Estudia

Investigaci
nte:
noviem
bre 28
ón #2
Edzon
Gaitan 20
21 Profeso
r:
ATAQUES
EN Carlos
CADENA Muñoz
DE
SUMINIST
ROS
 ATAQUE NOX PLAYER -2020
El 25 de enero del 2021 se descubrió un ataque de cadena de suministro que
comprometió a la infraestructura del servidor del emulador de Android Nox Player,
dicho emulador está desarrollado por la empresa de Hong Kong BigNox y es
utilizado por más de 100.000 de usuarios en 150 países. El ataque fue descubierto
por la firma de seguridad eslovaca ESET en donde, según los analistas de dicha
empresa, creen que los atacantes han tenido acceso a los servidores de BigNox
desde al menos septiembre de 2020, q los piratas informáticos no atacaron a toda
la base de usuarios de la compañía, sino que centraron sus esfuerzos en
máquinas con usuarios específicos.
El esquema del ataque en donde los atacantes comprometieron una de las
interfaces de programación de aplicaciones (API) oficiales de la compañía
(api.bignox.com), así como los servidores de alojamiento de archivos
(res06.bignox.com). Usando el acceso obtenido, los atacantes trabajaron con la
dirección URL para descargar e instalar dicha actualización maliciosa imitando las
rutas de las actualizaciones legitimas (en este caso fue la actualización V6615200)
y, como resultado, se distribuyó un malware dentro del ejecutable (NoxPack.exe)
entre los usuarios de NoxPlayer Cabe destacar que se encontraron similitudes de
los malwares implementados en este ataque en otro similar que involucro la
oficina presidencial de Myanmar en 2018, y en una intrusión en una universidad de
Hong Kong en 2020.
Entre los malwares encontrados de la actualización están:
 Malware desconocido: con capacidad de monitorización, coloco archivos .dll
en la carpeta de Internet Explorer explotando una puerta trasera que permitió
rastrear víctimas y que también es capaz de ejecutar comandos recibidos
desde el servidor de comando y control, eliminar archivos, descargar y cargar
archivos, etc.

 Gh0st RAT: En este caso se utilizó una variante keylogger, este robó
información registrando pulsaciones de teclas y estaba alojada en diferentes
directorios C:\ProgramData\Sandboxie\SandboxieBITS.exe C:\Users\
Administrator\AppData\Local\Temp\delself.bat C:\Windows\System32\
wmkawe_3636071.data).
La información que robo está relacionada con del sistema, como la versión del
sistema operativo y la velocidad del procesador o las credenciales de usuarios.
Luego, todos los datos se comunican a los servidores operados por GhostNet.

 PoisonIvy RAT: Este es un troyano de acceso remoto afecto a los directorios

C:\ProgramData\LoGiTech\LoGitech.exe el cual implantaba el siguiente dll en
la ruta C:\ProgramData\LoGiTech\LBTServ.dll el cual cargaba la información al
ejecutable infectado NoxPack.exe.
 ATAQUE A LA AUTORIDAD DE CERTIFICACIÓN DEL GOBIERNO DE
VIETNAM -2020

La Autoridad de Certificación del Gobierno de Vietnam (VGCA fueron víctimas entre el 23

de julio y el 16 de agosto de 2020 con un ataque de cadena de suministros en donde los
atacantes modificaron dos de los instaladores del software disponibles para su descarga
del sitio web (ca.gov.vn) y agregaron un backdoor o puerta trasera con el objetivo de
comprometer a los usuarios (empresas privadas e instituciones públicas) que utilizan el
set de herramientas que provee la VGCA para certificar las firmas digitales en
documentos, como se puede apreciar en la siguiente esquema hecho por la firma ESET:

PhantomNet: es el malware que fue incluido en los instaladores del set de herramientas
de la VGCA (gca01-client-v2-x32-8.3.msi y gca01- client-v2-x64-8.3.msi). Una vez el
usuario descargo y ejecuto el instalador inicia el programa oficial y el archivo malicioso
modificado se escribió en la ruta C:\Program Files\VGCA\Authentication\SAC\x32\
eToken.exe, si este se ejecuta como administrador procederá a ejecutar la puerta trasera
PhantomNet almacenado en el archivo contenedor de Windows (.cab) llamado 7z.
previamente extraído como un servicio en la ruta C:\Windows\apppatch\netapi32.dll, en
caso de ejecutarse como un usuario estándar creara una tarea programada en la ruta
%TEMP%\Wmedia\<GetTickCount>.tmp que se estará comunicando mediante el
protocolo HTTPS con los servidores de Comando y Control (C&C) del grupo de atacantes
TA428 (office365.blogdns[.]com | vgca.homeunix[.]org). Adicional esta puerta trasera
puede recibir plugins adicionales y complejos que probablemente solo se implementan en
máquinas de particular interés para los operadores del malware.
Debido a la relación con otros ataques de la misma índole a otras empresas de la región
(Able Desktop, VeraPorts, Mongolia) se cree que varios grupos organizados de alto nivel
estén detrás de estos ataques que por lo general suelen ser difíciles de encontrar por
estar dentro de códigos certificados por la empresa.
 SOLARWINGS-2020
SolarWinds es una empresa de software de Tulsa, Oklahoma que proporciona
herramientas de gestión de sistemas para el monitoreo de redes e infraestructura a
múltiples organizaciones en todo el mundo. Entre los productos de la compañía se
encuentra un sistema de monitoreo del desempeño de TI llamado Orion. Este
ataque al ser dirigido a un software que involucra el acceso a tiene acceso
privilegiado a los sistemas de redes, afecto a una gran cantidad de las empresas
que compraron su servicio.
Según (Microsoft Security, 2021) dentro del malware NOBELIUM presento varias
etapas que operaron en diferentes niveles de penetración, ya que desde enero del
2019 se estimo que los atacantes ya estaban dentro del sistema, posteriormente en
el mes de septiembre los atacantes inyectaron el código de prueba y ejecutaron
Se descubrió que el malware GoldMax persistía en las redes como una tarea
programada que se hacía pasar por software de administración de sistemas. En los
casos en que se encontró, la tarea programada recibió el nombre del software que
existía en el entorno y señaló una subcarpeta en ProgramData con el nombre de
ese software, con un nombre ejecutable similar. El ejecutable, sin embargo, fue el
implante GoldMax. y la Microsoft Threat Intelligence Center (MSTIC) nombra al
actor detrás de los ataques contra SolarWinds, la puerta trasera SUNBURST, el
malware TEARDROP y componentes relacionados como NOBELIUM, este malware
fue hecho a la medida para el sistema de monitoreo de la empresa SolarWinds
utilizo las credenciales robadas para acceder a servicios en la nube como correo
electrónico y almacenamiento, así como identidades comprometidas para obtener y
mantener el acceso a las redes a través de redes privadas virtuales (VPN) y
herramientas de acceso remoto
Bibliografía
Corporation, T. M. (16 de 10 de 2021). PoisonIvy. Obtenido de
https://attack.mitre.org/software/S0012/

ESET. (10 de 12 de 2020). Operation StealthyTrident: software corporativo bajo ataque. (M. Tartar,
Editor) Obtenido de https://www.welivesecurity.com/2020/12/10/luckymouse-ta428-
compromise-able-desktop/

Incorporated, T. M. (12 de 09 de 2012). GHOSTRAT. Obtenido de

https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/ghostrat

MANDIANT. (04 de 03 de 2021). New SUNSHUTTLE Second-Stage Backdoor Uncovered Targeting

U.S.-Based Entity; Possible Connection to UNC2452. Obtenido de
https://www.mandiant.com/resources/sunshuttle-second-stage-backdoor-targeting-us-
based-entity

Microsoft Security. (4 de 3 de 2021). Recuperado el 2021 de 11 de 27, de GoldMax, GoldFinder,

and Sibot: Analyzing NOBELIUM’s layered persistence:
https://www.microsoft.com/security/blog/2021/03/04/goldmax-goldfinder-sibot-
analyzing-nobelium-malware/

Panettieri, J. (07 de 10 de 2021). SolarWinds Orion Security Breach: Cyberattack Timeline and
Hacking Incident Details. Obtenido de
https://www.channele2e.com/technology/security/solarwinds-orion-breach-hacking-
incident-timeline-and-updated-details/4/

welivesecurity-ESET. (01 de 02 de 2021). Operation NightScout: Supply- chain attack targets online
gaming in Asia. (I. Sanmillan, Productor) Obtenido de
https://www.welivesecurity.com/2021/02/01/operation-nightscout-supply-chain-attack-
online-gaming-asia/