Microsoft descubre NICKEL, un nuevo ataque que aprovecha su software para robar información: llega desde China y está en Europa
El Centro de Inteligencia de Amenazas de Microsoft (MSTIC) ha descubierto un actor malicioso bautizado como NICKEL, que tiene su base en China, y dirige sus ataques a gobiernos, entidades diplomáticas y organizaciones no gubernamentales (ONG) en toda América Central y del Sur, el Caribe, Europa y América del Norte.
MSTIC ha estado rastreando a NICKEL desde 2016, pero no fue hasta hace unas horas que la Unidad de Crímenes Digitales de Microsoft (DCU) anunció la incautación exitosa de un conjunto de sitios web operados por NICKEL y la interrupción de sus ataques en curso dirigidos a organizaciones en 29 países, tras una orden judicial de un tribunal en Estados Unidos que otorgó a Microsoft la autoridad para incautar estos sitios.
El objetivo parece ser conseguir más información
La de Redmond cree NICKEL ha logrado un acceso a largo plazo a varios objetivos, lo que le ha permitido realizar actividades como la exfiltración de datos programada regularmente.
«A medida que la influencia de China en todo el mundo sigue creciendo y
la nación establece relaciones bilaterales con más países y amplía las
asociaciones en apoyo de la Iniciativa del Cinturón y la Ruta de China,
evaluamos que los actores de la amenaza con base en China seguirán
apuntando a clientes en los sectores gubernamental, diplomático y de ONG
para obtener nuevos conocimientos». Microsoft cree que el objetivo es espionaje económico y recopilar información.España no parece afectada por ahora, según las investigaciones de Microsoft, pero sí Argentina, Colombia, México, Panamá, Venezuela, Ecuador y Perú
en América Latina o Francia, Italia, Portugal y Reino Unido, vecinos
cercanos a nuestro país en Europa. La lista completa de los países
atacados está en el mapa previo. Microsoft está notificando a los
clientes que han sido atacados o comprometidos, aunque no ha hecho esta
información pública.
Microsoft aconseja a sus clientes en general que revisen cuanto antes la actividad de su sistema operativo y sus equipos
y que implementen mitigaciones de riesgo e investiguen los
comportamientos sospechosos que coincidan con las tácticas descritas en
este blog.
Forma de entrar en los equipos y robar información
MSTIC ha observado que los actores de NICKEL utilizan exploits contra sistemas no parcheados para comprometer servicios de acceso remoto y dispositivos.
«Una vez que la intrusión ha tenido éxito, han utilizado volcadores o
robadores de credenciales para obtener credenciales legítimas, los actores
de NICKEL crearon y desplegaron malware personalizado que les permitió
mantener la persistencia en las redes de las víctimas durante
largos períodos de tiempo. MSTIC también ha observado que NICKEL lleva a
cabo una recolección y exfiltración de datos frecuente y programada».
NICKEL logra comprometer las redes mediante ataques a aplicaciones web
orientadas a Internet que se ejecutan en Microsoft Exchange y
SharePoint. También atacan la infraestructura de acceso remoto, como los dispositivos VPN sin parchear.
Es decir, Nickel fue capaz de comprometer a los proveedores de VPN u
obtener credenciales robadas, mientras que en otros casos, se
aprovecharon de sistemas Exchange Server y SharePoint sin parches.
Además, NICKEL suele desplegar un keylogger para capturar las
credenciales de los usuarios de los sistemas comprometidos. Hemos
observado que NICKEL utiliza Mimikatz, WDigest (un antiguo método de
autenticación que permite al atacante acceder a las credenciales en
texto claro), NTDSDump y otras herramientas de volcado de contraseñas para recopilar credenciales en un sistema y en navegadores.De acuerdo con la firma fabricante de Windows, las familias de malware
Leeson, Neoichor y NumbIdea suelen utilizar la interfaz COM de Internet
Explorer (IE) para conectarse y recibir comandos de servidores C2 codificados.
Debido a su dependencia del IE, estas familias de malware configuran
intencionadamente los ajustes del navegador modificando diversas
entradas del registro. Luego se conectan a los servidores C2 y las
solicitudes de URL siguen nuevos formatos.
Una respuesta típica del servidor C2 es una página web de aspecto legítimo que contiene la cadena «!DOCTYPE html», que el malware comprueba. A continuación, el malware localiza un blob codificado en Base64, que decodifica y procede a cargar como shellcode.
Los implantes NICKEL son puertas traseras capaces de recopilar
información del sistema, como: Dirección IP, versión del sistema
operativo, ID del idioma del sistema, nombre del ordenador
y nombre de usuario registrado. MSTIC ha observado que NICKEL coloca su
malware en las rutas de los programas instalados. Este malware parecen
ser archivos utilizados por una aplicación instalada. Un ejemplo de ruta
sería C:Program Files (x86)AdobeFlash PlayerAddInsairappinstallerairappinstall.exe.
Fuente:
https://www.genbeta.com/actualidad/microsoft-descubre-nickel-nuevo-ataque-que-aprovecha-su-software-para-robar-informacion-llega-china-esta-europa
Autora: Bárbara Bécares