Ataque de watering hole descubierto recientemente, dirigido a organizaciones ucranianas y canadienses.

Seguridad
14/04/2021

Los análisis de Black Lotus Labs’® han descubierto un clúster de sitios web comprometidos utilizado previamente en una serie de ataques de watering hole. Cualquier visitante que navegara a uno de los sitios sin saberlo estaría infectado y sería vulnerable a que el actor de la amenaza se apropiara de una copia de sus credenciales de autenticación de Windows, que podría usarse para hacerse pasar por ellos. Inicialmente identificamos esta actividad en una cantidad de sitios web ucranianos, mientras que análisis posteriores revelaron que los actores también habían comprometido un sitio web canadiense.

Detalles técnicos
Los ataques de watering hole impactan en los usuarios finales que visitan un sitio web en particular, inyectándoles una función maliciosa en el código del sitio web, que luego es ejecutado por las máquinas de las víctimas. En el caso de estos sitios web, un JavaScript malicioso preparaba a los dispositivos de las víctimas para que enviaran sus hashes de New Technology LAN Manager (NTLM) a un servidor controlado por el actor usando Server Message Block (SMB), un protocolo de comunicaciones que permite el acceso compartido a recursos tales como impresoras y archivos. En la mayoría de los entornos de Windows, el protocolo NTLM se usa como un mecanismo de autenticación para los diversos usuarios de un sistema. Una vez que el actor de la amenaza obtiene estos hashes, en algunos casos pueden descifrarlos fuera de línea, revelando de esa manera los nombres de usuarios y sus contraseñas algo que puede ser aprovechado para operaciones subsiguientes tales como acceder a las cuentas de correo electrónico o a otros recursos corporativos.

Estos tipos de ataques de watering hole se han utilizado durante años, pero nuestro interés en este vector se renovó luego de detectar un compromiso de esta naturaleza en el sitio web del Aeropuerto internacional de San Francisco (SFO) en abril de 2020. Cuando las víctimas navegaban por el sitio web, sus máquinas trataban de recuperar un archivo “icon.png” alojado en un servidor remoto. Las máquinas de las víctimas utilizaban la ruta de la convención universal de nombres (UNC) para iniciar una conexión saliente usando SMB para el link: file:// [IP address] /icon.png. Los atacantes podían luego configurar un gestor de evento para recibir los hashes NTLM de las víctimas, que luego podían descifrar offline.

Cuando observamos este vector de ataque inicialmente en el sitio web del aeropuerto de San Francisco, advertimos funciones de JavaScript maliciosas, similares en varios sitios web de Ucrania y Canadá que aparentemente exhibían la misma táctica operativa. Por consiguiente estamos agrupando esta actividad en el mismo actor. A continuación podrá encontrar una copia del código JavaScript.

Copia del código malicioso de JavaScript encontrado en los sitios web comprometidos

Este código fue descubierto en tres sitios web exclusivos, y todos ellos alojados en la misma dirección IP con base en Ucrania. 185.68.16[.]193. Esto podría indicar que los actores maliciosos obtuvieron acceso al servidor web y por ende acceso a todos los sitios web alojados en el mismo. Cada uno de estos sitios está asociado con entidades de fabricación ucranianas, una de las cuales anuncia que fabrica equipos para la fuerzas de cumplimiento del orden y la protección energética. Los sitios web y las fechas de la actividad maliciosa observada son:
• azo.od[.]ua, 15 de octubre de 2020
• vistec[.]ua, 23 de septiembre de 2020
• telecard.com[.]ua, 31 de marzo de 2020.

Si una máquina vulnerable visitara estos sitios web intentaría recuperar un archivo remoto ubicado en el archivo ://213.133.122[.]42/icon.png.
El segundo grupo de sitios con ataques de watering hole incluyó a un club de fútbol y a un banco de inversión ucranianos Los sitios web y las fechas de la actividades maliciosas observadas fueron:
• fcdynamo.kiev[.]ua, 15 de mayo de 2020
• dragon-capital[.]com, 17 de diciembre de 2019

Si una máquina vulnerable visitara cualquiera de estos sitios web intentaría recuperar un archivo remoto ubicado en el archivo file://5.9.59[.]54/icon.png.
El tercer grupo de sitios atacados por watering hole estuvo asociado con organizaciones de medios de comunicación ucranianos. Los sitios web y las fechas de la actividades maliciosas observadas fueron:
• zoomua[.]tv, 18 de mayo de 2019
• unn.com[.]ua, 21 de mayo de 2020
• ntn[.]ua, 3 de marzo de 2019

Si una máquina vulnerable visitara cualquiera de estos sitios web intentaría recuperar un archivo remoto ubicado en el archivo file://139.59.179[.]55/icon.png.

Página de resultados de búsqueda de Google en caché que muestra la función JavaScript maliciosa

El cuarto grupo de sitios con ataques de watering hole estaba asociado con compañías petroleras, una con sede en Ucrania y la otra con sede en Canadá.
• oilandgas.dtek[.]com, 13 de mayo de 2019
• dtek[.]com, 13 de mayo de 2019
• investecogas[.]com, 14 de febrero de 2019

Si una máquina vulnerable visitara cualquiera de estos sitios web intentaría recuperar un archivo remoto ubicado en el archivo ://91.208.138[.]8/icon.png.

Listado de sitios web comprometidos y sus correspondientes oyentes SMB

Recomendaciones de mitigación
Black Lotus Labs continúa monitoreando a este actor y este tipo de actividades de abrevadero (o watering hole). Para protegerse de este tipo de ataques, las organizaciones deberían configurar sus firewalls para evitar que las comunicaciones salientes basadas en SMB salgan de la red. Si las organizaciones no estuvieran usando este protocolo internamente, tal vez deseen considerar como alternativa desactivar o limitar SMB en el entorno corporativo. Si ninguna de las opciones fuera viable para una organización, pueden limitar el uso de JavaScript en sitios web desconocidos o no confiables. Los usuarios que estén preocupados por los ataques de abrevadero también tienen la opción de desactivar JavaScript a través de un plugin como por ejemplo NoScript.

Notificamos a los propietarios de los sitios web comprometidos para que interrumpan este ataque en curso. Si desea colaborar en una investigación similar a esta, contáctenos en Twitter @BlackLotusLabs 

Se recomienda a las organizaciones que buscan evitar los ataques de abrevadero que actualicen el software y los navegadores con la mayor frecuencia posible, supervisen e inspeccionen periódicamente los sitios web visitados con frecuencia para asegurarse de que estén libres de malware y que bloqueen el acceso de los usuarios a sitios comprometidos conocidos.

Indicadores de compromiso
Sitios web comprometidos y sus direcciones IP
azo[.]od[.]ua
     185.68.16[.]193.
vistec[.]ua
     185.68.16[.]193.
vistec[.]ua
     185.68.16[.]193.
fcdynamo[.]kiev[.]ua
     104.26.14[.]194.
dragon-capital[.]com
     91.90.196[.]26.
zoomua[.]tv
     62.149.26[.]233.
unn[.]com[.]ua
     104.27.139[.]240.
ntn[.]ua
     62.149.26[.]232.
dtek[.]com
     45.60.75[.]78.
investecogas[.]com
     77.72.135[.]227.

Nodos SMB
213.133.122[.]42/icon.png
51.159.28[.]101/icon.png
139.59.179[.]55/icon.png
91.208.138[.]8/icon.png

La presente información se provee “como está” sin garantía o condición de ninguna naturaleza, ya sea expresa o implícita. El uso de esta información es responsabilidad del usuario final.

Compartir

Artículos Recientes

Negocios digitales en Argentina como oportunidad de crecimiento para el empresariado local

by | Ago 23, 2024 | Tendencias de TI | 0 Comments

Negocios digitales en Argentina como oportunidad de crecimiento para el empresariado local   El auge del comercio electrónico en Argentina no es simplemente una...

Data Center

Inteligencia artificial: una travesía en su etapa inicial

by | Ago 22, 2024 | Tendencias de TI | 0 Comments

Inteligencia artificial: una travesía en su etapa inicial   La Inteligencia Artificial (AI) está emergiendo como uno de los motores más poderosos de la...

La Revolución de SASE en la Era Digital | Seguridad y Conectividad Integral

by | Ago 19, 2024 | Tendencias de TI | 0 Comments

La Revolución de SASE en la Era Digital Importancia de SASE en la Era Digital En la actualidad, el entorno digital está en constante evolución, lo que obliga a las...

¿Qué es SASE? Descubre la Solución Integral para la Seguridad

by | Ago 19, 2024 | Tendencias de TI | 0 Comments

¿Qué es SASE y qué problemas aborda? La Cuarta Revolución Industrial sigue transformando industrias de manera radical, reconfigurando la forma en que las empresas...

La plataforma SASE

Transición a SASE: Evolución de la Seguridad Más Allá de Soluciones Heredadas

by | Ago 19, 2024 | Seguridad | 0 Comments

  La Inevitable Transición a SASE: Más Allá de la Seguridad Heredada La creciente complejidad de las amenazas cibernéticas exige una evolución en los enfoques de...

Cirion celebra un nuevo aniversario con inversiones, expansiones y alianzas estratégicas

by | Ago 1, 2024 | Tendencias de TI | 0 Comments

  Hoy estamos celebrando un hito muy importante en nuestra historia: un nuevo aniversario como Cirion, empresa proveedora líder de infraestructura digital y...

Guía para entender qué es el WiFi 7 y cómo puede ayudar a mejorar la seguridad informática

by | Jul 23, 2024 | Conectividad | 0 Comments

  La tecnología WiFi 7, de séptima generación, podría superar ampliamente a sus versiones anteriores en términos capacidad, velocidades de conexión y latencia....

Innovación tecnológica en Data Centers: ¿dónde estamos y hacia dónde vamos?

by | Jul 18, 2024 | Data Center & Hybrid Cloud | 0 Comments

  La evolución tecnológica en los data centers ha sido una de las fuerzas motrices detrás de la transformación digital que ha marcado la última década. Desde el...

Internet ASN Tier 1

¿Qué son los ASN? Conoce su importancia para la calidad de Internet

by | Jul 2, 2024 | Conectividad | 0 Comments

  La experiencia de los usuarios finales que se conectan a Internet ASN Tier 1 dependerá del Sistema Autónomo al que esté conectado su proveedor del servicio. Según el...

CDN

El Rol Crucial de las CDN en la Transmisión de Eventos Deportivos

by | Jun 27, 2024 | Conectividad | 0 Comments

Las CDN garantizan una transmisión de alta calidad y sin interrupciones para eventos deportivos de gran escala como la Copa América 2024 y los Juegos Olímpicos de París...