El equipo de investigación de Kaspersky ha descubierto una serie de ataques muy selectivos que se vienen realizando contra empresas industriales desde el año 2018. Este tipo de ataques contra las compañías del sector industrial es mucho menos frecuente en el contexto de las APT que los realizados contra las entidades diplomáticas y otros perfiles políticos. El conjunto de herramientas utilizado (denominado MT3 por los propios autores del malware) ha sido bautizado por Kaspersky como «MontysThree». MontysThree emplea diversas técnicas para evitar su detección, entre ellas el alojamiento de sus comunicaciones con el servidor de control en servicios públicos en la nube y el ocultamiento del módulo malicioso principal por medio de la esteganografía.
Las instituciones gubernamentales, los funcionarios públicos y los operadores de telecomunicaciones son, por lo general, el objetivo preferido de las APT, ya que estos individuos e instituciones disponen por naturaleza de una gran cantidad de información de carácter confidencial y muy sensible desde un punto de vista político. No obstante, resulta mucho más extraño que las campañas de espionaje se dirijan contra empresas industriales, aunque, al igual que sucede con cualquier otro tipo de ataque contra una empresa, pueden tener nefastas consecuencias. Por ello, nada más detectar la actividad de MontysThree, los investigadores de Kaspersky empezaron a seguir su actividad.
MontysThree despliega un malware compuesto por cuatro módulos. El primero de ellos, el cargador, se propaga al principio utilizando archivos RAR SFX (archivos autoextraíbles) que incluyen nombres relacionados con los contactos de los empleados, documentación técnica y resultados médicos con el objetivo de engañar a los empleados y conseguir que descarguen los archivos maliciosos, un método común de spear phishing. El cargador es el encargado de asegurarse de que el malware no es detectado en el sistema. Para ello, emplea una técnica conocida como esteganografía.
Los ciberdelincuentes utilizan la esteganografía para ocultar el intercambio de datos. En el caso de MontysThree, la descarga maliciosa principal está disfrazada como un archivo bitmap (un formato destinado al almacenamiento de imágenes digitales). Si se introduce el comando adecuado, el cargador empleará un algoritmo hecho a medida para descifrar el contenido de la matriz de píxeles y ejecutar la carga útil maliciosa.
La carga maliciosa principal aplica varias técnicas propias de cifrado para evitar su detección, como el uso de un algoritmo RSA para cifrar las comunicaciones con el servidor de control y descifrar las principales “tareas” asignadas al malware. Entre ellas se incluye la búsqueda de documentos con extensiones específicas y en directorios concretos de la empresa. MontysThree está diseñado para dirigirse específicamente a documentos Microsoft y Adobe Acrobat; asimismo, también puede realizar capturas de pantalla y tomar las “huellas dactilares” del objetivo – recopilando información sobre su configuración de red, nombre del host, etc.- para comprobar si es de interés para los atacantes.
La información recopilada, así como otras comunicaciones realizadas con el servidor de control, se alojan en servicios públicos en la nube como Google, Microsoft y Dropbox. Este hecho dificulta la detección del tráfico de las comunicaciones como malicioso, y como ningún antivirus bloquea estos servicios, garantiza que el servidor de control pueda ejecutar los comandos de forma ininterrumpida.
Además, MontysThree utiliza un sencillo método para ganar en persistencia dentro del sistema infectado. Se trata de un modificador en la barra de inicio rápido de Windows (Windows Quick Launch). De esta forma, los usuarios ejecutan involuntariamente el módulo inicial del malware cada vez que ejecutan aplicaciones legítimas, como por ejemplo el explorador, al utilizar dicha barra de herramientas de inicio rápido de Windows.
Por el momento, Kaspersky no ha podido encontrar ninguna similitud entre el código malicioso o la infraestructura de MontysThree con ninguna otra APT conocida.
«MontysThree es muy interesante no solo porque se dirige al mundo industrial, sino también por la combinación de sofisticación y sencillez de sus TTP (técnicas, tácticas y procedimientos). En general, la complejidad varía de un módulo a otro, sin embargo, no puede compararse con el nivel utilizado por los grupos APT más avanzados. No obstante, utilizan fuertes patrones de cifrado y, de hecho, cuenta con decisiones con un alto grado de conocimiento técnico, incluida la esteganografía personalizada. Es evidente que los atacantes han realizado un gran esfuerzo en el desarrollo del conjunto de herramientas MontysThree, lo que hace pensar que están firmemente decididos a conseguir sus objetivos, y que esta no es una campaña pasajera», señala Denis Legezo, investigador de seguridad senior en Kaspersky.
Para proteger a tu empresa de ataques como MontysThree, los expertos de Kaspersky recomiendan lo siguiente:
- Proporciona a tu equipo una formación básica en materia de ciberseguridad, ya que muchos ataques dirigidos comienzan por el phishing u otras técnicas de ingeniería social. Realiza un ataque de phishing de simulación para asegurarte de que la plantilla sabe cómo distinguir los correos electrónicos de phishing.
- Proporciona a tu equipo del Centro de Operaciones de Seguridad (SOC) acceso a la última inteligencia sobre amenazas. El Portal de Inteligencia de Amenazas de Kaspersky es un punto de acceso único para el departamento de TI de la compañía, que proporciona datos de ciberataques e información recopilada por Kaspersky durante más de 20 años.
- Implementa soluciones EDR como Kaspersky Endpoint Detection and Response para la detección, investigación y reparación oportuna de incidentes en endpoints.
- Además de adoptar una protección básica del endpoint, implementa una solución de seguridad de nivel corporativo que detecte amenazas avanzadas en la red desde una fase temprana, como por ejemplo Kaspersky Anti Targeted Attack Platform.
- Asegúrate de proteger los endpoints industriales, así como los corporativos. Kaspersky Industrial CyberSecurity incluye una protección exclusiva para los endpoints y la monitorización de la red para descubrir cualquier actividad sospechosa y potencialmente peligrosa en la red industrial.
Información adicional sobre MontysThree está disponible en Securelist. En el Portal de Inteligencia de Amenazas de Kaspersky puedes acceder a información detallada sobre los indicadores de compromiso relacionados con este grupo, incluyendo el hash de los archivos.