Military Financing Maldoc: análisis

Recientemente, desde Lab52 de S2 Grupo hemos detectado una campaña de infección a través de un documento malicioso que nos ha llamado especialmente la atención debido a su contenido y título.

El documento en cuestión, llamado “Military Financing.xlsm” y con hash “efe51c2453821310c7a34dca3054021d0f6d453b7133c381d75e3140901efd12”, destaca principalmente por su nombre y la imagen que contiene, que hace referencia a un documento con información secreta del departamento de estado de EEUU.

Ilustración 1 Captura de la imagen que contiene del documento

[Read more…]

Grupo WIRTE atacando a Oriente Medio

Desde LAB52 de S2 Grupo se ha llevado a cabo una investigación sobre un actor sobre el que desde LAB52 no se han podido encontrar referencias o similitudes en fuentes abiertas y al que se ha identificado como WIRTE.

El equipo de DFIR (Digital Forensics and Incident Response) de S2 Grupo identificó por primera vez este actor en agosto de 2018 y a partir de ese instante se ha llevado a cabo el seguimiento durante los últimos meses.

Este grupo ataca a Oriente Medio y no utiliza mecanismos muy sofisticados, al menos en la campaña iniciada en agosto de 2018 que fue la monitorizada. Se considera poco sofisticado por el hecho de que los scripts están sin ofuscar, las comunicaciones van sin cifrar por HTTP, utilizan Powershell (cada vez más monitorizado), etcétera. Pese a este modus operandi aparentemente poco sofisticado respecto a otros actores, consiguen infectar a sus víctimas y llevar a cabo sus objetivos. Además, como se verá durante este artículo, la tasa de detección de alguno de los scripts en el mes de diciembre de 2018 por los principales fabricantes de antivirus es baja, aspecto que es necesario resaltar. Hay que ser consciente que una vez se ejecutan estos scripts es cuando el análisis por comportamiento de muchas soluciones los detectarán, pero este hecho no ha sido objeto de estudio por parte de LAB52.

Este actor en todos los artefactos analizados muestra a sus víctimas un documento señuelo en árabe con diferentes temáticas. Durante el informe se analizarán estos documentos y quienes podrían ser los objetivos dependiendo de la temática tratada en el documento. [Read more…]

Informe: Grupo Gamaredon

Desde LAB52 se ha elaborado un informe relacionado con el grupo GAMAREDON. Este grupo según informes previos de PaloAlto y Looking Glass centra su actividad en atacar a Ucrania.

El informe pretende actualizar la información relacionada con este grupo desde un punto de vista técnico y explicar la situación actual que se vive entre dos países como Rusia y Ucrania con un análisis geoestratégico y geopolítico.

Quizá uno de los aspectos más interesantes del estudio y que merece la pena resaltar es este comentario de @DrunkBinary el 30 de Noviembre de 2018:

En este comentario, y en otros referentes a GAMAREDON, @DrunkBinary lanza la hipótesis de que Ucrania puede estar siendo objeto de ataque de unos alumnos pertenecientes a una academia del FSB (vamos como si fuera la academia Enigma del FSB :O) y estos estuvieran haciendo sus prácticas sobre un objetivo real. Después de realizar este informe pensamos que no es una hipótesis muy descabellada, difícil de verificar, pero hay varios indicadores que hacen pensar que esto pudiera ser así.

Aunque fuera cierto que se tratara de una academia atacando, no hay que olvidar que están infectando a víctimas reales por la información manejada por LAB52 y por lo publicado recientemente por el CERT de Ucrania, con la gravedad e impacto que esto conlleva.

Desde LAB52 esperamos que les sea de utilidad el informe y cualquier comentario será bienvenido.

– Descargar informe –

[Read more…]