HIDE'N'SEEK: una respuesta adaptativapeer-to-peer IOT BOTNET
Autores del articulo:Adrian Þ endroiu y Vladimir Diaconescu
Bitdefender, Rumania
Cabe reseña que casis todas las web infectadas han corregido este problema, que las Empresas importantes ya han reparado esto hace meses y tomado medidas. Pero no por ello nos dejan de sorprender acciones de los criminales y acciones de las autoridades y empresa en busca de soluciones adecuadas.
Basado en sus lazos históricos con el espacio, y la entrada de grupos de actores sofisticados como FIN6 y otros, es lógico concluir que Cobalt Group también entraría en este campo y continuaría diversificando sus esfuerzos criminales contra las instituciones financieras globales
Esta publicación de blog es una colaboración entre los equipos Malwarebytes y HYAS Threat Intelligence.
Magecart es
un término que se ha convertido en un nombre familiar, y se refiere al robo de
datos de tarjetas de crédito a través de tiendas en línea. El escenario
más común es que los delincuentes comprometan los sitios de comercio
electrónico mediante la inyección de código JavaScript falso diseñado para
robar cualquier información ingresada por las víctimas en la página de pago.
La
clasificación de los actores de amenazas de Magecart no es una tarea fácil
debido a la diversidad de skimmers y su reutilización. El esfuerzo de
atribuir Magecart a "grupos" comenzó con RiskIQ y el completo informe
de Flashpoint Inside Magecart publicado en otoño de 2018,
seguido por Group-IB varios meses después.
Mucho
más recientemente, se ha presentado información sobre los actores de amenazas
reales detrás de los grupos. Por ejemplo, IBM identificó públicamente al Grupo
6 como FIN6. Esto es interesante en muchos niveles porque refuerza la idea
de que los grupos de amenazas existentes han estado aprovechando sus
experiencias pasadas para aplicarlas al robo en el campo del comercio
electrónico.
Un
grupo que captó nuestro interés es el Grupo 4, que es una de las organizaciones
cibercriminales más avanzadas. Al trabajar conjuntamente con la empresa de
seguridad HYAS, encontramos algunos patrones interesantes en las
direcciones de correo electrónico utilizadas para registrar dominios que
pertenecen a Magecart que coinciden con los de un grupo de amenazas sofisticado
conocido como Cobalt Group, también conocido como Cobalt Gang o
Cobalt Spider.
En este blog, detallaremos nuestros hallazgos y
mostraremos que el Grupo 4 no solo estaba llevando a cabo el desnatado del lado
del cliente a través de JavaScript, sino que estaba, y probablemente lo sigue
haciendo, el mismo lado del servidor. Es importante tener en cuenta que la
mayoría de los informes sobre Magecart solo cubren el primero, que es mucho más
fácil de identificar
Magecart Group 4
En el informe Inside Magecart, el Grupo 4 se describe como
avanzado y utiliza técnicas para combinarse con el tráfico normal. Por
ejemplo, Magecart registrará nombres de dominio que parecen estar vinculados a
anunciantes o proveedores analíticos (consulte los COI para los dominios del
Grupo Cobalt identificados utilizando este TTP y la convención de
nomenclatura). Otro aspecto interesante del informe es que se sospecha que
el Grupo 4 ha tenido un historial de malware bancario.
Skimmer del lado del
cliente
Uno de los skimmers originales del Grupo 4 se ocultó como el complemento
jquery.mask.js (consulte los IOC para obtener una copia del script). El
código malicioso se agrega al final del script y utiliza algunas capas de
ofuscación. Los datos codificados en hexadecimal se convierten en Base64,
que se puede traducir a texto estándar para revelar la actividad del skimmer y
una puerta de exfiltración.
Skimmer
del lado del servidor
Al verificar la infraestructura relacionada con
Magecart Group 4, identificamos un script PHP (ver IOC para la plantilla
completa) que quizás se sirvió erróneamente como JavaScript en su lugar. De
hecho, normalmente se necesitaría acceso al servidor de fondo para ver este
tipo de archivo
Este describió una copia casi exacta de este guion en su publicación Swiper
del lado del servidor con carga automática, el pequeño fragmento de código
busca ciertas palabras clave asociadas con una transacción financiera y luego
envía la solicitud y los datos de la cookie al servidor de exfiltración en
secureqbrowser [.] Com. Denis Sinegubko de Sucuri
Conexiones entre
registrantes de correo electrónico y puertas de exfiltración
Los dominios de skimmer del lado del
cliente y del lado del servidor ilustrados anteriormente (bootstraproxy [.] Com
y s3-us-west [.] Com) están registrados en robertbalbarran@protonmail.com. Están
enumerados por RiskIQ en el Grupo 4 de Magecart: Nunca desapareció,
simplemente avanzando IOCS .
Al
verificar sus compuertas de exfiltración (secure.upgradenstore [.] Com y
secureqbrowser [.] Com), los conectamos a otros correos electrónicos de
registrantes y vimos surgir un patrón.
Las direcciones de
correo electrónico utilizadas para registrar dominios de Magecart que
pertenecen al Grupo 4 de Magecart contienen un [nombre], [inicial] y
[apellido]. Ampliando nuestra búsqueda a otros dominios utilizados por el
Grupo 4 y buscando a través del conjunto de datos Comox de HYAS, vemos que esta
tendencia continúa
Sobre el grupo de Cobalt
Cobalt
Group llegó a la vanguardia de la atención pública en el verano de 2016 con sus
ataques de "premios gordos" contra las instituciones financieras en
Europa, que supuestamente le dieron al grupo más de $ 3 millones. Desde
entonces, supuestamente han acumulado más de mil millones de dólares de
instituciones globales, evolucionando sus tácticas, técnicas y procedimientos a
medida que avanzan.
Registro de dominio de Cobalt
y otros TTP
Mientras
cambiaban las tácticas a medida que evolucionaban, un patrón identificable en
las convenciones de nombres de correo electrónico utilizadas históricamente por
Cobalt permitió a HYAS no solo identificar dominios de campaña anteriores, sino
que ayudó a vincular las campañas del Grupo Cobalt con los dominios de Magecart
identificados anteriormente.
Un
pequeño cambio de una de sus convenciones anteriores de [nombre], [apellido],
[cuatro números] (utilizando abrumadoramente cuentas de protonmail, con un
puñado de cuentas de correo electrónico tutanota / keemail.me) cambió a la
convención de [nombre] mencionada anteriormente , [inicial], [apellido]
nuevamente utilizando los mismos servicios de correo electrónico y
registradores, y notablemente el mismo uso de los servicios de protección de la
privacidad.
Dado
el uso de servicios de privacidad para todos los dominios en cuestión, es
altamente improbable que esta convención de nomenclatura sea conocida por
cualquier otro actor además de aquellos que registraron la infraestructura de
Cobalt Group y Magecart. Además, una investigación adicional reveló que,
independientemente del proveedor de correo electrónico utilizado, 10 de las
cuentas aparentemente separadas reutilizaron solo dos direcciones IP
diferentes, incluso durante semanas y meses entre los registros.
Uno de esos correos electrónicos es
petersmelanie@protonmail.com, que se utilizó para registrar 23 dominios,
incluido my1xbet [.] Top. Este dominio se usó en una campaña de phishing
que aprovecha CVE-2017-0199 con un documento señuelo llamado Fraud Transaction.doc
El mismo petersmelanie@protonmail.com
también registró oracle-business [.] Com. Campañas similares contra Oracle
y varios bancos se han atribuido a Cobalt Group , con, por ejemplo,
el dominio oracle-system [.] Com.
Una amenaza creciente requiere trabajo continuo.
El
uso de skimmers tanto del lado del cliente como del lado del servidor y los
desafíos que esto plantea para identificar los compromisos de Magecart por
parte de grupos de amenazas avanzados requiere el trabajo continuo de los
socios de la industria para ayudar a defenderse de esta amenaza significativa y
creciente. En ese sentido, los autores de esta publicación quisieran
reconocer la contribución sustancial que los investigadores de la industria y
los funcionarios encargados de hacer cumplir la ley están haciendo para
combatir a grupos como el Cobalt, y esperan que la información contenida en
este cuerpo de conocimiento se agregue a este corpus de conocimiento y
fortalezca aún más estos esfuerzos.