Los análisis de Black Lotus Labs’® han descubierto un clúster de sitios web comprometidos utilizado previamente en una serie de ataques de watering hole. Cualquier visitante que navegara a uno de los sitios sin saberlo estaría infectado y sería vulnerable a que el actor de la amenaza se apropiara de una copia de sus credenciales de autenticación de Windows, que podría usarse para hacerse pasar por ellos. Inicialmente identificamos esta actividad en una cantidad de sitios web ucranianos, mientras que análisis posteriores revelaron que los actores también habían comprometido un sitio web canadiense.
Detalles técnicos
Los ataques de watering hole impactan en los usuarios finales que visitan un sitio web en particular, inyectándoles una función maliciosa en el código del sitio web, que luego es ejecutado por las máquinas de las víctimas. En el caso de estos sitios web, un JavaScript malicioso preparaba a los dispositivos de las víctimas para que enviaran sus hashes de New Technology LAN Manager (NTLM) a un servidor controlado por el actor usando Server Message Block (SMB), un protocolo de comunicaciones que permite el acceso compartido a recursos tales como impresoras y archivos. En la mayoría de los entornos de Windows, el protocolo NTLM se usa como un mecanismo de autenticación para los diversos usuarios de un sistema. Una vez que el actor de la amenaza obtiene estos hashes, en algunos casos pueden descifrarlos fuera de línea, revelando de esa manera los nombres de usuarios y sus contraseñas algo que puede ser aprovechado para operaciones subsiguientes tales como acceder a las cuentas de correo electrónico o a otros recursos corporativos.
Estos tipos de ataques de watering hole se han utilizado durante años, pero nuestro interés en este vector se renovó luego de detectar un compromiso de esta naturaleza en el sitio web del Aeropuerto internacional de San Francisco (SFO) en abril de 2020. Cuando las víctimas navegaban por el sitio web, sus máquinas trataban de recuperar un archivo “icon.png” alojado en un servidor remoto. Las máquinas de las víctimas utilizaban la ruta de la convención universal de nombres (UNC) para iniciar una conexión saliente usando SMB para el link: file:// [IP address] /icon.png. Los atacantes podían luego configurar un gestor de evento para recibir los hashes NTLM de las víctimas, que luego podían descifrar offline.
Cuando observamos este vector de ataque inicialmente en el sitio web del aeropuerto de San Francisco, advertimos funciones de JavaScript maliciosas, similares en varios sitios web de Ucrania y Canadá que aparentemente exhibían la misma táctica operativa. Por consiguiente estamos agrupando esta actividad en el mismo actor. A continuación podrá encontrar una copia del código JavaScript.
Copia del código malicioso de JavaScript encontrado en los sitios web comprometidos
Este código fue descubierto en tres sitios web exclusivos, y todos ellos alojados en la misma dirección IP con base en Ucrania. 185.68.16[.]193. Esto podría indicar que los actores maliciosos obtuvieron acceso al servidor web y por ende acceso a todos los sitios web alojados en el mismo. Cada uno de estos sitios está asociado con entidades de fabricación ucranianas, una de las cuales anuncia que fabrica equipos para la fuerzas de cumplimiento del orden y la protección energética. Los sitios web y las fechas de la actividad maliciosa observada son:
• azo.od[.]ua, 15 de octubre de 2020
• vistec[.]ua, 23 de septiembre de 2020
• telecard.com[.]ua, 31 de marzo de 2020.
Si una máquina vulnerable visitara estos sitios web intentaría recuperar un archivo remoto ubicado en el archivo ://213.133.122[.]42/icon.png.
El segundo grupo de sitios con ataques de watering hole incluyó a un club de fútbol y a un banco de inversión ucranianos Los sitios web y las fechas de la actividades maliciosas observadas fueron:
• fcdynamo.kiev[.]ua, 15 de mayo de 2020
• dragon-capital[.]com, 17 de diciembre de 2019
Si una máquina vulnerable visitara cualquiera de estos sitios web intentaría recuperar un archivo remoto ubicado en el archivo file://5.9.59[.]54/icon.png.
El tercer grupo de sitios atacados por watering hole estuvo asociado con organizaciones de medios de comunicación ucranianos. Los sitios web y las fechas de la actividades maliciosas observadas fueron:
• zoomua[.]tv, 18 de mayo de 2019
• unn.com[.]ua, 21 de mayo de 2020
• ntn[.]ua, 3 de marzo de 2019
Si una máquina vulnerable visitara cualquiera de estos sitios web intentaría recuperar un archivo remoto ubicado en el archivo file://139.59.179[.]55/icon.png.
Página de resultados de búsqueda de Google en caché que muestra la función JavaScript maliciosa
El cuarto grupo de sitios con ataques de watering hole estaba asociado con compañías petroleras, una con sede en Ucrania y la otra con sede en Canadá.
• oilandgas.dtek[.]com, 13 de mayo de 2019
• dtek[.]com, 13 de mayo de 2019
• investecogas[.]com, 14 de febrero de 2019
Si una máquina vulnerable visitara cualquiera de estos sitios web intentaría recuperar un archivo remoto ubicado en el archivo ://91.208.138[.]8/icon.png.
Listado de sitios web comprometidos y sus correspondientes oyentes SMB
Recomendaciones de mitigación
Black Lotus Labs continúa monitoreando a este actor y este tipo de actividades de abrevadero (o watering hole). Para protegerse de este tipo de ataques, las organizaciones deberían configurar sus firewalls para evitar que las comunicaciones salientes basadas en SMB salgan de la red. Si las organizaciones no estuvieran usando este protocolo internamente, tal vez deseen considerar como alternativa desactivar o limitar SMB en el entorno corporativo. Si ninguna de las opciones fuera viable para una organización, pueden limitar el uso de JavaScript en sitios web desconocidos o no confiables. Los usuarios que estén preocupados por los ataques de abrevadero también tienen la opción de desactivar JavaScript a través de un plugin como por ejemplo NoScript.
Notificamos a los propietarios de los sitios web comprometidos para que interrumpan este ataque en curso. Si desea colaborar en una investigación similar a esta, contáctenos en Twitter @BlackLotusLabs
Se recomienda a las organizaciones que buscan evitar los ataques de abrevadero que actualicen el software y los navegadores con la mayor frecuencia posible, supervisen e inspeccionen periódicamente los sitios web visitados con frecuencia para asegurarse de que estén libres de malware y que bloqueen el acceso de los usuarios a sitios comprometidos conocidos.
Indicadores de compromiso
Sitios web comprometidos y sus direcciones IP
azo[.]od[.]ua
185.68.16[.]193.
vistec[.]ua
185.68.16[.]193.
vistec[.]ua
185.68.16[.]193.
fcdynamo[.]kiev[.]ua
104.26.14[.]194.
dragon-capital[.]com
91.90.196[.]26.
zoomua[.]tv
62.149.26[.]233.
unn[.]com[.]ua
104.27.139[.]240.
ntn[.]ua
62.149.26[.]232.
dtek[.]com
45.60.75[.]78.
investecogas[.]com
77.72.135[.]227.
Nodos SMB
213.133.122[.]42/icon.png
51.159.28[.]101/icon.png
139.59.179[.]55/icon.png
91.208.138[.]8/icon.png
La presente información se provee “como está” sin garantía o condición de ninguna naturaleza, ya sea expresa o implícita. El uso de esta información es responsabilidad del usuario final.
