Analizando la campaña Ministerio Sanidad
Con este articulo pretendo hacer un análisis de la campaña de phishing suplantando la identidad del Ministerio de Sanidad. Los IOCs a los que he tenido acceso son pocos, de hecho he ido “mendigando” puesto que sólo recibí un par de mensajes de correo, suficientes para encontrar información interesante.
El día 21 de marzo recibo el mensaje de phishing, “invitación“ a recibir una dosis adicional de la vacuna del COVID-19.
Como siempre descargo el fichero. Esta descarga siempre la realizo con TOR sobre VPN y filtrando las conexiones con un proxy. Me gusta BurpSuite pero podéis usar cualquier otro, Postman por ejemplo.
Los IOCs que he analizado de esta campaña, seguro que hay más, son:
hxxp://14.63.195.66/Vacunas/?email=email_victima
hxxp://45.55.167.181/ministeriodesanidad/?email=email_victima
hxxps://www.upec.edu.ec/components/MinisterioDeSanidad/?email=email_victima
hxxp://ip-92-205-57-230.ip.secureserver.net/.efactura/?hash=email_victimaLa descarga del fichero zip con el dropper no se hacía desde la URLs indicadas arriba, siempre redirigían la petición a otros servidores asaltados.
El fichero zip descargado contiene un fichero instalador de Windows.
El contenido del fichero “msi” es, dos librerías criptográficas y la librería zlib1, más modera que la zlib. Esta librería se comienza a usar a partir de Windows 10 esto puede ser significante puesto que algunos sistemas antiguos no lo tienen instalado. También veo ficheros de Autohotkey y un ejecutable.
La campaña fue evolucionando y cambiaron algunos ficheros. El fichero dropper no lo cambiaron, pero el fichero Autohotkey sí como podemos comprobar en las imagenes.
Me centro en el fichero autohotkey “software.ahk”, correspondiente a la primera fase de la campaña. Lo primero que veo es que se hace una comprobación del país origen de la conexión, rechazando todas las conexiones no procedentes de los dominios BR, MX, CL, ES y AR. La generación de forma random del nombre del dropper que se descarga y el siguiente IOC de donde se descarga el malware, cadena codificada en base64 que tras su decodificación obtenemos la url de descarga, un fichero zip .
$ printf “aHR0cHM6Ly9lY29yYWNpbmcuaW5mby93cC1jb250ZW50L0phdmFSdW50aW1lLUVSQzQ4MjA0Mi56aXA=”|base64 -d
https://ecoracing.info/wp-content/JavaRuntime-ERC482042.zip
La dll es el malware propiamente dicho, que algunos antivirus detectan como Trojan.TR/Spy.Mekotio.kpgwm variante de Mekotio.
Una inspección rápida del servidor https://ecoracing.info
Con WordPress instalado con unas cuantas vulnerabilidades encontradas por mi y por ellos 😄. Esta vez no me centro en la vulnerabilidades y navego por el servidor. Como siempre, en todo análisis es importante comprobar las fechas de acceso de los ficheros. Vemos que son de finales de marzo de este año.
Y al final, por supuesto, me encuentro una “hermosa” webshell. Este tipo de webshell es muy usada por los atacantes.
Dejo esa línea de investigación y me centro en el otro fichero autohotkey de la segunda fase. Decido tirar por esa línea porque me resulta curioso que detecten el nombre de la máquina. Antes he comentado que había una diferencia entre este fichero de la primera fase con respecto a la segunda.
La primera diferencia, la url de descarga del malware
wy9bjdfu := "aHR0cHM6Ly9pbXVuaXN5c3RlbXJqLmNvbS5ici9GcmFtZXdvcmtORVQ4NDIwNDcwLnppcA=="$ printf "aHR0cHM6Ly9pbXVuaXN5c3RlbXJqLmNvbS5ici9GcmFtZXdvcmtORVQ4NDIwNDcwLnppcA==" | base64 -dhttps://imunisystemrj.com.br/FrameworkNET8420470.zip$unzip -l FrameworkNET8420470.zip
Archive: FrameworkNET8420470.zip
Length Date Time Name
--------- ---------- ----- ----
180 2022-03-31 01:24 oZgrl3J5Db2x0ZAfgdbbb
905728 2021-08-28 20:59 rdUti1pfhSNmH2Goaaa
5963792 2022-03-31 01:26 kFBiegEORx.dll
--------- -------
6869700 3 files
La dll respecto a la primera es diferente pero el ejecutable rdUti1pfhSNmH2Goaaa es el mismo.
$unzip -l JavaRuntime-ERC482042.zip
Archive: JavaRuntime-ERC482042.zip
Length Date Time Name
--------- ---------- ----- ----
905728 2021-08-28 20:59 uL1Ti1AagGYxw4OTxpJ5cSKaaa
6532096 2022-03-23 22:33 gSvUPwSCLS.dll
167 2022-03-23 22:31 QF00x00H6x5plXteB38EkWbbb
--------- -------
7437991 3 files$unzip -l FrameworkNET8420470.zip
Archive: FrameworkNET8420470.zip
Length Date Time Name
--------- ---------- ----- ----
180 2022-03-31 01:24 oZgrl3J5Db2x0ZAfgdbbb
905728 2021-08-28 20:59 rdUti1pfhSNmH2Goaaa
5963792 2022-03-31 01:26 kFBiegEORx.dll
--------- -------
6869700 3 files$md5sum gSvUPwSCLS.dll kFBiegEORx.dll
f37c7d5fa69ad187235a162203eacafd gSvUPwSCLS.dll
773103ed074b57a8630de2e951d8be80 kFBiegEORx.dl$md5sum rdUti1pfhSNmH2Goaaa uL1Ti1AagGYxw4OTxpJ5cSKaaa
4685811c853ceaebc991c3a8406694bf rdUti1pfhSNmH2Goaaa
4685811c853ceaebc991c3a8406694bf uL1Ti1AagGYxw4OTxpJ5cSKaaa
Subo la dll a Joesandbox.
Por otro lado miro la otra diferencia. El fichero Autohotkey realiza una condición, si en nombre de la máquina es DESKTOP-547Q8VP entonces no continua. Esto me resulta curioso, así que busco información de esa cadena.
if (A_ComputerName = oi3ekytz(“REVTS1RPUC01NDdROFZQ”)) {
ExitApp
}
# printf "REVTS1RPUC01NDdROFZQ" | base64 -d
DESKTOP-547Q8VPEncuentro en Google alguna referencia. Los dominios implicados son:
http://omgmedia.ru/universal/ip4/2022.01.30
http://help.v13.ru/
https://techme.top/php/user.txtCabe destacar que el fichero indicado en el último enlace crece a un ritmo considerable, en menos de 5' siete entradas nuevas.
Pues según se indica, se trata de una botnet. Si os fijáis en el fichero, por un lado tenemos la IP privada y por otro lado el nombre del dispositivo. Como la IP no aporta información para poder investigar, me centro en los nombres de los dispositivos.
Busco información sobre los dispositivos en Shodan.
Una gran mayoría con Windows 10/11, también hay algún que otro Windows 7. Me llama la atención que en Shodan hay servicios como msrcp y rdp activos para esos servidores pero luego no es así. Otro dato curioso es que los servicios que están activos son smtp y https. En la mayoría de las ocasiones los ciberdelincuentes usas el servicio smtp para mandar la información extraída y un protocolo cifrado como https para comunicarse con el ordenador zombie. Otro dato curioso es el escaneo, no entiendo la información que muestra Shodan. Por ejemplo, para éste caso, el último escaneo para Shodan dos puertos abiertos el 16 de Abril pero nmap indica cuatro, los dos de Shodan más smtp y https o servicios que están corriendo en esos puertos.
Como he dicho que sea el puerto determinado e identificado con un servicio no quiere decir que sea ese servicio, puede ser cualquier servicio en ese puerto. Algunos administradores juegan al despiste con establecer servicios en otros puertos, pero esos servicios siempre son identificados. Se puede hacer un telnet a ese servicio y esperar la respuesta. Las imágenes de abajo indican telnet al puerto 25 y 443 pero, al menos el 25, no es lo que dice ser.
De los dispositivos analizados cuyo nombre es ANA-PC, los 41 tienen estos servicios abiertos y si miramos los dispositivos cuyo nombre es ALEX-PC ocurre lo mismo.
Es cierto que esto es un dato significativo, no es concluyente pero si sospechoso, no debemos olvidar que estos dispositivos pertenecen a una Botnet.
Por aquí hay una amplia linea para investigar así que decido echar un vistazo al otro dominio, http://omgmedia.ru/universal/ip4/
La información de este servidor es accesible desde internet, los Index Of los carga el diablo. Aquí podemos ver un listado de ficheros cuyo contenido es ip_nombre. Los ficheros tienen fecha de enero y febrero de este año. También encontramos información de ejecutables de Windows: SkyPe, FireFox, etc.
Sigo mirando y el fichero c.txt contiene un hash, un md5 el cual descifro …
El fichero download.php no es un fichero php, es un fichero ejecutable de Windows. En VirusTotal solo tres antivirus lo clasifica como malware pero JoseSandbox indica que está limpio. Las dos IPs a las que se conecta, pertenecen a Akamai y ambas tienen los puerto 25, 80 y 443 activos, ¿casualidad?
Paso a analizar el fichero virustotal.php. Este es mas curioso porque nos muestra una tabla con nombres de ficheros, ejecutables de Windows, fechas actuales y un md5. Traduzco del ruso:
Archivo — fecha de descarga — ID de TV — MD5 — Último análisis — Análisis
En la columna último análisis la traducción indica Aún no probado (Ещё не проверялся).
Elijo un md5 al azar, zoom.exe ( 8bd8f019c963741363cb5f4caccde53a ) y lo busco en VirusTotal. Solo dos antivirus indican que es malware, en la pestaña de comportamiento se puede comprobar como hay tráfico hacia los dominios omgmedia.ru y un subdominio de éste. Compruebo otro md5, Chrome con idéntico resultado. Dudas sobre si es malware.
Файл (Archivo): Install AC01.exe
Дата загрузки (fecha de descarga): 2022-04-13 12:48:08
VT ID : codificado en base64 000edb26f4275dcb8134ba504a7ec753:1649948120 contiene un hash md5 y timestamp
MD5 : 000edb26f4275dcb8134ba504a7ec753
Последний анализ Анализ (Último análisis Análisis): 2022-04-14 14:55:21Otra búsqueda más exhaustiva en el servidor revela un directorio con ejecutables, algunos con fecha reciente.
Elijo un fichero y lo analizo, “Install TeamViewer” también descargo el original.
Tenemos varios datos significativos que nos indican que no debemos fiarnos del fichero que nos hemos encontrado. Nos fijamos en el campo nombre, el software original aporta más información: versión del producto, servidor de descarga, copyright … el malware no indica nada. Un dato curioso es el fichero de firma, uno firmado por DigiCert y el otro por Sectigo.
Por último analizo el fichero WhatSapp, donde JoeSandbox indica que está limpio y VirusTotal indica que tres antivirus lo detectan como malicioso.
Conclusiones
Pocas concluiones, solo que desde mi punto de vista el malware de esta campaña infecta a los dispositivos y los incluye en una Botnet.
Busca en tu red los nombres de esos dispositivos y puertos 25 y 443 abiertos. Open your eyes.
Agradecimientos
Como siempre a mi amigo Gonzalo @iso1600_net porque los dos tenemos los ojos como platos de tanto mirar 😅
