CIBERDELINCUENTES INTENTAN VULNERAR COMPAÑIA DE CIBERSEGURIDAD

13/02/2023

BOLETÍN NRO 2023-095

El grupo APT, conocido como “Tonto Team”, llevó a cabo una campaña fallida de spear phishing contra los empleados de la compañía de ciberseguridad Group-IB con sede en Singapur, este viene siendo el segundo intento de vulneración por parte de los ciberdelincuentes.

Servicios Afectados

• Sistemas operativos Windows

Detalles Tecnicos

CVE: CVE-2017-11882, CVE-2018-0802, CVE-2018-0798                                    Severidad:   ALTA

Este APT, del cual se cree tiene origen chino, lleva a cabo ataques a organizaciones en los sectores de energía, finanzas, salud, gobierno, militar y educación con objetivos de ciberespionaje enfocándose en países de Asia Pacifico y Europa del Este. Los atacantes enviaron una serie de emails con documentos maliciosos, los cuales imitaban cuentas de correo electrónico de compañías reales, utilizando “GMX Mail” un servicio gratuito de correos.

El documento fue creado en el formato de “Rich Text Format” mediante el uso de la herramienta “Royal Road RTF Weaponizer”, del cual se sabe es utilizado principalmente por grupos de ciberdelincuentes chinos. Este documento contiene exploits los cuales le permite vulnerar algunos CVE que afectan al Microsoft Equation Editor.

Al abrir el documento malicioso se puede observar la ejecución de un payload, el cual es un archivo EXE en formato PE32, este realiza la función de backdoor, permitiendo acceso remoto y la ejecución de varios comando por parte de los atacantes.

Este malware instalado en la computadora de la víctima tiene como principal objetivo la extracción de información del sistema, descarga y ejecución de otros archivos maliciosos, toda la información recolectada es codificada utilizando Base32.

Se espera que este grupo APT siga realizando campañas de spear phishing mediante el uso de documentos señuelo para explotar vulnerabilidades conocidas, con el fin de recolectar información y robar propiedad intelectual de diversas compañías de los sectores de interés ya mencionados.

Indicadores de Compromiso

IP

137[.]220[.]176[.]165

103[.]85[.]20[.]194

Dominio

www[.]offices-update[.]com

upportteam[.]lingrevelat[.]com

Hash

MD5: 518439fc23cb0b4d21c7fd39484376ff

SHA-256: 0f704f3ab4a3ec30656dab6094c582b1089cbc8fcba280cadf3c7a651aeaacc3

MD5: e40c514739768ba04ab17ff0126c1533

SHA-256: 58c1cab2a56ae9713b057626953f8967c3bacbf2cda68ce104bbb4ece4e35650

MD5: c3d25232add0238d04864fc992e7a330

SHA-256: f40f415433fc4d350405023de6964418319d0c4a1c3de8cbfeb44fb10ab75d90

MD5: 66c46b76bb1a1e7ecdb091619a8f5089

SHA-256: c357faf78d6fb1460bfcd2741d1e99a9f19cf6dffd6c09bda84a2f0928015398

MD5: 8cdd56b2b4e1e901f7e728a984221d10

SHA-256: 7944fa9cbfef2c7d652f032edc159abeaa1fb4fd64143a8fe3b175095c4519f5

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: Nice Try Tonto Team
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​