Las técnicas de ataque de Carbanak y FIN7

¿Qué sucede en los ataques de Carbanak y FIN7? Estas son algunas de las técnicas utilizadas por estos grupos dedicados a atacar a bancos, tiendas minoristas y otros establecimientos. 

 

El monitoreo constante de los grupos maliciosos es una de las formas en las que los investigadores de seguridad y las agencias policíacas puedan defender los sistemas contra el cibercrimen. Entre estos cibercriminales se encuentran grupos como CarbanakyFIN7. Aunque ambos nombres se han usado en algunas ocasiones para referirse al mismo grupo, las organizaciones como MITRE los identifican como dos entidades separadas que utilizan el backdoor Carbanak en sus ataques. Sin embargo,  los grupos no solamente utilizan este backdoor sino también usan otros tipos de malware como Pillowmintun malware de punto de venta y Tirionel cual se dice será el reemplazo de Carbanak. 

MITRE también identifica cuáles son los blancos principales de cada grupo: mientras que Carbanak se enfoca en las instituciones financieras, FIN7 busca a las organizaciones de alimentos, hospitalidad y ventas al por menor. 

Esta semana, se revelaron los resultados de las MITRE Engenuity ATT&CK Evaluations de este año, las cuales se enfocaron en Carbanak+FIN7también discutimos por separado cómo es que las soluciones de Trend Micro lidian con estas amenazas. 

Para conocer más antecedentes sobre lo que sucede en los ataques lanzados por Carbanak y FIN7, reunimos información de nuestros estudios de estos grupos, así como información de las técnicas y tácticas de ATT&CK (un total de 65 técnicas en 11 tácticas) que fueron identificadas por MITRE como vinculadas con estos grupos maliciosos.

 

¿Qué sucede en los ataques de Carbanak y FIN7? 

En nuestro análisis de una campaña anterior relacionada, observamos que los atacantes entraron al sistema por medio de spear phishing. Después de obtener la entrada al sistema, se abusa de la característica de dynamic data exchange (DDE) en Windows y de servicios legítimos en la nube para entregar el malware o establecer comunicación comando y control (C&C).  

Después de esto, el backdoor de Carbanak puede usarse para registrar los golpes en el teclado y capturar pantallas, robar y borrar cookies, inyectar código malicioso en los sitios y monitorear tráfico. Para el movimiento lateral, el malware abusa herramientas remotas y de administración del sistema. 

Para ser más específicos en términos de las técnicas ATT&CK®Carbanak y FIN7 comparten un gran número de similitudes. Sin embargo, algunas técnicas solamente las utilizan uno de ellos, como lo discutiremos en las secciones siguientes. 

[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/06/Captura-de-Pantalla-2021-06-23-a-las-16.35.08-172×300.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”172″ height=”300″]

 

Las siguientes son las técnicas y tácticas empleadas por Carbanak y FIN7, de acuerdo con lo compartido por MITRE. 

 

Acceso inicial  

Ambos grupos utilizan campañas de spear-phishing con archivos adjuntos llenos de exploits como punto de entrada al sistema target. 

 

Ejecución 

La entrada exitosa al sistema lleva al siguiente paso: ejecutar el ataque. para la ejecución de código y comportamientos, ambos grupos usan una variedad de técnicas a través de APIs nativasPowerShellejecución de serviciosejecución de usuarios,  Windows Component Object Model (COM) and Distributed COMyWindows Management Instrumentation (WMI). 

Carbanak también abusa de la interfaz de línea de comando y el protocolo DDE cliente servidor. 

Por otra parte, FIN7 aprovecha Mshta, una utilidad que puede ejecutar VBScript y tareas programadas para correr código malicioso en los sistemas de los usuarios  

 

Persistencia 

Una vez que se ejecuta el comportamiento malicioso, los atacantes intentarán mantener su presencia en el sistema. para poder persistir, los grupos crean nuevos servicios. También agregan programas a una carpeta de inicio que puede ser referida con una key de registro. Detectamos una variante del malware Carbanak que agrega registros y keys como una técnica de inicio automático. Las credenciales de las cuentas válidas existentes también son abusadas. 

En el caso de FIN7, el uso de bases de datos de ajuste para aplicaciones (o “shimming”, las cuales pueden permitirle a los desarrolladores arreglar aplicaciones sin volver a escribir el código) y los procesos de enganche que permiten la modificación de comportamientos del programa son algúnas de las técnicas que pueden aplicarse. Este última se ha utilizado en una campaña que involucró el malware Pillowmint. 

 

Escalamiento de Privilegios 

Algunas de las funciones que se necesitan para el ataque requieran da privilegios de administración. para elevar los privilegios, los grupos evaden los mecanismos de Windows User Account Control (UAC)nuevos servicios y cuentas válidas para elevar los privilegios de los procesos. 

Con el mismo propósito, en los sistemas Linux, los ataques de Carbanak también pueden utilizar sudo, un programa que permite que los usuarios ejecuten los programas de un superusuario. 

Los ataques de FIN7 pueden inyectar código a los procesos y toman control del orden de búsqueda usado para cargar los archivos DLL. 

 

Evasión de Defensas 

Después de una serie de comportamientos maliciosos, los atacantes necesitan mantenerse sigilosos y no verse detectados usando soluciones de seguridad que pueden eliminar las amenazas del sistema. Para evadir defensas, ambos grupos crean o adquieren herramientas para firmar el código del malware o decodificar archivos o información usando funciones o herramientas del malware en el sistema. Ambos grupos también enmascaran para hacer que las características parezcan benignas a las soluciones de seguridad, ocultan los archivos o la información para que sea más difícil descubrirlos, empaquetan el software para ocultar el código e inyectan procesos para evadir las defensas basadas en procesos. 

Carbanak también tiene técnicas para deshabilitar las herramientas de seguridadborrar archivos producto de las actividades maliciosas y modifican los registros para ocultar la información de las configuraciones. 

FIN7 utiliza guías para restringir la ejecución y utilidades abusadas que permiten la ejecución indirecta de comandos que pueden evadir las restricciones de seguridad. El grupo también evade la virtualización y los sandboxes inyecta código malicioso en los procesos ahuecados para evitar las defensas basadas en procesos  

 

Acceso a credenciales 

Algunas porciones del sistema son protegidas por credenciales. para obtenerlas, ambos grupos emplearon dumping de credenciales y captura de entradas. El primero involucra credenciales que usualmente toman la forma de hash o texto claro, mientras el último involucra APIs o portales web. 

Carbanak también emplea tácticas de fuerza bruta o aprovechar las credenciales que se han guardado en los navegadores web. 

Por otra parte, FIN7 realiza hooking. 

 

Descubrimiento 

Para la fase de descubrimiento, las campañas de Carbanak y FIN7  obtienen más conocimiento acerca del sistema por medio de la recopilación de varios tipos de información: ventanas abiertas de aplicacionesprocesos que estén corriendo, direcciones IP y otros identificadores de la red en sistemas remotos, información detallada sobre hardware y del sistemaconfiguración del sistema de la red y los usuarios y dueños del sistema. 

Carbanak también recopila información sobre cuentasarchivos y directoriospermisos de grupos y registros. 

FIN7 recopila información sobre shares en las redes. 

La información recopilada puede ayudar con el siguiente paso: el movimiento lateral. 

 

Movimiento lateral 

Los grupos se mueven a través de la red e identifican activos y datos clave iniciando sesión a través de RDP, copiando archivos para subir herramientas a través del copiado remoto de archivos y abusando de los shares administrativos de Windows. 

En los ataques de Carbanak, pueden incluir inicar sesión a sistemas que aceptan conexiones remotas y se usan hashes robados de contraseñas a través del método pass the hash. 

 

Recopilación 

Después de moverse a través de la red identificar activos interesantes, el próximo paso sería recopilar los datos clave. En esta etapa, las campañas de Carbanak y FIN7 recopilan datos de fuentes locales del sistema y a través de capturas de entradas y de pantallas (como se ha realizado en una campaña relacionada utilizando el malware Tirion). 

Los ataques de FIN7 pueden plantar los datos recolectados en una ubicación particular en preparación para su exfiltración. 

 

Comando y Control  

Tanto en los ataques de Carbanak como en los de FIN7la comunicación con los sistemas comprometidos de los usuarios se realiza por medio de la evasión de firewalls o sistemas de detección en la red a través de puertos de uso común, usando proxies de conexión para evitar conexiones directas a la infraestructura del grupo malicioso, utilizando el canal de comando y control para copiar remotamente los archivos desde un sistema externo, mezclándose con el tráfico existente en la red por medio de protocolos estándar de capas de aplicación y aprovechando el protocolo criptográfico estándar para ocultar el tráfico comando y control. 

Las campañas de Carbanak también utilizan programas legítimos y software de acceso remoto para el comando y control. También utilizan protocolos estándar de capas no de aplicación para la comunicación. 

 

Exfiltración 

En la fase final del ataque, los grupos exfiltración los datos robados hacia el canal normal de comunicaciones a través de canales de comando y control. 

Para las rutinas de ataque de FIN7, los datos pueden comprimirse y/o encriptarse antes de exfiltrarse. 

MITRE también compartió las técnicas y tácticas ATT&CK® para Linux. 

La vigilancia continua contra los grupos malicioso ese es un aspecto importante para mantener el paso – si no es que mantenerse adelante – de las amenazas. Las soluciones como Trend Micro Vision One™️ofrecen visibilidad, detección correlacionada y monitoreo de comportamientos a lo largo de múltiples capas: emails, endpoints, servidores, workloads en la nube. 

 


Posted

in

by

Tags:

Comments

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.