Trend Micro descubrió una serie continua de ataques dirigidos, conocidos como “LURID”, que han logrado poner en peligro 1.465 equipos de 61 países distintos. Se ha logrado identificar 47 víctimas, entre los que figuran misiones diplomáticas, ministerios gubernamentales, organizaciones gubernamentales relacionadas con la actividad espacial y otras empresas y centros de investigación.
Los países que más se han visto afectados por este ataque son Rusia, Kazajistán y Vietnam, además de otros países, especialmente de la CEI-CIS (Comunidad de Estados Independientes o antigua Unión Soviética).
Esta campaña en particular estaba integrada por más de 300 ataques dirigidos maliciosos que los atacantes controlaban mediante un identificador único incrustado en el malware asociado. El análisis realizado de la campaña revela que los atacantes elegían comunidades específicas de acuerdo a la ubicación geográfica y creaban campañas dirigidas a víctimas concretas. En resumen, los atacantes utilizaron una red de comando y control con 15 nombres de dominio asociados con los atacantes y 10 direcciones IP activas para mantener un control permanente sobre las 1.465 víctimas.
“Lurid Downloader”, frecuentemente denominado “Enfal”, es una familia de malware muy conocida, pero no es un kit de herramientas que puedan comprar públicamente todos aquellos que anhelan convertirse en ciberdelincuentes. Esta familia de malware se ha utilizado en el pasado para atacar tanto al gobierno de los EE.UU. como a organizaciones no gubernamentales (ONG). Sin embargo, no parece existir una relación directa entre esta red concreta y las anteriores.
Cada vez es más frecuente denominar los ataques de malware dirigidos de este tipo como Amenazas Persistentes Avanzadas. El blanco del objetivo recibe un mensaje de correo electrónico animándole a abrir un archivo adjunto. Los archivos que envían los atacantes contienen código malicioso que aprovecha las vulnerabilidades de programas informáticos conocidos como Adobe Reader (p. ej., archivos .PDF) y Microsoft Office (p. ej., archivos .DOC). Las rutinas de estas infracciones son el malware que se ejecuta silenciosamente en el equipo atacado. De este modo, los atacantes pueden hacerse con el control del mismo y conseguir sus datos. A continuación, van avanzando lateralmente por la red del objetivo y es frecuente que puedan llegar a tener el control de los equipos atacados durante periodos de tiempo prolongados. El objetivo último de los ataques consiste en identificar y sustraer información confidencial de la red de la víctima.
* Avanzada: se trata de una serie continua de campañas de ataque dirigidas que aprovechan las diferentes vulnerabilidades de Adobe Reader, entre ellas CVE-2009-4324 y CVE-2010-2883, y archivos de compresión RAR que contienen salvapantallas maliciosos.
* Persistente: durante la investigación hemos detectado que el malware se basa en dos mecanismos distintos de persistencia. Una de las versiones conseguía ser persistente instalándose como servicio de Windows, mientras que la otra se copiaba en la carpeta del sistema y garantizaba su persistencia modificando la carpeta de inicio común de Windows por otra especial creada por él mismo.
* Amenaza: el malware recopila información de los equipos expuestos al peligro y la envía al servidor C&C a través de HTTP POST.
