Un grupo de ciberespionaje probablemente vinculado al gobierno iraní ha infectado los servidores de Microsoft Exchange con un nuevo implante de malware llamado BellaCiao que actúa como un inyector para eliminar futuras cargas útiles. El malware aprovecha las consultas DNS para recibir comandos de atacantes codificados en direcciones IP. Según los investigadores de BitdefenderParece que los atacantes personalizan sus ataques en función de cada víctima, incluido el binario del malware, que contiene información codificada como el nombre de la empresa, subdominios personalizados y direcciones IP. La información de depuración y las rutas de los archivos de compilación que quedan en el ejecutable sugieren que los atacantes clasificaron a sus víctimas por código de país, como IL (Israel), TR (Turquía), AT (Austria), IN (India) o IT (Italia).

El grupo detrás del malware se conoce en la industria de la seguridad como Charming Kitten, APT35 o Phosphorus. Este equipo de piratas informáticos operaría en nombre del Cuerpo de la Guardia Revolucionaria Islámica (CGRI), comúnmente conocido como Pasdaran, una organización paramilitar de la República Islámica de Irán que depende directamente del Líder de la Revolución. Recientemente, Microsoft informó que desde finales de 2021, Charming Kitten ha estado atacando infraestructuras críticas de EE. UU., incluidos puertos marítimos, empresas de energía, sistemas de transporte y una gran empresa de servicios públicos y gas. El grupo también es conocido por actualizar y ampliar frecuentemente su arsenal de malware con herramientas personalizadas. Si bien su método de ataque preferido es el phishing sofisticado y altamente dirigido, que incluye hacerse pasar por personas reales, tampoco duda en adoptar exploits de vulnerabilidades parcheadas recientemente, como fue el caso, por ejemplo, de Log4Shell y Zoho ManageEngine (CVE-2022-47966). .

Índice
  1. Implementación y funcionamiento del malware BellaCiao
  2. Ejemplos también diseñados para implementar scripts de PowerShell

Implementación y funcionamiento del malware BellaCiao

Aunque los atacantes de Bitdefender no están seguros del vector de infección utilizado para implementar BellaCiao, encontraron el implante en los servidores Exchange. Por lo tanto, sospechan que los atacantes están aprovechando uno de los exploits Exchange más conocidos de los últimos años, como ProxyLogon, ProxyShell, ProxyNotShell u OWASSRF. Una vez implementado, el implante deshabilita Microsoft Defender mediante un comando de PowerShell y crea un nuevo servicio de persistencia llamado Microsoft Exchange Services Health o Exchange Agent Diagnostic Services. Los nombres elegidos pretenden combinarse con procesos y servicios legítimos relacionados con Exchange. Además de BellaCiao, los piratas informáticos también implementaron puertas traseras que funcionan como módulos para Internet Information Services (IIS), el servidor web que sustenta Exchange. Uno de ellos es una puerta trasera IIS de código abierto llamada IIS-Raid y el otro es un módulo IIS escrito en .NET y utilizado para la exfiltración de credenciales.

Algunas muestras de BellaCiao están diseñadas para implementar un webshell, un script web que funciona como puerta trasera y permite a los atacantes enviar comandos de forma remota. El webshell no se descarga desde un servidor externo, sino que está codificado en el ejecutable BellaCiao como cadenas base64 con formato incorrecto. Sin embargo, para saber cuándo soltar el webshell, en qué directorio y con qué nombre, el implante BellaCiao consulta un servidor de comando y control mediante DNS utilizando un canal de comunicación personalizado creado por los autores del ataque. El malware realiza una consulta DNS para un subdominio codificado en su código cada 24 horas. Dado que los atacantes controlan el DNS del subdominio, pueden devolver cualquier dirección IP que deseen y, al hacerlo, pasan comandos al malware, porque BellaCiao tiene rutinas especiales para interpretar estas direcciones IP.

Ejemplos también diseñados para implementar scripts de PowerShell

Una dirección IP consta de cuatro valores numéricos (bytes) separados por puntos, por ejemplo 111.111.111.111. El malware tiene una dirección IP codificada en el formato L1.L2.L3.L4 que luego compara con la dirección IP recibida de la consulta DNS, por ejemplo R1.R2.R3.R4. Si los últimos bytes R4 y L4 coinciden, se implementa el webshell. Si no coinciden, el webshell no se implementa y si R4 es igual a L4-1, se eliminan todos los rastros del webshell. Los otros bytes R1, R2 y R3 también se utilizan para determinar qué directorio y nombre de archivo elegir de una lista al implementar el webshell. El webshell monitorea las solicitudes web que incluyen una cadena particular, que actúa como una contraseña secreta en el encabezado y brinda a los atacantes tres posibilidades: descargar archivos, cargar archivos y ejecutar comandos.

Otros ejemplos de BellaCiao fueron diseñados para implementar scripts de PowerShell que actúan como un servidor web local y una herramienta de conexión de línea de comandos llamada Plink, utilizada para establecer una conexión de proxy inverso al servidor web. Esto permite a los atacantes ejecutar comandos y scripts, cargar y descargar archivos, descargar registros web, etc. El informe de Bitdefender incluye una lista de indicadores de compromiso, como nombres de dominio, nombres de archivos y rutas, hashes de scripts de PowerShell y direcciones IP. No incluye hashes de archivos para muestras de BellaCiao, ya que contienen información codificada sobre las víctimas.