TeslaGun preparado para explotar una nueva ola de ataques cibernéticos de puerta trasera

Se ha descubierto un panel de ciberataque recientemente descubierto denominado TeslaGun, utilizado por Evil Corp para ejecutar campañas de puerta trasera de ServHelper.

Los datos obtenidos de un análisis realizado por el equipo de Prodraft Threat Intelligence (PTI) muestran que la banda de ransomware Evil Corp (también conocida como TA505 o UNC2165, junto con media docena de otros coloridos nombres de seguimiento) ha utilizado TeslaGun para llevar a cabo campañas masivas de phishing y campañas dirigidas contra más de 8,000 organizaciones e individuos diferentes. La mayoría de los objetivos han estado en Estados Unidos, que representó a más de 3,600 de las víctimas, con una distribución internacional dispersa fuera de ese país.

Ha habido una expansión continua del malware de puerta trasera ServHelper, un paquete de larga duración y constantemente actualizado que ha estado disponible desde al menos 2019. Comenzó a cobrar fuerza una vez más en la segunda mitad de 2021, según un informe de Cisco Talos, impulsado por mecanismos como instaladores falsos y malware de instalación asociado como Raccoon y Amadey. 

Más reciente, Inteligencia de amenazas de Trellix El mes pasado se informó que recientemente se descubrió que la puerta trasera ServHelper dejaba caer criptomineros ocultos en los sistemas.

El informe del PTI, publicado el martes, profundiza en los detalles técnicos detrás de TeslaGun y ofrece algunos detalles y consejos que pueden ayudar a las empresas a avanzar con importantes contramedidas a algunas de las tendencias de ciberataques de puerta trasera que prevalecen en la actualidad.

Los ataques de puerta trasera que eluden los mecanismos de autenticación y silenciosamente establecen persistencia en los sistemas empresariales son algunos de los más desconcertantes para los defensores de la ciberseguridad. Esto se debe a que estos ataques son muy difíciles de detectar o prevenir con controles de seguridad estándar. 

Los atacantes de puerta trasera diversifican sus activos de ataque

Los investigadores de PTI dijeron que observaron una amplia gama de diferentes perfiles de víctimas y campañas durante sus investigaciones, lo que respalda investigaciones anteriores que mostraron que los ataques de ServHelper buscan víctimas en una variedad de campañas simultáneas. Este es un patrón de ataque característico de lanzar una amplia red para ataques oportunistas.

"Una sola instancia del panel de control de TeslaGun contiene múltiples registros de campaña que representan diferentes métodos de entrega y datos de ataque", explica el informe. "Las versiones más nuevas del malware codifican estas diferentes campañas como ID de campaña".

Pero los ciberatacantes perfilarán activamente a las víctimas

Al mismo tiempo, TeslaGun contiene abundante evidencia de que los atacantes están perfilando a las víctimas, tomando abundantes notas en algunos puntos y realizando ataques de puerta trasera dirigidos.

“El equipo de PTI observó que el panel principal del panel TeslaGun incluye comentarios adjuntos a los registros de las víctimas. Estos registros muestran datos del dispositivo de la víctima, como CPU, GPU, tamaño de RAM y velocidad de conexión a Internet”, dice el informe, explicando que esto indica un objetivo de oportunidades de criptominería. "Por otro lado, según los comentarios de las víctimas, está claro que TA505 está buscando activamente usuarios minoristas o de banca en línea, incluidas carteras criptográficas y cuentas de comercio electrónico".

El informe dice que la mayoría de las víctimas parecen operar en el sector financiero, pero que este objetivo no es exclusivo.

La reventa es una parte importante de la monetización por puerta trasera

La forma en que se configuran las opciones de usuario del panel de control ofreció a los investigadores mucha información sobre el "flujo de trabajo y la estrategia comercial" del grupo, según el informe. Por ejemplo, algunas opciones de filtrado estaban etiquetadas como "Vender" y "Vender 2" y las víctimas de estos grupos tenían los protocolos de escritorio remoto (RDP) temporalmente deshabilitados a través del panel.

"Esto probablemente significa que TA505 no puede obtener ganancias inmediatamente explotando a esas víctimas en particular", según el informe. "En lugar de dejarlos ir, el grupo ha etiquetado las conexiones RDP de esas víctimas para revenderlas a otros ciberdelincuentes".

El informe del PTI decía que, según las observaciones de los investigadores, la estructura interna del grupo estaba "sorprendentemente desorganizada", pero que sus miembros aún "vigilan cuidadosamente a sus víctimas y pueden demostrar una paciencia notable, especialmente con víctimas de alto valor en el sector financiero".

El análisis señala además que la fortaleza del grupo es su agilidad, lo que dificulta predecir la actividad y detectarla a lo largo del tiempo.

Sin embargo, los atacantes de puerta trasera no son perfectos y esto puede ofrecer algunas pistas para los profesionales de la ciberseguridad que buscan frustrar sus esfuerzos.

“Sin embargo, el grupo presenta algunas debilidades reveladoras. Si bien TA505 puede mantener conexiones ocultas en los dispositivos de las víctimas durante meses, sus miembros suelen ser inusualmente ruidosos”, dice el informe. “Después de instalar ServHelper, los actores de amenazas TA505 pueden conectarse manualmente a los dispositivos de las víctimas a través de un túnel RDP. Las tecnologías de seguridad capaces de detectar estos túneles pueden resultar vitales para detectar y mitigar los ataques de puerta trasera del TA505”.

Evil Corp, vinculada (y sancionada) a Rusia, ha sido uno de los grupos más prolíficos de los últimos cinco años. De acuerdo con la gobierno de los Estados Unidos , el grupo es el cerebro detrás del troyano financiero Dridex y tiene asociaciones con campañas que utilizan variantes de ransomware como WastedLocker. También continúa perfeccionando una serie de armas para su arsenal; la semana pasada salió a la luz que está asociado con Infecciones por petirrojo frambuesa.

PTI utiliza TA505 para rastrear la amenaza y el consenso es sólido pero no es universal que TA505 y Evil Corp sean el mismo grupo. Un informe del mes pasado del Centro de Coordinación de Ciberseguridad del Sector Salud (HC3) dijo que “actualmente no respalda esa conclusión”.