APT37(REAPER) TTP’s

El siguiente articulo pretende evidenciar y detallar las TTP’s llevadas a cabo por el grupo de ciber-espionaje APT37 principal protagonista por utilizar 0-day de Adobe y Microsoft. (CVE-2018-0802. y CVE-2018-4878).

Detalles sobre las campañas dirigidas asociadas al grupo APT37 (Reaper) cuyo país de origen es Corea del Norte. Las actividades de este grupo han iniciado en noviembre en 2013, según los registros proporcionados por FireEye.

Detalles de Vulnerabilidades hasta ahora utilizadas:

CVE-2013-4979 EPS Viewer

CVE-2014-8439 Adobe AIR

CVE-2015-3105 Adobe Flash Player Drawing Fill Shader Memory Corruption

CVE-2015-2419 Internet Explorer JScript9.dll

CVE-2015-5119 Adobe Flash Player ByteArray

CVE-2015-5122 Adobe Flash opaqueBackground

CVE-2015-7645 Adobe Flash ‘IExternalizable.writeExternal’

CVE-2015-2545 Microsoft Office EPS File Exploit Works

CVE-2015-2387 Adobe Type Manager

CVE-2016-1019 Adobe Flash Payer “Internet Explorer/Edge and Flash Player”

CVE-2016-4117 Flash exploit inside a Microsoft Office document

CVE-2017-0199 Microsoft Office Word Malicious Hta Execution

CVE-2018-4878 Adobe Flash Player – No existen detalles técnicos hasta la fecha.

El solo hecho de explotar vulnerabilidades sobre productos de consumo masivo por nombrar algunas como ser word, excel, java o flash, sumado a la combinación de ingeniería social y ataques dirigidos, da como resultado un buen numero de infecciones positivas.

Por otro lado, es un buen ejercicio estudiar y dar seguimiento a las actividades de estos grupos, incluso es viable reconocer el tipo de familias de malware que utilizan y hacer un estudio de las amenazas que emplean, incluso es aceptable generar indicadores internos que nos permitan interpretar; patrones de trafico, tipo de comunicación con sus  C&C, tipos de files creados, modificados y vectores de ataque empleados.

Actualmente tanto para generar infecciones o para exfiltrar datos existen un sin fin de técnicas, mas o menos complejas, desde: utilizar servicios alojados en la nube o hosting con poco “control” sobre sus plataformas, sitios de confianza con mucha indexación por parte de Google. Eso complicaría bastante el monitoreo, debajo algunos ejemplos….

Cuadro-CVE
Imagen de FireEye – Detalles CVE – Cronograma

Objetivos:  Corea del Sur, Japón, Vietnam y Medio Oriente, apuntando a distintas industrias: Productos Químicos, Electrónica, Industria Aeroespacial, Salud, Automovilismo, Sector Financiero y Proveedores de Internet.

Tácticas de Infección:  Ingeniería Social adaptadas específicamente a los objetivos deseados, han comprometido páginas web estratégicas, por otro lado la distribución del malware es vía Torrent o clientes P2P alternativos y poco habituales.

Vulnerabilidades Explotadas:  Vulnerabilidades del tipo 0day (CVE-2018-0802/CVE-2018-4878) asociada con Adobe y Microsoft.

En los los años 2015/2016 entre mayo y julio es en donde mas se han explotado las fallas del tipo día 0. El exploit mas notable y reciente se dio a conocer por parte de FireEye el 2 de Febrero de 2018.

Infraestructura de comando & control:  Servidores con buena reputación comprometidos, plataformas de mensajería y proveedores de servicios cloud (Amazon, GoogleDrive, GoDaddy). Una charla muy recomendada a leer “Dynamic Callbacks for Persistence” de xtr4nge. (al final el video)

Malware:  Diversas muestras tanto para intrusión y exfiltración. Se han encontrado evidencias de malware destructivo inclusive. Dependiendo la estrategia de cada actor, o el ambiente en donde se ataque utilizaran las variantes que mas convenga. 

Malware-Use
Detalles de malware y linea de tiempo

CORALDEKC, DOGCALL, GELCAPSULE, HAPPYWORK, KARAE, MILKDROP, POORAIM, RICECURRY, RUHAPPY, SHUTTERSPEED, SLOWDRIFT, SOUNDWAVE, ZUMKONG, WINERACK.

Dado que la documentación corresponde a Fireeye y aún no esta finalizada, continuaremos en otro post con mas detalles, haciendo hincapié en el malware utilizado.

Tendremos la oportunidad de conocer sus conclusiones y daremos mas detalles de las descripciones de las amenazas arriba mencionadas.

Fuentes:
https://www2.fireeye.com/rs/848-DID-242/images/rpt_APT37.pdf
https://www.fireeye.com/blog/threat-research/2018/02/apt37-overlooked-north-korean-actor.html

https://www.fireeye.com/blog/threat-research/2018/02/attacks-leveraging-adobe-zero-day.html

https://www.researchgate.net/publication/239829710_Searching_for_Malware_in_BitTorrent

https://arxiv.org/ftp/arxiv/papers/1409/1409.8490.pdf 

Autor: malwargsecurity

malwargsecurity un proyecto personal, sin fines de lucro y para la comunidad.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s