Sala de prensa

El CSIRT Finaciero informa a todos los interesados sobre cada uno de los aspectos corporativos relevantes en materia de ciberseguridad.

NUEVA CAMPAÑA DEL GRUPO EARTH PRETA

14/11/2024

NUEVA CAMPAÑA DEL GRUPO EARTH PRETA
El equipo de analistas del Csirt Financiero ha detectado una nueva campaña lanzada por el grupo Earth Preta, también conocido como Mustang Panda, en la que se utilizan técnicas de spearphishing para enviar correos electrónicos con un archivo adjunto en formato .URL. Al abrir dicho archivo, se descarga y ejecuta un software cuyo objetivo es desplegar el shellcode PULLBAIT y la puerta trasera (backdoor) CBROVER.

Descripción

Cuando el usuario ejecuta el archivo .URL, se descarga el software de primera etapa, denominado DOWNBAIT. Este, al contactar con su servidor de comando y control (C2), descarga y ejecuta en memoria el shellcode PULLBAIT, que a su vez descarga y ejecuta el backdoor CBROVER. Este backdoor se utiliza para la descarga de archivos y la ejecución remota de comandos Shell, así como para la obtención del shellcode PLUGX.

La campaña emplea dos métodos para la recolección y exfiltración de datos sensibles, el primero utiliza archivos comprimidos en formato RAR, iniciados mediante el shellcode PLUGX y el segundo método emplea un recopilador de archivos identificado como FILESAC, una herramienta configurable que se descarga y ejecuta a través de PLUGX.

Ambos métodos son peligrosos porque combinan la eficiencia en la recolección de datos con técnicas de evasión que permiten a los atacantes operar durante periodos prolongados sin ser detectados, comprometiendo seriamente la seguridad de la información en los equipos y entornos infectados.

Vector de infección

Esta campaña envía un correo electrónico de phishing que contiene un archivo adjunto .url a víctimas desprevenidas, permitiendo la descarga y ejecución de DOWNBAIT, una herramienta de descarga y carga firmada que se utiliza para descargar PULLBAIT, el código de shellcode que lleva a la descarga y ejecución final del backdoor CBROVER.

Recomendaciones

La amenaza analizada puede ser mitigada o detectada en su infraestructura tecnológica aplicando las siguientes recomendaciones:

  • Verificar cada uno de los indicadores de compromiso (IoC) adjuntos en el presente producto los cuales pueden ser implementados en sus sistemas de seguridad perimetral; por lo anterior, el equipo del Csirt Financiero recomienda validar que no se interrumpa la disponibilidad de la operación y/o prestación de sus servicios (hash md5, sha1 y sha256 son equivalentes).
  • Mantener todos los sistemas y software actualizados para proteger contra vulnerabilidades conocidas.
  • Capacitar a los empleados sobre las técnicas de spearphishing y cómo identificar correos electrónicos sospechosos.

Leer noticia: https://www.trendmicro.com/en_us/research/24/i/earth-preta-new-malware-and-strategies.html