Según un estudio de Symantec, cada vez más grupos de amenazas persistentes avanzadas (APT) están explotando los servicios de almacenamiento en la nube que ofrecen Microsoft y Google para tomar el control y extraer datos. Si bien el abuso de estos servicios gratuitos por parte de los cibercriminales no es poco común, evidencias recientes sugieren que los grupos de ciberespionaje patrocinados por estados están llevando a cabo este tipo de ataques cada vez más. “Solo en las últimas semanas, el equipo de búsqueda de amenazas de Symantec ha identificado tres nuevas operaciones de espionaje que utilizan servicios en la nube y ha encontrado evidencia de herramientas adicionales en desarrollo”, dijeron investigadores de la división Symantec de Broadcom. En una publicación de blog.

Sus hallazgos fueron presentados en la conferencia de seguridad Black Hat USA en Las Vegas. El uso indebido de los servicios gratuitos en la nube tiene claras ventajas para los atacantes, ya que no solo ofrecen una solución rápida y barata, sino que, lo que es más importante, permiten una comunicación más sigilosa dentro de las redes. De hecho, la probabilidad de que los productos de seguridad o los cortafuegos marquen como sospechosas las conexiones a servicios ampliamente utilizados como Microsoft OneDrive o Google Drive, en comparación con una dirección IP en China, por ejemplo, es baja.

Índice
  1. Desventajas para el atacante, pero hay contramedidas
  2. Nuevos implantes de malware
  3. Técnicas similares utilizadas por muchos actores de amenazas

Desventajas para el atacante, pero hay contramedidas

Esta práctica también tiene algunas desventajas importantes. En primer lugar, la cuenta en la nube utilizada con fines maliciosos se suspenderá tan pronto como los investigadores de seguridad la identifiquen y lo comuniquen al proveedor de servicios, lo que puede interrumpir la operación. En comparación, si los investigadores descubren un servidor de comando y control C2 privado, su única opción es compartir su dirección IP para que los productos y equipos de seguridad puedan bloquearlo. Pero esto lleva tiempo y no todas las víctimas estarán necesariamente protegidas. Una cuenta en la nube también puede proporcionar a los investigadores una gran cantidad de información adicional sobre la operación si el proveedor de servicios coopera y comparte los registros de actividad de la cuenta y todos los archivos almacenados en ella.

Esta divulgación puede comprometer la seguridad operativa de los atacantes, lo cual es una consideración importante, especialmente para los actores de ciberespionaje que actúan en nombre de los estados nacionales. Sin embargo, existen soluciones para contrarrestar estos inconvenientes. Por ejemplo, los atacantes pueden codificar canales C2 de respaldo en su malware que se utilizarán en caso de que el canal principal, basado en servicios en la nube, deje de funcionar repentinamente. También pueden utilizar el cifrado para ocultar sus actividades y los archivos exfiltrados a los investigadores que obtengan acceso a la cuenta del servicio en la nube malicioso. Estas contramedidas son relativamente comunes, lo que hace que el abuso de los servicios en la nube por parte de las APT sea mucho más viable.

Nuevos implantes de malware

Recientemente ha surgido una amenaza que puede aprovechar los servicios de Microsoft para el comando y control de C2 en forma de un programa de puerta trasera llamado GoGra. Escrito en el lenguaje de programación Go, el programa se implementó contra un medio de comunicación en el sur de Asia en noviembre del año pasado. Según el equipo de Symantec, la puerta trasera puede ser una evolución o reimplementación de otra puerta trasera conocida como Graphon, escrita en .NET y atribuida a un grupo respaldado por un estado nacional. Este grupo, bautizado Harvester por Symantec, ha estado apuntando a empresas del sur de Asia desde 2021.

GoGra aprovecha la API de Microsoft Graph para acceder al servicio de correo electrónico Outlook mediante tokens de acceso OAuth para un nombre de usuario llamado FNU LNU. La puerta trasera accede al buzón de Outlook y lee las instrucciones de los mensajes de correo electrónico que contienen la palabra "Entrada" en la línea de asunto. Sin embargo, el contenido de los mensajes está cifrado con AES-256 y el malware los descifra con una clave codificada. "GoGra ejecuta comandos a través del flujo de entrada cmd.exe y admite un comando adicional llamado CD “El malware modifica el directorio activo”, explicaron los investigadores de Symantec. “Después de ejecutar un comando, cifra el resultado y lo envía al mismo usuario con el objeto Output”. En abril, se utilizó un segundo implante de malware APT que explota la API Graph de Microsoft, llamado Trojan.Grager, contra empresas de Taiwán, Hong Kong y Vietnam. La puerta trasera se distribuyó a través de un instalador troyanizado para el administrador de archivos 7-Zip y utiliza Microsoft OneDrive en lugar de Outlook para fines de C2. La puerta trasera puede descargar, cargar y ejecutar archivos y recopila información del sistema y de la máquina.

Técnicas similares utilizadas por muchos actores de amenazas

Existen vínculos sospechosos entre Grager y un grupo APT que el equipo Mandiant de Google está rastreando como UNC5330, ya que el mismo instalador de 7-Zip que contiene troyanos también colocó una puerta trasera llamada Tonerjam, asociada con ese grupo. Los investigadores creen que el grupo UNC5330 es un "actor de espionaje vinculado a China". También se cree que está entre los grupos que explotaron los dispositivos Ivanti Connect a principios de 2024. Otra puerta trasera de varias etapas, llamada Onedrivetools o Trojan.Ondritos, también utiliza la API de Microsoft Graph para descargar una carga útil de segunda etapa de Microsoft OneDrive. Esta puerta trasera se ha utilizado contra empresas de servicios de TI en Estados Unidos y Europa.

Los investigadores de Symantec también descubrieron en mayo una amenaza llamada BirdyClient, utilizada contra una organización ucraniana que utiliza OneDrive como servidor C2 a través de la Graph API. Otra nueva puerta trasera, denominada MoonTag, que parece estar todavía en desarrollo y que se subió recientemente a VirusTotal, utiliza la Graph API de Microsoft. Es probable que esta puerta trasera haya sido creada por un actor chino y utiliza un código de muestra para comunicarse con la Graph API que se compartió previamente en un grupo de Google en idioma chino. Algunos grupos prefieren Google Drive al servicio de almacenamiento de archivos de Microsoft. Por ejemplo, un grupo de ciberespionaje conocido como Firefly utilizó una herramienta de exfiltración de datos no denunciada anteriormente contra un objetivo militar en el sudeste asiático. La herramienta, escrita en Python, escaneó la computadora local en busca de archivos de imagen jpg y luego los subió a una cuenta de Google Drive utilizando un cliente de Google Drive de código abierto y un token codificado.

En el pasado, otros actores de ciberespionaje han utilizado ocasionalmente servicios gratuitos de almacenamiento de archivos en la nube con fines de C2, incluido el APT37 (Vedalia) afiliado a Corea del Norte en 2021, el APT28 (Fancy Bear) afiliado a Rusia en 2022 y el APT15 (Nickel) afiliado a China en 2023. Sin embargo, según las observaciones de Symantec, la cantidad de amenazas APT que adoptan esta técnica ha aumentado significativamente durante el último año. "Dada la cantidad de actores que implementan ataques que aprovechan los servicios en la nube en la actualidad, es probable que los actores de espionaje estén claramente estudiando las amenazas creadas por otros grupos y buscando replicar técnicas que parecen funcionar", dijeron los investigadores.