NUEVA CAMPAÑA DEL GRUPO APT BLUENOROFF

27/12/2022

BOLETÍN NRO 2022-753

Recientemente se ha descubierto que los ciberdelincuentes BlueNoroff están utilizando nuevas técnicas en sus operaciones, que permiten eludir las protecciones de Windows MoTW.

Servicios Afectados

• Sistemas operativos Windows

Detalles Tecnicos

CVE: ---                                    Severidad:   ALTA

Las etiquetas de Windows Mark of the Web (MotW), son aplicadas en los archivos comprimidos ZIP extraídos, ejecutables y documentos que se originan en lugares no confiables de la web. Sin embargo, los ciberdelincuentes de BLUENOROFF APT, están adoptando nuevas técnicas en sus operaciones, con el objetivo de eludir las protecciones de Windows Mark of the Web (MotW). Utilizando formatos de archivo de imagen de disco óptico (extensión .ISO) y disco duro virtual (extensión .VHD) como parte de una nueva cadena de infección. 

Estos cibercriminales generaron numerosos dominios fraudulentos, con el propósito de hacerse pasar por empresas de capital de riesgo y bancos. Se identificó que los dominios falsos imitan a ABF Capital, Angel Bridge, ANOBAKA, Bank of America y Mitsubishi UFJ Financial Group, la mayoría de los cuales se encuentran en Japón, lo que indica un "gran interés" en la región.

Las motivaciones financieras de estos ciberdelincuentes en oposición al espionaje lo han convertido en un actor de estado-nación inusual en el panorama de amenazas, lo que permite una "dispersión geográfica más amplia" y le permite infiltrarse en organizaciones en América del Norte y del Sur, Europa, África y Asia.

Indicadores de Compromiso

IP

104[.]168[.]249[.]50

172[.]86[.]121[.]130

155[.]138[.]159[.]45

152[.]89[.]247[.]87

149[.]28[.]247[.]34

Dominio

tptf[.]us

tptf[.]ltd

tptf[.]co

smbcgroup[.]us

smbc[.]ltd

smbc-vc[.]com

perseus[.]bond

offerings[.]cloud

mufg[.]tokyo

mizuhogroup[.]us

beyondnextventures[.]com

beyondnextventures[.]co

bankofamerica[.]us[.]org

bankofamerica[.]tel

bankofamerica[.]nyc

anobaka[.]jp

angelbridge[.]capital

abf-cap[.]co

URL

hxxps://zvc[.]vc

hxxps://www[.]mizuhogroup[.]com

hxxps://www[.]capmarketreport[.]com/packageupd[.]msi?ccop=RoPbnVqYd

hxxps://www[.]angelbridge[.]jp

hxxps://www[.]abf-cap[.]com

hxxps://tptf[.]co

hxxps://docs[.]azure-protection[.]cloud/EMPxSKTgrr3/2CKnoSNLFF/

0d6rQrBEMv/gGFroIw5_m/n9hLXkEOy3/wyQ%3D%3D

hxxps://docs[.]azure-protection[.]cloud/+gFJKOpVX/4vRuFIaGlI/

D+OfpTtg/YTN0TU1BNx/bMA5aGuZZP/ODq7aFQ%3D/%3D

hxxps://docs[.]azure-protection[.]cloud/%2BgFJKOpVX/4vRuFIaGlI/

D%2BOfpTtg/YTN0TU1BNx/bMA5aGuZZP/ODq7aFQ%3D/%3D

hxxps://beyondnextventures[.]com

hxxps://bankofamerica[.]us[.]org/lsizTZCslJm/W+Ltv_Pa/qUi+KSaD/_rzNkkGuW6/cQHgsE=

hxxps://anobaka[.]jp

hxxp://www[.]capmarketreport[.]com/packageupd[.]msi?ccop=RoPbnVqYd

hxxp://perseus[.]bond/VcIf1hLJopY/shU_pJgW2Y/NX4SoGYuka/iiOHK5H35B/bM%3D

hxxp://perseus[.]bond/Dgy_0dU08lC/hCHEdlDFGV/P89bXhClww/uiOHK5H35B/bM%3D

hxxp://offerings[.]cloud/NafqhbXR7KC/rTVCtCpxPH/pdQTpFN6FC/Lhr_wXGXix/nQ%3D

hxxp://avid[.]lno-prima[.]lol/VcIf1hLJopY/shU_pJgW2Y/KvSuUJYGoa/sX+Xk4Go/gGhI=

hxxp://avid[.]lno-prima[.]lol/NafqhbXR7KC/rTVCtCpxPH/kMjTqFDDNt/fiOHK5H35B/bM%3D

Hash

MD5: 21e9ddd5753363c9a1f36240f989d3a9

SHA256: a3f087c83453cde2bc845122c05ebeb60e8891e395b45823c192869ec1b72ea6

MD5: 931d0969654af3f77fc1dab9e2bd66b1

SHA256: f14c5bad5219b1ed5166eb02f5ff08a890a181cef2af565f3fe7bcea9c870e22

MD5: 1e3df8ee796fc8a13731c6de1aed0818

SHA256: 79de30973b69aa4c44574a512e7820cc0a00f1241930ea361b7b0afcb1cccf2d

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución

Fuente

• Fuente 1: BlueNoroff APT Hackers Using New Ways to Bypass Windows MotW Protection
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​