Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
11/12/2014
Detecció d'una nova campanya d'atacs dirigits: Barbicas
Des de l’empresa S2Grupo, publiquen una anàlisi d’una campanya APT detectada el passat mes d’agost. Esta mateixa setmana, Symantec, Blue Coat i Kaspersky també es feien eco d’esta campanya.
El passat mes d’agost, diversos empleats (bastant ben triats) d’un dels nostres clients (una empresa estratègica) van rebre una sèrie de missatges una mica “sospitosos” que referien el llavors relativament recent accident de l’avió de Malaysia Airlines, sobre la investigació del qual no paraven d’arribar notícies. A l’obrir el document, que en principi tenia extensió .doc, apareixia efectivament una espècie de 'comunicat' sobre l’accident en qüestió.
No obstant això, una anàlisi bàsica revelava que el fitxer era en realitat un RTF (i no un DOC), i que venia amb regal: el nostre vell amic, l’exploit CVE-2012-0158. Com els hashes del fitxer encara no tenien presència pública en els servicis habituals (VirusTotal, Malwr.com, etc.) òbviament, tampoc l’AV corporatiu no el detectava i, donat el caràcter dels destinataris dels missatges, pensem que no vindria mal “jugar” un poc més amb l’artefacte, per la qual cosa el vam posar a macerar en la nostra sandbox.
Després d’uns 12 minuts (!) d’espera, l’especímen per fi va intentar contactar amb quelcom, que, per a la nostra sorpresa, no era sinó un proveïdor públic de servicis WebDAV. Així que la bestiola utilitzava eixe protocol sobre HTTP (i no sobre HTTPS, en principi), fóra el que fóra allò que pretenguera rebre o transmetre amb la seua ajuda…
Efectivament, simulant en el nostre laboratori el servidor WebDAV al qual estava intentant arribar, l’especímen tractava en primer lloc de descarregar informació des d’una determinada ruta del WebDAV i, a continuació, deixava fitxers amb noms pseudoaleatoris, però extensions conegudes, sobre una altra ruta.
Poden ampliar la notícia en el següent enllaç.