección válida. Continuamos asumiendo que esto conducirá a exploits en el navegador y muestra que esta acción está dirigida.
Envíe archivos de phishing y enlaces candiru
Recordatorio de publicación de Citizen Lab
La publicación de Citizen Lab en Candiru tiene una sección traducida al español titulada ¿Un grupo asociado con Arabia Saudita? Mencionó documentos de phishing específicos cargados en VirusTotal.
Este documento utiliza un servidor C&C. https: // cuturl[.]Habitación / lty7uw Y VirusTotal tiene uno Redirigir desde esta URL a. grabado https: // prueba de uso[.]cc / 1tUAE7A2Jn8WMmq / api... dominación Anti-uso[.]CC yo decido 109.70.236[.]107 Además, según Citizen Lab, el servidor coincide con la huella digital CF3 en el servidor C&C de Candiru. El nombre de dominio se registró a través de Porkbun, al igual que la mayoría de los nombres de dominio propiedad de Candiru.
Nos llamaron la atención dos dominios relacionados con la misma dirección IP:
- Efectos de red[.]CC
- Únete a la bahía[.]CC
Los mismos dominios secundarios con diferentes TLD se utilizan para la segunda ola de participación estratégica en el sitio web. Es probable que Candiru también administre estos dos dominios en el TLD. .cc...
El informe de Citizen Lab menciona algo similar a eso Corte de papel[.]lugar Aclaramos en la Tabla 2.
Tabla 2. Dominios similares Corte de papel[.]lugar
| Área | registrador | propiedad intelectual | Proveedor de servicios gestionados |
|---|---|---|---|
| atajo[.]compañero | Nyala | 83.171.237[.]48 | techo |
| Weibo[.]cooperar | Soluciones de registro de TLD | 83.97.20[.]89 | M247 |
| Corte de papel[.]solicitud | Soluciones de registro de TLD | 83.97.20[.]89 | M247 |
| URL pequeña[.]cooperar | Soluciones de registro de TLD | 83.97.20[.]89 | M247 |
| Me gusta[.]teléfono | Nyala | 188.93.233[.]149 | Punto |
Estos dominios imitan el acortamiento de URL y el sitio web de redes sociales Instagram y son propiedad de Njalla y TLD Registrar Solutions Ltd. registrado. Esto nos recuerda los nombres de dominio que se utilizan para participar estratégicamente en sitios web. Estos nombres de dominio son variaciones del sitio web. Sitios reales de análisis web, y también inician sesión a través de Nyallu.
También hemos verificado de forma independiente que tienen configuraciones de servidor similares para estos permisos de dominio.
Por lo tanto, creemos que este grupo de sitios web está controlado por el mismo grupo de amenazas que creó el documento; por el contrario, el dominio Anti-uso[.]CC Puede controlarse en Candiru y usarse para difundir exploits.
Vínculos entre el sitio web de Wateringhole, documentos de phishing dirigidos y Candiru
La Tabla 3 muestra las características del pozo de agua y los archivos encontrados por Citizen Lab y Candiru.
Tabla 3 Resumen de las relaciones entre los tres grupos (Watering Hole Site, Citizen Lab Discovered Documents y Candiru)
| charco | Grupo de archivos | Kandiru | |
|---|---|---|---|
| registrador | Mayormente Nyalla | Soluciones de registro de Njalla y TLD | Bollos de cerdo |
| Proveedor de servicios gestionados | ServerAstra, Droptop, Neterra, Net Solutions, The Infrastructure Group, Sia Nano y FlokiNET | Droptop, M247 y Dotsi | M247, QuadraNet, etc. |
| Tema de campo | Servicio de análisis y acortamiento de URL | Servicio de acortamiento de URL | Análisis, servicios de encogimiento de URL, medios, empresas tecnológicas, contratistas gubernamentales, etc. |
| Conocimiento sacrificial | medio este | medio este | Medio Oriente, Armenia, Albania, Rusia, Uzbekistán, etc. |
| Plataforma de destino | Windows y macOS | ventana | Windows y macOS |
| TPP | Compromiso estratégico de la red | Documento malicioso con la macro Document_Open | Redirigido a archivos maliciosos y URL acortadas falsas implantadas por Exploits y DevilsTongue. |
Cabe señalar que el área del pozo de agua está limitada por un grupo bastante reducido de víctimas. También notamos que el nombre de dominio (Efectos de red[.]CC, por ejemplo) es muy similar al dominio utilizado para los sitios de charcos (Efectos de red[.]bz). Pero sus métodos de registro y configuración de servidores también son muy diferentes.
En julio de 2021, Google publicó una publicación de blog que detallaba el exploit que Candiru estaba usando. Incluidos CVE-2021-21166 y CVE-2021-30551 para Chrome y CVE-2021-33742 para Internet Explorer. Se trata de vulnerabilidades completas de ejecución remota de código que permiten a un atacante tomar el control de una computadora simplemente permitiendo que la víctima visite una URL específica, que luego proporciona un exploit. Esto muestra que Candiru puede explotar las vulnerabilidades del navegador en un ataque de abrevadero.
Por eso creemos que el pozo de agua se comporta como un documento. El primer servidor C&C inyectado en el sitio web infectado se redirige a otro servidor C&C propiedad de empresas de espionaje como Candiru que proporciona exploits del navegador.
Con base en esta información, asumimos que:
- y pequeña Se considera que el creador del documento y el operador del charco son la misma persona.
- y Confianza media El operador del sitio web de Waterhole es un cliente de Candiru.
en custodia
Este informe describe dos actividades estratégicas de participación en el sitio web para organizaciones prominentes en el Medio Oriente, con un enfoque en Yemen. También publicamos un enlace a Candiru, una empresa de software espía que vende software de ataque avanzado y servicios relacionados a agencias gubernamentales.
No podemos obtener el exploit y la última carga útil. Esto muestra que los operadores prefieren limitar su enfoque operativo y no quieren quemar sus vulnerabilidades por vulnerabilidades de día cero.
A fines de julio de 2021, poco después de que Citizen Lab, Google y Microsoft publicaran artículos sobre las actividades de Candiru, finalizamos esta actividad.
Puede encontrar una lista completa de Indicadores de intrusión (IoC) y ejemplos en nuestro repositorio de GitHub.
Si tiene alguna pregunta o envía muestras sobre un tema, escríbanos. Amenaza para [email protected].
Indicadores de compromiso
Sitio legal que ha sido pirateado
| Sitio web pirateado | desde | Antes (considerado como el límite inferior) |
|---|---|---|
| Red de ojos de Oriente Medio | 2020-04-04 | 2020-04-06 |
| Aerolíneas Piaggio | 2020-07-08 | 2020-11-05 |
| mfa.gov.ir | 2020-07-11 | 2020-07-13 |
| Sitio web del anuario | 2020-07-24 | 30 de julio de 2020 |
| smc.gov.ye | 2021-01-18 2021-04-21 |
2021-04-14 2021-07-30 |
| almasirahnews.com | 2021-01-25 2021-04-21 |
2021-03-25 2021-07-17 |
| Sitio web del gobierno chino | 2021-02-01 | desconocido |
| Sitio web del Ministerio de Educación | 2021-02-01 | desconocido |
| Sitio web del anuario | 2021-02-03 2021-03-12 |
2021-02-23 2021-03-25 |
| manartv.com.lb | 2021-02-03 | 2021-03-22 |
| Ministerio de Finanzas | 2021-02-11 | 2021-07-14 |
| scs-net.org | 2021-03-07 | desconocido |
| Red aduanera | 2021-03-24 | 2021-06-16 |
| denel.co.za | 2021-03-31 | 2021-07-22 |
| pmp.co.za | 2021-03-31 | desconocido |
| deneldynamics.co.za | 2021-04-03 | 2021-07-27 |
| denellandsystems.co.za | 04/04/2021 | 2021-07-23 |
| denelaviation.co.za | 2021-04-07 | 2021-07-19 |
| Yemen Net | 2021-04-15 | 2021-08-04 |
| Yemen Parliament.gov.ye | 2021-04-20 | 2021-07-05 |
| yemenvision.gov.ye | 2021-04-21 | 2021-06-13 |
| Ma Ye | 2021-05-04 | 2021-08-19 |
| thesaudreality.com | 2021-06-16 | 2021-07-23 |
| Sabaya | 2021-06-18 | desconocido |
Servidor C&C
| Área | propiedad intelectual | Primera vista | Ultimo Apariencia | detalle |
|---|---|---|---|---|
| cerveza[.]y | 91.219.236[.]38 | Servidor Puddle C&C. | ||
| Rebautizar[.]lugar | 91.219.239[.]191 91.219.236[.]38 |
Servidor Puddle C&C. | ||
| Exposición farmacéutica[.]cooperar | 91.219.236.50 | 2021-06-28 | 2021-10-20 | Una página falsa que muestra una conferencia médica alemana. |
| Me gusta[.]bz | 91.219.239[.]191 | 2020-03-19 | 2020-03-19 | Desconocido. |
| URL pequeña[.]sí | 91.219.239[.]191 | 2020-03-19 | 2020-04-16 | Desconocido. |
| URL pequeña[.]bz | 91.219.239[.]191 | 2020-03-20 | 2020-04-16 | Desconocido. |
| Me gusta[.]lugar | 91.219.239[.]191 | 2020-03-25 | 2020-04-16 | Desconocido. |
| Me gusta[.]peso total | 91.219.239[.]191 | 26 de marzo de 2020 | 2020-04-16 | Desconocido. |
| Me gusta[.]lugar | 91.219.239[.]191 | 26 de marzo de 2020 | 2020-04-16 | Desconocido. |
| etiqueta[.]compañero | 91.219.239[.]191 | 26 de marzo de 2020 | 2020-04-16 | Desconocido. |
| URL pequeña[.]una | 91.219.239[.]191 | 26 de marzo de 2020 | 2020-04-16 | Desconocido. |
| URL pequeña[.]Foto | 91.219.239[.]191 | 26 de marzo de 2020 | 2020-04-16 | Desconocido. |
| URL pequeña[.]Agregar | 91.219.239[.]191 | 26 de marzo de 2020 | 2020-04-16 | Desconocido. |
| Mejora el campo[.]red | 185.165.171[.]105 | 2021-01-06 | 2021-07-21 | Servidor Puddle C&C. |
| Haga clic para detener[.]solicitud | 83.171.236[.]147 | 2021-01-06 | 2021-07-28 | Desconocido. |
| Seguimiento de visitantes[.]red | 87.121.52[.]252 | 2021-01-06 | 2021-10-06 | Servidor Puddle C&C. |
| Efectos de red[.]bz | 94.140.114[.]247 | 2021-01-06 | 2021-03-24 | Servidor Puddle C&C. |
| verdadero[.]tierno | 5,206,224[.]197 | 2021-01-06 | 2021-07-25 | Desconocido. |
| Únete a la bahía[.]solicitud | 185,82,126[.]104 | 2021-01-07 | 2021-05-19 | Desconocido. |
| Olla caliente[.]red | 5,206,224[.]226 | 2021-01-07 | 2021-08-02 | Servidor Puddle C&C. |
| Transmisión web[.]bz | 83.171.236[.]3 | 21/02/2021 | 2021-03-27 | Servidor Puddle C&C. |
| comprometido[.]solicitud | 5,206,227[.]93 | 2021-03-07 | 2021-07-27 | Desconocido. |
| Lección de vida[.]tierno | 87.120.37[.]237 | 2021-03-17 | 2021-07-28 | Servidor Puddle C&C. |
| Mejora el campo[.]red | 87.121.52[.]9 | 2021-03-17 | 2021-07-27 | Desconocido. |
| Netflix[.]bz | 45.77.192[.]33 | 2021-02-26 | Inadecuado | Servidor Puddle C&C. |
| Cargador[.]red | 188.93.233[.]162 | 2021-04-28 | 2021-07-28 | Servidor Puddle C&C. |
| Agregarlo[.]evento | 83.171.236[.]247 | 2021-04-29 | 2021-07-28 | Servidor Puddle C&C. |
| Hiratis[.]y | 5,206,224[.]54 | 2021-06-27 | 2021-08-01 | Desconocido. |
| Jekert[.]y | 5.2.75[.]217 | 2021-06-27 | 2021-07-27 | Desconocido. |
| Doble clic estático[.]red | 87.121.52[.]128 | 2021-06-27 | 2021-07-27 | Desconocido. |
| Análisis de código[.]y | 83.171.236[.]225 | 2021-06-27 | 2021-07-28 | Desconocido. |
| Font-gstatic[.]red | 83.171.239[.]172 | 2021-06-27 | 2021-07-24 | Desconocido. |
| cavar[.]cooperar | 87.121.52[.]144 | 2021-06-27 | 2021-07-23 | Desconocido. |
| Haga doble clic[.]Corriente alterna | 5.2.67[.]82 | 2021-06-27 | 2021-07-18 | Desconocido. |
| atajo[.]compañero | 83.171.237[.]48 | 2021-01-25 | 2021-05-01 | Desconocido. |
| Weibo[.]cooperar | 83.97.20[.]89 | 2020-11-02 | 2021-01-23 | Desconocido. |
| Corte de papel[.]solicitud | 83.97.20[.]89 | 2020-11-02 | 2021-01-20 | Servidor C&C para documentos maliciosos. |
| URL pequeña[.]cooperar | 83.97.20[.]89 | 2020-11-02 | 2020-11-25 | Desconocido. |
| Me gusta[.]teléfono | 188.93.233[.]149 | 2021-01-25 | 2021-03-11 | Desconocido. |
| Corte de papel[.]lugar | 83.171.236[.]166 | 2021-01-25 | 2021-04-23 | Servidor C&C para documentos maliciosos. |
| Anti-uso[.]CC | 109.70.236[.]107 | 2020-11-25 | 2021-02-19 | Candiru usa un servidor de entrega. |
documento
| SHA-1 | Nombres de archivo | URL de instrucción | Un comentario |
|---|---|---|---|
| 4F824294BBECA4F4ABEEDE8648695EE1D815AD53 | Inadecuado | https: // cuturl[.]Aplicación / sot2qq | Documentos con macros VBA. |
| 96AC97AB3DFE0458B2B8E58136F1AAADA9CCE30B | copy_02162021q.doc | https: // cuturl[.]Habitación / lty7uw | Documentos con macros VBA maliciosas. |
| DA0A10084E6FE57405CA6E326B42CFD7D0255C79 | Ver IP.doc | https: // cuturl[.]Espacio / 1hm39t | Documentos con macros VBA. |
Tecnología MITRE ATT & CK
Tabla utilizada ejecución 10 Del marco MITRE ATT & CK
| táctica | ME GUSTARÍA | título | describir |
|---|---|---|---|
| Desarrollo de recursos | T1583.001 | Adquisición de infraestructura: distritos | El operador compró nombres de dominio de varios registradores, incluido Njalla. |
| T1583.004 | Acceso a la infraestructura: servidor | Los operadores alquilan servidores de varias empresas de alojamiento. En 2020 alquilan principalmente servidores de ServerAstra. | |
| T1584.004 | Poner en peligro la infraestructura: servidores | El operador destruyó varios sitios destacados. | |
| T1588.001 | Disponibilidad: malware | El operador podría adquirir el derecho a utilizar implantes Candiru. | |
| T1588.005 | Adquirir capacidad: usar | El operador podría acceder a la vulnerabilidad Candiru. | |
| T1608.004 | Habilidad escénica: pase de destino | El operador modificó más de 20 sitios web conocidos, agregó un fragmento de JavaScript y descargó código adicional de su servidor C&C. | |
| Primera visita | T1189 | Pasa el compromiso | Los visitantes del sitio web infectado pueden haber recibido un exploit después de tomar las huellas digitales de su navegador. |
| T1566.001 | Phishing: accesorios de spear phishing | Los operadores envían correos electrónicos de phishing dirigidos con documentos de Word maliciosos. | |
| traer a la vida | T1059.005 | Intérprete de comandos y guiones: Visual Basic | El documento de Word contiene una macro de VBA que ejecuta el código que está utilizando Document_open Funciones. |
| Control y control | T1071.001 | Protocolo de capa de aplicación: Protocolo web | El script del pozo de agua se comunica con el servidor C&C a través de HTTPS. |
Deja una respuesta