03/05/2023    

BOLETÍN NRO 2023-272

BellaCiao es un "cuentagotas personalizado" descubierto por investigadores de seguridad que puede entregar otros payloads de malware en una máquina víctima en función de los comandos recibidos desde un servidor controlado por un atacante. Cada muestra está vinculada a una víctima específica y contiene información codificada, como el nombre de la empresa, subdominios especialmente diseñados o la dirección IP pública asociada.

Charming Kitten, también conocido como APT35, Cobalt Illusion, Educated Manticore, ITG18, Mint Sandstorm, TA453 y Yellow Garuda, es un grupo de amenaza persistente avanzada (APT) patrocinado por el estado iraní y asociado con el Cuerpo de la Guardia Revolucionaria Islámica (IRGC). El grupo ha utilizado varios medios a lo largo de los años para implementar backdoors en sistemas de una amplia gama de industrias verticales.

Microsoft atribuyó a Charming Kitten los ataques de represalia dirigidos a entidades de infraestructura crítica en los EE. UU. entre finales de 2021 y mediados de 2022, utilizando malware a medida como CharmPower, Drokbk y Soldier. Además, Check Point reveló que Mint Sandstorm utilizó una versión actualizada del implante PowerLess para atacar organizaciones en Israel utilizando señuelos de phishing con temática de Irak.

Aún no se ha determinado el modus operandi exacto utilizado por Charming Kitten para lograr la intrusión inicial, pero se sospecha que implica la explotación de vulnerabilidades conocidas en aplicaciones expuestas a Internet, como Microsoft Exchange Server o Zoho ManageEngine. Después de una infracción exitosa, el actor de amenazas intenta deshabilitar Microsoft Defender mediante un comando de PowerShell y establece la persistencia en el host a través de una instancia de servicio.

BellaCiao destaca por realizar una solicitud de DNS cada 24 horas para resolver un subdominio en una dirección IP que luego se analiza para extraer los comandos que se ejecutarán en el sistema comprometido. Se comunica con un servidor DNS controlado por los atacantes que envía instrucciones codificadas maliciosas a través de una dirección IP resuelta que imita la dirección IP real del objetivo.

Dependiendo de la dirección IP resuelta, la cadena de ataque conduce a la implementación de una web shell o una herramienta Plink que admite la capacidad de cargar y descargar archivos arbitrarios, así como ejecutar comandos. La campaña se considera el resultado de ataques oportunistas y se centra en una gran cantidad de industrias y tamaños de empresas. La mejor protección contra los ataques modernos consiste en implementar una arquitectura de defensa en profundidad.

Indicadores de Compromiso

IP

88[.]80[.]148[.]162

Dominio

mail-updateservice[.]info 

msn-center[.]uk 

msn-service[.]co 

twittsupport[.]com 

mailupdate[.]info 

maill-support[.]com

Hash

MD5: 4812449f7fad62162ba8c4179d5d45d7

SHA-256: 2aa1bbbe47f04627a8ea4e8718ad21f0d50adf6a32ba4e6133ee46ce2cd13780

MD5: 3fbea74b92f41809f46145f480782ef9

SHA-256: ca57391cdbac224f159e858425d231d068aa76316e0345cb8d58c716b9eff587

MD5: f56a6da833289f821dd63f902a360c31

SHA-256: cb67366adf39896cdc3ebe86e63be68eeb16ad42908ca2c2b9512308f1ac4e96