Our Recent Posts

Tags

LeetMX – Una campaña de Ciber-Ofensiva que ha durado todo el Año, en contra de objetivos en América

Resumen Ejecutivo

En este documento presentan las empresas cybiller junto con su socio ClearSky Cyber Security el resultado de trabajo de análisis que se llevó a cabo durante los últimos meses.

LeetMX es una campaña de ciber-ataque ampliamente distribuida, su origen aparentemente está en México y se encuentra enfocada en objetivos en México, El Salvador y otros países de América Latina, tales como Guatemala, Argentina y Costa Rica. Ha estado operativa desde al menos Noviembre de 2016. No estamos seguros de sus objetivos, pero estimamos que tiene motivación criminal.

La infraestructura de LeetMX, incluye 27 hosts y dominios utilizados para la diseminación de malware o para comando y control. Se han utilizado cientos de muestras de malware, en su mayoría son RATs – Troyanos para Acceso Remoto - y keyloggers (programas que graban todo lo que teclea el usuario).

Curiosamente, los atacantes escondían uno de sus dominios de entrega redirigiendo a los visitantes a “El Universal”, el cual es un periódico muy popular en México.

Para mayor información por favor ponerse en contacto con royi@cybiller.com.

Método de Ataque

Abajo se encuentran muestras de documentos de Office maliciosos, los cuales se envía a los objetivos del ataque.

Estos documentos contienen macros que corren PowerShell, las cuales descargan y corren diversos “cargas útiles” (payloads) desde dominios y hosts controlados por los atacantes.

Ministerio de Hacienda El Salvador – Declaraciones Pendientes folio 34598.docm (c624595124a740632c6278a5ddc97880)

Ministerio de Hacienda SV Folio de Aclaracion SVMH2054983.docm (f5773ad43e0307bef28cb4e57eeb4103)

Buro de Credito – Reporte Especial Folio de Operacion 438346982.doc (2124be2abb952f546275fbc3e0e09f05)

SATMX-Folio 46565.xls (69a779d10672df9a3f8bfd07120bf1c9)

Servicio de Administracion Tributaria SAT Declaraciones Pendientes Folio de Consulta 45817089.xls (bc8e5d77e074f7b1fd9f4311395d48a5)

Otros documentos utilizados como distribuidores de malware son:

  • buro de credito reporte de movimientos recientes folio de operacion 3590543.doc (b39076ed23aa7c251aee89701f084117)

  • buro de credito reporte de movimientos acreditados folio 45665.doc(783e4c2eeeb69f058b30c5b697bfa6be)

  • ministerio de hacienda el salvador consulta de estado de cuenta moroso folio(7a769d5e7401a1b858e58fea1144cb6b)

  • buro de credito reporte de nuevos cargos folio 273534.doc(0b8f4e79df43b951380938bdc380f53a)

  • Buro de Credito Afilicion de Cargo Automatico Registrado BMX46948964.doc(8f963a7e26a29b4ba2cae9eb11b137d7)

  • Buro de Credito Folio de Aprobacion de Nuevos Creditos 593783.xls(4e12eeb78cebaf091cdf26b46a816931)

  • Buro de Credito – Folio de Afilicion a Cargo Automatico 3274398BMX.doc(fe6b1f263e10f305af2eba10a8af6ba1)

  • Buro de Credito – Folio de Afilicion a Cargo Automatico 3274398BMX.doc(6c5d24a054ab952ea1983e7b663474ce)

A continuación, se encuentra un ejemplo de un código malicioso realizado en PowerShell, dentro de uno de los documentos:

Infraestructura

Los dominios y hosts mostrados abajo son todos parte de una infraestructura maliciosa, y son utilizados para la entrega del malware o para el comando y el control.

c0pywins.is-not-certified[.]com casillas.hicam[.]net casillas45.hopto[.]org casillasmx.chickenkiller[.]com cloudrsaservicesdriveoffic[.]com cloudsfullversionooficcekey[.]com dryversdocumentofficescloud[.]com dryversdocumentsandcustom[.]com dryversdocumentsandcustomer[.]com dryversdocumentsandcustoms[.]com dryversdocumentsandcustomsoft[.]com dryversdocumentsandfullbmxro[.]com dryversdocumentsandfullburomxcloud[.]com dryversdocumentsandfullcloud[.]com dryversdocumentsandfullcustomsoft[.]com dryversdocumentsatsettingswins[.]com dryversdocumentsettingswins[.]com dryversdocumentsolutionscloud[.]com k4l1m3r4.publicvm[.]com mycloudtoolzshop[.]net opendrivecouldrsafinder[.]com rsafinderfirewall[.]com rsapoints.ssl443[.]org rsaupdatr.jumpingcrab[.]com rsause.ntdll[.]net sslwin.moneyhome[.]biz wins10up.16-b[.]it

Origen Mexicano

Múltiples partes de la infraestructura maliciosa indican, que los atacantes están basados en México, tal y como se muestra a continuación en el grafico tipo Maltego. Sin embargo, el lector debe recordar que estos son únicamente indicadores técnicos y podrían todos haber sido falsificados.

1. Los hosts de DNS Dinámicos utilizados para comando y control, les fueron asignadas IPs por parte de proveedores de servicios de Internet Mexicanos. Por ejemplo, a - c0pywins.is-not-certified.com -, se le asignaron direcciones a través del AS8151 Uninet S.A. de C.V., MX, como se puede ver a continuación en PassiveTotal:

2. El dominio de entrega de malware - rsafinderfirewall.com -, redirige hacia el sitio de “El Universal”, un periódico Mexicano muy popular, cuando se visita sin la ruta del archivo (file-path) del malware (tal como rsafinderfirewall.com/Es3tC0deR3name.exe):

3. Dirección Física en México, para múltiples dominios, datos obtenidos de Whois:

Registrant Name: hector jesus herrera duron Registrant Organization: motogplus Registrant Street: c 29 no 300 Registrant City: merida Registrant State/Province: Chiapas Registrant Postal Code: 97000 Registrant Country: MX Registrant Phone: +52.9991062881

4. Dirección IP del Atacante en México. En al menos un objetivo, los atacantes utilizaron los servicios de acortamiento de una URL que públicamente despliega la dirección IP de cualquiera que haga clic en la URL acortada. El primer clic – presumiblemente es el atacante que está probando el link antes de difundirlo a sus víctimas – provino de la IP 189.215.52.168, la cual pertenece al ISP Mexicano Cablemas Telecomunicaciones:

5. En este incidente, en su mayoría fueron Mexicanos los objetivos, como se puede ver en la tabla a continuación:

Malware

Están disponibles más de 550 muestras utilizadas para esta campaña en VirusTotal. La mayoría de estas, son variantes de XtremeRAT (está disponible un análisis breve por parte Sophos – Troj/Xrat-R , un archivo PCAP está disponible en pcapanalysis.com) y iSpy Keylogger.

Indicadores de compromiso (daño)

Los Indicadores de compromiso están disponibles en el archivo de tipo CSV siguiente: LeetMX-indicators.csv y en PassiveTotal.

Partes clave de la infraestructura están dibujadas en la gráfica de Maltego.

Nombres de Archivo Leet

Los atacantes a menudo utilizan el alfabeto denominado leetspeak, para los nombres de los archivos maliciosos (malware).

A continuación una lista con los nombres de los archivos –malware -, convertidos de leet a Inglés plano (utilizando el convertidor Universal Leet (L337, L33T, 1337) Converter):

cybiller SA de CV

©2018 by cybiller