Evolución de las técnicas de Spear-Phishing de los grupos criminales más conocidos y qué malware utilizan

En los últimos años se han ido metabolizando diferentes campañas y amenazas cuyo vector de entrada ha sido el mismo, el correo electrónico. Este acceso inicial, que siempre parece el más absurdo y al que no suele prestarse atención porque las empresas no conciencian debidamente a sus empleados.

La tendencia nos dice que esto es totalmente opuesto, y que muchos de los grupos criminales y APT, siguen usando esta técnica, variando la modalidad o evolucionándola, poniendo en evidencia la importancia del factor humano en Ciberseguridad.

El phishing, técnica de ingeniería social usada como acceso inicial desde mediados de los años 90, no es más que una herramienta más para engañar a la víctima y obtener información confidencial disfrazando dicho correo con mensajes engañosos que parecen cercanos a la víctima y difíciles (en la mayoría de los casos) de distinguir a simple vista del correo al que intentan emular los atacantes.

De la mano de esta técnica, llegamos al Spear-Phishing, el cual aplica diferentes subtécnicas (T1566.001, T1566.002, T1566.003), el cual, aprovechando el correo fraudulento, trata de que la víctima acceda a un link, a un documento adjunto, etc.

Cómo han utilizado los atacantes estas técnicas a lo largo de de los años

La evolución de técnicas como el Spear-Phishing se han visto marcadas por el uso que le han dado los grupos que las han usado, un esquema representativo de cómo han ido mejorando el método de actuación.

Teniendo en cuenta que las técnicas no son lineales y que con el paso de los años se utilizan todas, sería el siguiente:

Cabe destacar de nuevo, la gran variabilidad y sostenibilidad durante los años de este tipo de técnicas, las cuales, consiguen el acceso inicial a una infraestructura para desplegarse más adelante.

No es tan grave, ¿no?

Esta pregunta es más que habitual cuando nos encontramos previos a un incidente. Hay grupos “menos” peligrosos que usan el Spear-Phishing como arma inicial, sí. ¿Hay grupos criminales y APT usándola? También.

Localizamos un gran número de incidentes que empiezan con este sistema aparentemente tan sencillo, pero que contiene distintas fases usadas por grupos orquestados:

Durante estas fases, dependiendo del actor, puede intentar descubrir más equipos de la red, moverse lateralmente y replicar la ejecución del malware en distintos dispositivos para obtener la mayor información posible de la infraestructura. Después venden los datos obtenidos o simplemente los aprovechan con fines estratégicos.

O, en cambio, puede pertenecer a otros grupos. Por lo tanto, a una estructura de ataque distinta donde su objetivo sea obtener la máxima información posible de la infraestructura para conseguir pivotar hasta un controlador de dominio y lanzar un ransomware por el que se pedirá un rescate por los ficheros afectados. Para incentivar el pago se suele amenazar con hacer públicos los datos obtenidos, incluso extorsionar a los proveedores o empresas que intermedian con la víctima.

¿Cuáles son las nuevas técnicas y quién las usa?

Actualmente, como hemos comentado en el punto anterior, el Spear-Phishing, sigue evolucionando. Además de seguir usando las técnicas de siempre, en las últimas semanas estamos viendo un gran número de campañas usando OneNote para este fin.

Los diferentes malwares que se han visto usando esta metodología son:

Emotet | Heodo
Qbot | QakBot
AsyncRAT
Remcos
IcedID

Estos malwares son usados a menudo por diferentes grupos criminales, así como APTs que se mantienen en completo ataque a ciertas empresas dependiendo de los intereses particulares de cada uno.

Un resumen del uso de cada uno con sus funcionalidades sería el siguiente:

Cómo funcionan estas nuevas técnicas

En primer lugar, el grupo trataría de acceder al eslabón más débil por el correo, como hemos mencionado, donde nos tratarían de hacer descargar los datos adjuntos, que en este caso sería OneNote.

Hacemos búsquedas para localizar ficheros de Spear-Phishing usando OneNote:

Como comentábamos, dependiendo de las campañas, se pueden utilizar OneNote o documentos como Excel o Word con macros, links, etc. Las campañas, dependiendo del grupo que ataque y de la víctima serán, más o menos dirigidos y sofisticados.

En esta búsqueda también podemos localizar este tipo de Spear-Phishing:

A menudo, el origen desde donde se envían estos correos es descentralizado ya que puede provenir de servidores de correo de organizaciones comprometidas o incluso desde Botnets propias.

Habitualmente los atacantes utilizan diferentes proxies para no revelar su ubicación, pese a esto, en ocasiones localizamos el origen desde donde operan estos actores.

El correo, como es habitual, tratará de que descargues o que accedas al link con algún tema de urgencia o de gestión.

Tras esto, dependiendo de versiones, tendremos un OneNote el cual tratará de que ejecutemos un falso banner para poder acceder al contenido. El resultado será la ejecución del malware:

En esta ocasión, bajo el panel, el cual será una imagen, tendremos una ejecución via VBS, pero depende del OneNote, podría ser otro tipo de script (JS, HTA…), un link que descargue la siguiente fase, etc. Arrastrando es sencillo obtener el script que va a ejecutar por detrás

Dentro de cada uno de estos OneNote, comúnmente contienen diferentes tipos de objetos, algunos utilizados para engañar a la víctima, otros para ejecutar comandos o los scripts directamente, realizar la ejecución y escritura de ficheros maliciosos de siguientes fases:

Encontramos imágenes utilizadas, como habíamos comentado, para hacer que la víctima acceda al botón, que realmente, es una simple imagen PNG, el cual, por debajo, tiene botón real, en este caso:

Pero, el caso más interesante sería en este caso el objeto job. No es estático y puede ser otro distinto, ya que suele contener el script que va a realizar una descarga para luego lanzar una ejecución. O será directamente un script más ofuscado que contendrá el binario que ejecutará después.

Tras la extracción encontramos diferentes scripts, con tamaños muy distintos:

Esto es debido al nivel de ofuscación que puedan tener, si contienen algún binario para posteriormente ejecutarlo, etc.

El ejemplo más simple sería un script que tratara de realizar una descarga a un dominio malicioso para posteriormente ejecutarlo, en este caso es una librería la cual lanzará mediante rundll32.exe:

En ejecución lo más habitual es encontrar un OneNote ejecutando un Wscript lanzando un Rundll32 o Regsvr32:

Pero, al haber tantos grupos y campañas abusando de OneNote, los árboles de procesos interesantes que hemos visto tras el análisis de diferentes campañas son los siguientes:

Es interesante destacar que en algunas familias de malware como el caso de AsyncRat, se duplica en ocasiones la extensión. Como es habitual en el ámbito empresarial que los empleados de la mayoría de los departamentos no tengan asignado el ver las extensiones de los ficheros, por lo que podemos encontrar algunos como estos:

<File>.bat.exe
<File>.pdf.exe
<File>.vbs.exe

Tras este punto, el malware ya se habrá descargado o ejecutado de alguna de las maneras que hemos comentado anteriormente, pero, hemos tratado solo la técnica del Spear-Phishing, y cómo funciona en un entorno real, la cual coincide en la mayoría de los casos alternando algunas de las fases dependiendo de que grupo la esté explotando.

No obstante, ¿qué técnicas y objetivos persigue el actor que está detrás de la campaña con el malware que usará momento después? Esta pregunta variará en función de quién está detrás de la campaña, el sector al que pertenece la víctima, el malware que usará para tal fin, etc.

Tal y como hemos comentado anteriormente, existen un gran número de malware que se ha visto involucrado en los pasos posteriores a esta tendencia de Spear-Phishing, por lo que vamos a tratar de resumir cuál es el papel de cada una de estas familias para conocer el impacto que tendrá en una infraestructura:

Qbot | QakBot

Qbot es un malware que ha ido evolucionando pasando por diversas categorizaciones como Banker, Stealer, Backdoor, etc. Su función elemental es obtener información sensible de la víctima para posteriormente exfiltrarla.

Existen distintos actores que han utilizado Qbot, como es el caso del grupo criminal EvilCorp, más conocidos por el uso de Dridex o GoldCabin, otro grupo criminal que está ligado a diferentes malwares reconocidos como BokBot (IcedID), el cual, también se adecua a las tendencias de phishing que hemos visto.

El funcionamiento de las nuevas versiones de Qbot lo podemos resumir de la siguiente manera:

Tras el Spear-Phishing comentado en los anteriores apartados, se obtendría una descarga o ejecución directa de una librería, que será ejecutada vía Regsvr32 o Rundll32.

Una vez ejecutada, lo más habitual es que Qbot realice una inyección en un proceso legítimo, en esta campaña está siendo muy usada Wermgr.exe, donde bajo este proceso será capaz de actuar con un mayor sigilo, ya que es un proceso habitual en una infraestructura:

La inyección habitualmente se está observando mediante ProcessHollowing, donde podemos ver como Wermgr.exe será creado en estado suspendido y donde se introducirá el código deseado reservando espacio en este proceso.

Tras esto, realiza persistencias en claves de registro conocidas como CurrentVersion\Run o en tareas, donde también destaca en la creación de otros registros que guardan información relevante de la campaña hardcodeado. Aquí normalmente tendremos datos de dónde está ubicada la librería maliciosa lanzada en el anterior stage:

Tras esto podrá realizar conexiones al exterior donde podrá enviar información sensible de la víctima hacia el C&C

Emotet | Heodo

Emotet es un malware que también ha ido evolucionando con el paso del tiempo y cuyos usos ha sido también diverso. Se ha utilizado como Banker principalmente, como downloader y de Botnet.

En los últimos años ha ido obteniendo diferentes capacidades de técnicas anti-análisis y tiene características para obtener información y lanzarse a por otros equipos a su alcance para aumentar su Botnet. Comúnmente, es utilizado por el grupo MummySpider o TA542 un grupo criminal que actúa por campañas, habitualmente usando el Phishing.

Con el paso de estos años han ido perfeccionando y actualizando este famoso malware, además de verse involucrado con otros grupos de malwares conocidos como BokBot (IcedID), Trickbot, Dridex, o el ya mencionado Qbot.

El funcionamiento de las nuevas versiones de Qbot lo podemos resumir de la siguiente manera:

Tras el Spear-Phishing comentado en los anteriores apartados, se obtendría una descarga o ejecución directa de una librería, que será ejecutada vía Regsvr32 o Rundll32.
Esta librería (dll) tendrá capacidades para evadir análisis o ser, en ocasiones difícil o imposible de analizar por sandbox, por sus números técnicas anti-análisis que posee o por debuggers

Habitúa a crear persistencia lanzando la misma dll renombrada en carpeta \Local\ y añadiéndola a la clave de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run <DroppedDll>

Tras estas fases Emotet puede establecer comunicación con el C&C y recibir instrucciones u operar desde esta posición en la que ya tiene persistencia y tiene el malware en otras localizaciones o también podrá tratar de mover ficheros o ejecutarse en otros dispositivos o discos que tenga a su alcance:

Emotet va a tratar de obtener la máxima información del sistema o de la red en la que se encuentra para seguir incrementando su Botnet

AsyncRAT y Remcos

Por otro lado, AsyncRAT y Remcos son dos tipos de malware que también han ido evolucionando con el tiempo y tienen diferentes usos.

Ambos son conocidos por ser troyanos de acceso remoto (RAT) que permiten al atacante obtener control sobre un sistema infectado y realizar diferentes acciones maliciosas, como robar información, instalar más malware o controlar el sistema de forma remota.

Las formas de acceso inicial son similares entre sí, ya que suelen abusar del phishing y están dentro de las nuevas tendencias de abuso de OneNote.

Los grupos que han usado AsyncRat son muy diversos. Su fin normalmente es el robo de información y el espionaje y parten de lugares también distintos. Grupos como Vendetta (Turquía), Earth Berberoka (China) o APT-C-36 (Colombia) han usado en menor o mayor medida en su historia este tipo de RATs.

Los grupos que han usado Remcos también son distintos, con fines similares a los de AsyncRat, cuyos grupos, coinciden en ocasiones en su uso, como es el caso de APT-C-36 o Vendetta, también es usado por otros grupos como GorgonGroup (Pakistán) o APT33 (Irán).

El funcionamiento de las nuevas versiones de estos dos RAT los podemos resumir de la siguiente manera:

Tras el Spear-Phishing comentado en los anteriores apartados, se obtendría una ejecución, normalmente creando una descarga o ejecutando un script o comando.
Después de esta fase inicial, el fichero será o lanzado en alguna carpeta temporal o replicado para que su payload se inicie. Los RAT, comúnmente, suelen realizar en algún punto de su ejecución alguna inyección a algún proceso legítimo o procesos relacionados con .NET, tecnología, en la que es habitual que estén escritos estas familias de malware.
Según la versión y quien lo esté utilizando, añadirá técnicas Anti-Análisis para evitar que se realice debug sobre la muestra o que se ejecuten en Sandbox, lo que dificultará el trabajo del analista.

Como es habitual en este tipo de malwares crean tareas o registros para persistir en el sistema, de esta manera, aunque el equipo sea apagado, se volvería a reiniciar el proceso para poder mantener la comunicación con el C&C

Tras esto, establecería comunicación hacia el exterior enviando información básica del equipo infectado y esperaría órdenes del atacante.

Conclusión

Estás técnicas de Spear-Phishing van a seguir evolucionando y usándose todas sus versiones en cada momento, ya que, siguen siendo efectivas todas ellas. El factor humano siempre es el más débil y los grupos que utilizan dichas técnicas lo saben.

Como se ha comentado, no se trata solo de equipos desorganizados. En muchos casos son actores orquestados que utilizan cierto tipo de malware con una gran capacidad para obtener información de la infraestructura, usuarios, credenciales… elementos que pueden poner al descubierto toda una organización usando el mismo punto de entrada: un simple correo electrónico.