Uncategorized

Waterbug, grupo de espionaje que despliega ataques contra gobiernos

El grupo de espionaje Waterbug (conocido también como Turla) ha seguido atacando gobiernos y organizaciones internacionales durante los últimos dieciocho meses, en una serie de campañas que han mostrado un conjunto de herramientas de rápida evolución y, en un ejemplo notable, el aparente secuestro de infraestructura de otro grupo de espionaje.

Tres olas de ataques

La actividad reciente de Waterbug puede dividirse en tres campañas distintas caracterizadas por diferentes conjuntos de herramientas. Una de las campañas implicó una puerta trasera nueva, nunca antes vista, denominada Neptun (Backdoor.Whisperer).

Neptun se instala en servidores Microsoft Exchange y está diseñada para escuchar pasivamente los comandos de los atacantes.

Esta capacidad de escucha pasiva hace que el malware sea más difícil de detectar. Neptun también es capaz de descargar herramientas adicionales, cargar archivos robados y ejecutar comandos de shell.

Un ataque perpetrado durante esta campaña implicó el uso de infraestructura que pertenecía a otro grupo de espionaje conocido como Crambus (también llamado OilRig o APT34).

Una segunda campaña utilizó Meterpreter (una puerta trasera disponible públicamente) junto con dos cargadores personalizados: una puerta trasera personalizada denominada photobased.dll y una puerta trasera personalizada de llamada a procedimiento remoto (RPC). Waterbug ha estado usando Meterpreter por lo menos desde principios de 2018, y en esta campaña utilizó una versión modificada de Meterpreter a la que, tras ser codificada, se le dio una extensión .wav para disfrazar su verdadero propósito. 

La tercera campaña desplegó una puerta trasera personalizada de RPC distinta a la que utilizó en la segunda campaña. Esta puerta trasera utilizó código derivado de PowerShellRunner (una herramienta disponible públicamente) para ejecutar scripts de PowerShell sin usar powershell.exe.

Esta herramienta está diseñada para burlar la detección destinada a identificar el uso malicioso de PowerShell. Antes de su ejecución, los scripts de PowerShell se almacenaron en el registro con codificación Base64. Esto probablemente se hizo para evitar escribirlos en el sistema de archivos.

Deja un comentario

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>