Los investigadores de seguridad cibernética descubrieron hoy nuevos detalles de los ataques de pozos de agua contra la comunidad kurda en Siria y Turquía con fines de vigilancia y exfiltración de inteligencia.
La amenaza persistente avanzada detrás de la operación, llamada StrongPity, se ha rediseñado con nuevas tácticas para controlar las máquinas comprometidas, dijo la firma de ciberseguridad Bitdefender en un informe compartido con The Hacker News.
«Usando tácticas de abrevadero para infectar selectivamente a las víctimas y desplegando una infraestructura C&C de tres niveles para frustrar las investigaciones forenses, el grupo APT aprovechó las herramientas populares troyanizadas, como archivadores, aplicaciones de recuperación de archivos, aplicaciones de conexiones remotas, utilidades e incluso software de seguridad, para cubrir una amplia gama de opciones que las víctimas específicas podrían estar buscando», dijeron los investigadores.
Dado que las marcas de tiempo de las muestras de malware analizadas utilizadas en la campaña coincidieron con la ofensiva turca en el noreste de Siria (denominada Operación Primavera de la Paz) en octubre pasado, Bitdefender dijo que los ataques podrían haber tenido motivaciones políticas.
Uso de instaladores corruptos para colocar malware
StrongPity (o Promethium) se informó públicamente por primera vez en octubre de 2016 después de los ataques contra usuarios en Bélgica e Italia que utilizaron pozos de agua para entregar versiones maliciosas del software de cifrado de archivos WinRAR y TrueCrypt.
Desde entonces, la APT ha estado vinculada a una operación de 2018 que abusó de la red de Türk Telekom para redirigir a cientos de usuarios en Turquía y Siria a versiones maliciosas StrongPity de software auténtico.
Por lo tanto, cuando los usuarios objetivo intentan descargar una aplicación legítima en el sitio web oficial, se lleva a cabo un ataque de pozo de agua o una redirección HTTP para comprometer los sistemas.
En julio pasado, AT&T Alien Labs encontró evidencia de una nueva campaña de spyware que explotaba versiones troyanizadas del software de administración de enrutadores WinBox y el archivador de archivos WinRAR para instalar StrongPity y comunicarse con la infraestructura del adversario.
El nuevo método de ataque identificado por Bitdefender sigue siendo el mismo: apuntar a las víctimas en Turquía y Siria utilizando una lista de IP predefinida aprovechando los instaladores manipulados, incluidos McAfee Security Scan Plus, Recuva, TeamViewer, WhatsApp y CCleaner de Piriform, alojados en agregados y compartidores de software localizados.
«Curiosamente, todos los archivos investigados relacionados con las aplicaciones contaminadas parecen haber sido compilados de lunes a viernes, durante las horas normales de trabajo de 9 a 6 UTC + 2», dijeron los investigadores. «Esto fortalece la idea de que StrongPity podría ser un equipo de desarrolladores patrocinado y organizado pagado para entregar ciertos ‘proyectos'».
Una vez que se descarga y ejecuta el gotero de malware, se instala la puerta trasera, que establece comunicación con un servidor de comando y control para la exfiltración de documentos y para recuperar los comandos que se ejecutarán.
También implementa un componente de «Buscador de archivos» en la máquina de la víctima que recorre cada unidad y busca archivos con extensiones específicas (por ejemplo, documentos de Microsoft Office) para extraerlos en forma de archivo ZIP.
Luego, este archivo ZIP se divide en varios archivos cifrados «.sft» ocultos, se envía al servidor de C&C y, en última instancia, se elimina del disco para cubrir cualquier rastro de la exfiltración.
Expansión más allá de Siria y Turquía
Aunque Siria y Turquía pueden ser sus objetivos recurrentes, el actor de amenazas detrás de StrongPity parece estar expandiendo su victimología para infectar a usuarios en Colombia, India, Canadá y Vietnam utilizando versiones contaminadas de Firefox, VPNpro, DriverPack y 5kPlayer.
Llamándolo StrongPity3, los investigadores de Cisco Talos describieron ayer un conjunto de herramientas de malware en evolución que emplea un módulo llamado «winprint32.exe» para iniciar la búsqueda de documentos y transmitir los archivos recopilados. Además, el instalador falso de Firefox también verifica si el software antivirus ESET o BitDefender está instalado antes de eliminar el malware.
«Estas características pueden interpretarse como signos de que este actor de amenazas podría ser parte de una operación de servicio empresarial por contrato», dijeron los investigadores. «Creemos que esto tiene el sello distintivo de una solución empaquetada profesionalmente debido a la similitud de cada pieza de malware que es extremadamente similar pero se usa en diferentes objetivos con cambios menores».