Ataques de malware a la industria naval italiana

Los expertos en el Centro de Defensa de Seguridad Cibernética de Yoroi, junto con el equipo de seguridad de Fincantieri, investigaron los recientemente descubiertos ataques de malware Martymcfly.

El 17 de octubre Rif. Analysis divulgo la amenaza 'MartyMcFly' donde atacantes desconocidos atacaban industrias navales italianas. El análisis fue citado por el ICS CERT de Kaspersky. quienes expusieron una extensión de amenaza más amplia en múltiples países como: Alemania, España e India. Gracias al extenso análisis de Kaspersky, decidimos recolectar más indicadores y verificar más amenazas relacionadas al solicitar una fuerza cibernética conjunta con Fincantieri, uno de los jugadores más importantes de la industria naval en toda Europa. Fincantieri, que no participó en el ataque 'MartyMcFly' anterior, identificó y bloqueó amenazas adicionales que afectaron a su amplia infraestructura interceptada durante la semana del 20 de agosto de 2018, aproximadamente un par de meses antes de la campaña 'MartyMcFly'.

El equipo de seguridad de Fincantieri compartió con nosotros una copia de un correo electrónico malicioso, con una temática cuidadosa como las interceptadas por el Centro de Defensa de Seguridad Cibernética de Yoroi entre el 9 y el 15 de octubre. A primera vista, el mensaje parece sospechoso debido a los datos de dominio del remitente inconsistentes dentro de los encabezados SMTP:

Los mensajes de correo electrónico se enviaron desde un buzón de correo relacionado con el nombre de dominio " jakconstruct.com ", que es propiedad de " AK CONSTRUCTION WLL " de Qatar , lo que sugiere un posible abuso de su infraestructura de correo electrónico.

1 Detalles del smtp del encabezado SMTP

El dominio " anchors-chain.com " que se encuentra en el encabezado " De " de SMTP se compró unas semanas antes de la entrega del mensaje malicioso: un usuario protegido por la privacidad registró el dominio el 21 de junio de 2018, a través de " NameSilo, LLC " proveedor.

2 Datos Whois de “anchors-chain.com”

Durante el período comprendido entre el 22 de junio y el 2 de septiembre de 2018, este dominio se resolvió en la dirección IP 188.241.39.10, propiedad de " Fast Serv Inc. ", proveedor de alojamiento a veces abusado con fines ilícitos (por ejemplo, servicios de comando y control de ladrones de información maliciosos). Desafortunadamente, el dominio se encuentra fuera de línea en el momento de la redacción, por lo que no fue posible evaluar la presencia de redirecciones a servicios legítimos como observador en el caso " MartyMcFly ".

Además, el dominio " anchor s -chain.com " muestra una referencia explícita a una compañía asiática que produce cadenas para una amplia gama de clientes en la industria de la construcción naval: la " Asian Star Anchor Chain Co. Ltd. " o " AsAc Group ". El dominio real del grupo deletrea casi lo mismo: " anchor-chain.com ", la letra " s " es la única diferencia entre el nombre registrado por el atacante y el legítimo. Además, el cuerpo del mensaje ha sido escrito en idioma chino y la firma incluye un enlace a otro dominio legítimo del grupo, confirmando que el atacante intentaba hacerse pasar por el personal de AsAc Group, simulando la transmisión de ofertas y listas de precios.

3 Mensaje de correo malicioso.

El mensaje de correo electrónico contiene un documento pdf llamado "Marine_Engine_Spare__Parts_Order.pdf", originalmente preparado a partir de un documento de Office usando " Microsoft Word 2013 " y luego convertido en formato PDF usando el servicio en línea " Online2PDF.com ". El documento no contiene ningún código javascript o exploit, sin embargo, la página única dentro del documento intenta atraer a la víctima para que abra el documento real en un portal seguro llamado " Adobe Online Protection ". El enlace incorporado apunta a un recurso externo protegido por el servicio de acortamiento de URL " Ow.ly ".

4 Documento PDF malicioso.

El enlace " http://ow.ly/laqJ30lt4Ou " se ha desactivado por problemas de "spam" y ya no está disponible en el momento de la redacción. Sin embargo, el análisis automatizado del informe sandox que se remonta al período de tiempo de ataque es posible reconstruir parcialmente la dinámica de la ejecución de la carga útil, desde el clic en el enlace " ow.ly " incrustado .

5 Árbol de proceso del accesorio.

La traza dinámica registró cierta actividad de red dirigida a dos dominios sospechosos en el TLD " .usa.cc " que se originó justo después del lanzamiento del proceso del navegador " iexplore.exe ": respectivamente " wvpznpgahbtoobu.usa.cc " y " xtyenvunqaxqzrm.usa. cc ”.

6 Solicitudes de DNS interceptadas

La primera interacción de red registrada está relacionada con el enlace incrustado dentro del archivo adjunto del pdf " http://ow.ly/laqJ30lt4Ou ", devolviendo una redirección a otro recurso protegido por el mismo servicio de acortamiento de URL.

7 Redireccionamiento a la segunda url ow.ly

La apertura de la siguiente url " http://ow.ly/Kzr430lt4NV " obtiene otro redireccionamiento HTTP 301 a un recurso HTTPS relacionado con uno de los dominios " usa.cc " previamente identificados :

8 Redirección a "wvpznpgahbtoobu.usa.cc"

El análisis del tráfico SSL / TLS interceptado durante la sesión de análisis dinámico muestra múltiples conexiones a la dirección IP 188.165.199.85, un servidor dedicado alojado por OVH SAS. El certificado SSL ha sido publicado por la CA "cPanel, Inc" y es válido desde el 16 de agosto de 2018; este certificado de encriptación probablemente esté relacionado con la redirección de HTTP 301 discutida anteriormente debido al nombre común " CN = wvpznpgahbtoobu.usa.cc " que se encuentra en el campo del Emisor.

9 Detalles del certificado SSL "wvpznpgahbtoobu.usa.cc"

Otra conexión SSL / TLS registrada muestra el tráfico relacionado con el dominio " xtyenvunqaxqzrm.usa.cc " dirigido a la misma dirección IP 188.165.199.85:

10 Detalles del certificado SSL "xtyenvunqaxqzrm.usa.cc"

Las investigaciones de OSINT reunieron evidencias de abusos pasados ​​del " xtyenvunqaxqzrm.usa.cc " con fines maliciosos, por ejemplo, un informe de urlquery con fecha del 23 de agosto de 2018 muestra un portal de phishing al que se puede acceder anteriormente en " https: // xtyenvunqaxqzrm .usa.cc / maeskl i nes / Maerskline / maer.php ”contenía una página de inicio de sesión del portal de envíos falsos del holding " Maersk ", una empresa multinacional que opera en el sector logístico, una de las compañías de transporte de contenedores más grande del mundo.

11 Página de phishing alojada anteriormente en xtyenvunqaxqzrm.usa.cc

Los elementos que se encuentran en el informe de ejecución dinámico indican una compatibilidad entre la información OSINT sobre el dominio " xtyenvunqaxqzrm.usa.cc " y el adjunto: uno de los archivos eliminados registrados durante la sección de análisis automatizado se llama " login.html " y se ha clasificado como plantilla de phishing en la plataforma VT (hash 4cd270fd943448d595bfd6b0b638ad10).

12 Página de inicio de sesión.html caída durante la ejecución

La evidencia recopilada durante el análisis conjunto con el equipo de seguridad de Fincantieri sugiere que algunas amenazas específicas, aún sin especificar, probablemente intenten establecer una posición al menos en la industria naval italiana. En este momento no es posible confirmar que las dos oleadas de ataque hayan sido planeadas y ejecutadas por el mismo actor de amenazas de la campaña " MartyMcFly ", por lo que son relevantes muchas diferencias, como el tipo de carga útil que se distingue. Sin embargo, al mismo tiempo, los elementos comunes imponen no descartar la posibilidad de esta relación, por ejemplo, los siguientes indicadores probablemente sugieren correlaciones:

  • La personificación del proveedor de servicios y las empresas satelitales del sector de la industria naval.
  • El uso de nombres de dominio cuidadosamente seleccionados para que parezcan similares a los nombres legítimos de compañías conocidas.
  • El uso de correos electrónicos con sonido profesional que contienen referencias y documentos cuidadosamente alineados con el contexto de la suplantación.
Fecha actualización el 2021-11-15. Fecha publicación el 2018-11-15. Categoría: malware Autor: Oscar olg Mapa del sitio Fuente: softpedia
malware