Tecnología
Productos
Industrias
Noticias
Recursos
Empresa
Español
Tecnología
Productos
Industrias
Noticias
Blog
Recursos
Empresa

Detectando APT41 explotando una vulnerabilidad de día cero

Max Heinemeyer, Director of Threat Hunting

Resumen ejecutivo

  • Darktrace detectó varios ataques altamente dirgidos a principios de marzo, mucho antes de que las firmas asociadas estuvieran disponibles. Dos semanas después, los ataques se atribuyeron al agente responsable de la amenaza chino APT41.

  • APT41 aprovechó la vulnerabilidad de día cero de Zoho ManageEngine CVE-2020-10189. Darktrace detectó e informó automáticamente del ataque en sus primeras etapas, lo que permitió a los clientes contener la amenaza antes de que pudiera tener un impacto.

  • Las intrusiones descritas aquí fueron parte de una campaña más amplia por parte de APT41, que tuvo por objetivo obtener acceso inicial a tantas empresas como fuera posible durante la oportunidad presentada por CVE-2020-10189.

  • Los informes generados por Darktrace destacaron y delinearon cada aspecto del incidente en forma de una narrativa de seguridad importante. Incluso un analista junior podría haber revisado este resultado y actuado durante este ataque APT de día cero en menos de 5 minutos.

La lucha contra el ataque global de APT41

A principios de marzo, Darktrace detectó varios ataques avanzados dirigidos a clientes en EE. UU. y Europa. La mayoría de estos clientes pertenecían al sector legal. Los ataques compartieron las mismas técnicas, herramientas y procedimientos dirigidos a servidores públicos y aprovecharon vulnerabilidades recientes de alto impacto. La semana pasada, FireEye atribuyó esta actividad sospechosa al grupo de ciberespionaje chino APT41.

Esta campaña utilizó la vulnerabilidad de día cero de Zoho ManageEngine CVE-2020-10189 para obtener acceso a varias empresas, pero se detectó poco o ningún seguimiento después de la intrusión inicial. Esta actividad indica una campaña general para obtener acceso inicial a tantas empresas como fuera posible durante la oportunidad que presentaba el día cero.

La actividad maliciosa observada por Darktrace tuvo lugar a última hora del domingo 8 de marzo de 2020 y en la mañana del 9 de marzo de 2020 (UTC), mayormente de acuerdo con el horario de oficina atribuido anteriormente al grupo de ciberespionaje chino APT41.

El siguiente gráfico muestra una cronología ilustrativa de uno de los clientes a los que se dirige APT41. Los ataques observados en otros entornos de clientes son idénticos.

Figura 1: cronología del ataque

Análisis técnico

El ataque que se describe aquí se centró en la vulnerabilidad del día cero de Zoho ManageEngine CVE-2020-10189. La mayor parte del ataque parece haber sido automatizado.

Se observó la intrusión inicial, varias descargas de follow-up payload y el tráfico de comando y control (C2). En todos los casos, la actividad se contuvo antes de que se pasara a los pasos posteriores del ciclo de vida del ataque, como el movimiento lateral o la filtración de datos.

La siguiente imagen muestra una descripción general de las principales detecciones informadas por AI Analyst. No solo informó sobre el tráfico SSL y HTTP C2, sino que también informó sobre las descargas de la carga:

Figura 2: detección SSL C3 por Cyber AI Analyst

Figura 3: detección de la carga por Cyber AI Analyst

Ataque inicial

El ataque inicial comenzó con el aprovechamiento exitoso de la vulnerabilidad de día cero de Zoho ManageEngine CVE-2020-10189. Después de la intrusión inicial, se utilizó la herramienta de línea de comandos Microsoft BITSAdmin para buscar e instalar un archivo por lotes malicioso, que se describe a continuación:

install.bat (MD5: 7966c2c546b71e800397a67f942858d0) from infrastructure 66.42.98[.]220 on port 12345.

Source: 10.60.50.XX
Destination: 66.42.98[.]220
Destination Port: 12345
Content Type: application/x-msdownload
Protocol: HTTP
Host: 66.42.98[.]220
URI: /test/install.bat
Method: GET
Status Code: 200

Figura 4: conexión saliente que busca el archivo por lotes

Poco después del ataque inicial, se descargó la primera etapa de balizas Cobalt Strike LOADER.

Figura 5: detección de la baliza Cobalt Strike LOADER

Tráfico de comando y control

Curiosamente, la actividad de Teamviewer y la descarga de Notepad++ ocurrían al mismo tiempo que comenzaba el tráfico C2 en algunos de los ataques de clientes. Esto indica que APT41 intenta usar herramientas familiares en lugar de usar la técnica “Living off the Land”.

Storesyncsvc.dll es un implante de balizas de Cobalt Strike (versión de prueba) el cual se conecta a exchange.dumb1[.]com. Se identificó una resolución DNS exitosa para 74.82.201[.] 8, que Darktrace distinguió como una conexión SSL exitosa a un nombre de host con propiedades de DNS dinámico.

Múltiples conexiones a exchange.dumb1[.] com fueron identificadas como balizas de un centro C2. Este tráfico C2 a la baliza Cobalt Strike inicial se aprovechó para descargar una carga de segunda etapa.

Curiosamente, la actividad de Teamviewer y la descarga de Notepad++ ocurrían al mismo tiempo que comenzaba el tráfico C2 en algunos de los ataques de clientes. Esto indica que APT41 intenta usar herramientas familiares en lugar de usar la técnica “Living off the Land”. Existe al menos una alta certeza de que el uso de estas dos herramientas se puede atribuir a esta intrusión en lugar de a la actividad comercial habitual. En general, Notepad++ no se usaba en los entornos de los clientes a los que se dirige, ni tampoco Teamviewer; de hecho, el uso de ambas aplicaciones era 100% inusual para las organizaciones.

Descarga de herramientas de ataque

CertUtil.exe, un programa de línea de comandos instalado como parte de los servicios de servidores certificados, aprovechó para conectarse externamente y descargar payload de segunda etapa.

Figura 6: Darktrace detecta el uso de CertUtil

Unas horas después de esta descarga ejecutable, el dispositivo infectado realizó una conexión HTTP saliente solicitando URI/TzGG, que se identificó como Meterpreter descargando más shellcode para la baliza de Cobalt Strike.

Figura 7: detección asociada con la actividad de Meterpreter

No se observó movimiento lateral ni filtración significativa de datos.

Cómo informó Cyber AI Analyst sobre la vulnerabilidad de día cero

Darktrace no solo detectó esta campaña de ataque de día cero, sino que Cyber AI Analyst también le ahorró a los equipos de seguridad un tiempo valioso al investigar eventos de seguridad dispares y generar un informe que les permitió tomar medidas inmediatamente.

La imagen muestra los incidentes reportados por AI Analyst en el entorno infectado, en un periodo de cobertura de intrusión de ocho días. El primer incidente de la izquierda representa la actividad de APT descrita aquí. Los otros cinco incidentes son independientes de la actividad de la APT y no son tan graves.

Figura 8: los incidentes de seguridad descubiertos por AI Analyst

AI Analyst informó sobre seis incidentes en total durante un periodo de ocho días. Cada incidente de AI Analyst incluye un cronograma detallado y un resumen del incidente, en un formato conciso cuya revisión toma un promedio de dos minutos. Esto significa que con Cyber AI Analyst, incluso una persona sin conocimientos técnicos podría haber respondido a este complejo incidente de día cero en menos de cinco minutos.

Conclusión

Aunque es muy complejo por naturaleza, APT41 prefirió el sigilo a la velocidad al dirigirse a muchas empresas al mismo tiempo. APT41 quería utilizar la ventana de oportunidad que ofrecía el día cero de Zoho antes de que el personal de IT comenzará a añadir los parches pertinentes.

Sin indicadores públicos de infección (IoC) o cualquier inteligencia de código abierto disponible, los ataques dirigidos son increíblemente difíciles de detectar. Además, incluso las mejores detecciones son inútiles si no pueden ser llevadas a cabo en una etapa temprana por un analista de seguridad. Esto ocurre con frecuencia debido a un volumen abrumador de alertas, o simplemente porque los obstáculos para el análisis y la investigación son demasiado altos.

Esta parece ser una amplia campaña de APT41 para obtener acceso inicial a muchas empresas y sectores diferentes. Aunque es complejo por naturaleza, APT41 prefirió el sigilo a la velocidad al dirigirse a muchas empresas al mismo tiempo. APT41 quería utilizar la ventana de oportunidad que ofrecía el día cero de Zoho antes de que el personal de IT comenzará a añadir los parches pertinentes.

La Cyber AI de Darktrace está diseñada específicamente para detectar los signos sutiles de ataques dirigidos y desconocidos en una etapa temprana, sin depender de conocimientos previos o IoC. Lo logra aprendiendo continuamente los patrones normales de comportamiento de cada usuario, dispositivo y grupo de compañeros asociado desde cero y “en curso”.

La capacidad de la IA frente a la reciente campaña de ataque de día cero de APT41 resultó crucial para: (a) detectar amenazas desconocidas con autoaprendizaje de IA y (b) aumentar el número de personal capacitado con investigaciones e informes enfocados hacia la IA. De hecho, se aseguró de que los ataques fuesen contenidos rápidamente antes de que pasara a las etapas posteriores del ciclo de vida del ataque.

Indicadores de infección

Selección de brechas al modelo de Darktrace:

  • Anomalous File / Script from Rare External
  • Anomalous File / EXE from Rare External Location
  • Compromise / SSL to DynDNS
  • Compliance / CertUtil External Connection
  • Anomalous Connection / CertUtil Requesting Non Certificate
  • Anomalous Connection / CertUtil to Rare Destination
  • Anomalous Connection / New User-Agent to IP Without Hostname
  • Device / Initial Breach Chain Compromise
  • Compromise / Slow Beaconing Activity To External Rare
  • Compromise / Beaconing Activity To External Rare
  • Anomalous File / Numeric Exe Download
  • Device / Large Number of Model Breaches
  • Anomalous Server Activity / Rare External from Server
  • Compromise / Sustained TCP Beaconing Activity To Rare Endpoint
  • Compliance / Remote Management Tool On Server

La imagen muestra las brechas al modelo de Darktrace que ocurren juntas durante el ataque a un cliente:

Figura 9: las brechas al modelo de Darktrace ocurren juntas

Red IoCs:

IoCComentario
66.42.98[.]220Infección inicial y descargas de payloads
74.82.201[.]8Resolución DNS para dominio C2
exchange.dumb1[.]comDominio principal C2
91.208.184[.]78Cobalt Strike C2 secundario

Host IoC:

IoCComentario
Nombre del archivoMD5 Hash
install.bat7966c2c546b71e800397a67f942858d0
storesyncsvc.dll5909983db4d9023e4098e56361c96a6f
2.exe3e856162c36b532925c8226b4ed3481c
TzGG659bd19b562059f3f0cc978e15624fd9

Técnicas MITRE ATT&CK observadas

Acceso inicialT1190 – Explotación pública -Enfrentar aplicación
T1133 – Servicios externos remotos
EjecuciónT1064 — Comando guión
PersistenciaT1050 – Servicio nuevo
T1197 – Trabajos BITS
Escalada de privilegiosT1068 — Explotación por escalada de privilegios
Evasión de defensaT1055 – Inyección de procesos
T1197 – Trabajos BITS
Descubrimiento
Exfiltración
Comando y controlT1043 – Puertos usados comúnmente
T1071 – Protocolo de capa de aplicación estándar
T1132 – Codificación de datos
T1008 – Canales de respaldo

Max Heinemeyer

Max is a cyber security expert with over a decade of experience in the field, specializing in a wide range of areas such as Penetration Testing, Red-Teaming, SIEM and SOC consulting and hunting Advanced Persistent Threat (APT) groups. At Darktrace, Max oversees global threat hunting efforts, working with strategic customers to investigate and respond to cyber-threats. He works closely with the R&D team at Darktrace’s Cambridge UK headquarters, leading research into new AI innovations and their various defensive and offensive applications. Max’s insights are regularly featured in international media outlets such as the BBC, Forbes and WIRED. When living in Germany, he was an active member of the Chaos Computer Club. Max holds an MSc from the University of Duisburg-Essen and a BSc from the Cooperative State University Stuttgart in International Business Information Systems.