El malware sigiloso de los piratas informáticos rusos APT29 no se detectó durante años

EXCLUSIVO: Los piratas informáticos asociados con el Servicio de Inteligencia Extranjera de la Federación Rusa (SVR) continuaron sus incursiones en las redes de múltiples organizaciones después del compromiso de la cadena de suministro de SolarWinds utilizando dos amenazas sofisticadas descubiertas recientemente.
Los implantes maliciosos son una variante de la puerta trasera GoldMax para sistemas Linux y una familia de malware completamente nueva que la empresa de seguridad cibernética CrowdStrike ahora rastrea como TrailBlazer.
Ambas amenazas se han utilizado en campañas de partículas estelares desde al menos mediados de 2019, pero se identificaron solo dos años después, durante las investigaciones de respuesta a incidentes.
Los ataques de Stellar Particle se han atribuido al grupo de hackers APT29 que lleva más de 12 años realizando campañas de ciberespionaje y también se le conoce como CozyBear, The Dukes e Yttrium.
En un informe compartido exclusivamente con BleepingComputer, la empresa de seguridad cibernética CrowdStrike describe hoy en detalle las últimas tácticas, técnicas y procedimientos (TTP) observados en los ataques cibernéticos de los piratas informáticos patrocinados por el estado de Cozy Bear.
Si bien algunas de las técnicas son algo comunes hoy en día, Cozy Bear las ha estado usando mucho antes de que se hicieran populares:
- salto de credenciales
- secuestro de Office 365 (O365) Servicio principal y aplicación
- omitir la autenticación multifactor (MFA) mediante el robo de cookies del navegador
- robar credenciales usando Get-ADReplAccount
El salto de credenciales fue la primera etapa del ataque, lo que permitió al actor de amenazas iniciar sesión en Office 365 desde un servidor interno al que los piratas informáticos llegaron a través de un sistema público comprometido.

CrowdStrike dice que esta técnica es difícil de detectar en entornos con poca visibilidad del uso de la identidad, ya que los piratas informáticos podrían usar más de una cuenta de administrador de dominio.
La omisión de MFA para acceder a los recursos de la nube mediante el robo de cookies del navegador se ha utilizado desde antes de 2020. CrowdStrike dice que APT29 mantuvo un perfil bajo después de descifrar las cookies de autenticación, probablemente sin conexión, mediante el uso de la extensión Cookie Editor para Chrome para reproducirlas; eliminaron la extensión después.
"Esta extensión permitió eludir los requisitos de MFA, ya que las cookies, reproducidas a través de la extensión del Editor de cookies, permitieron que el actor de amenazas secuestrara la sesión ya aprobada por MFA de un usuario objetivo" - CrowdStrike
Esto les permitió moverse lateralmente en la red y llegar a la siguiente etapa del ataque, conectándose al arrendatario O365 de la víctima para la siguiente etapa del ataque.
El informe de CrowdStrike describe los pasos que tomó APT29 para lograr la persistencia en una posición que les permitía leer cualquier correo electrónico y archivos de SharePoint o OneDrive de la organización comprometida.
GoldMax para Linux y TrailBlazer
Durante su trabajo de respuesta a incidentes en los ataques APT29 StellarParticle, los investigadores de CrowdStrike utilizaron la base de datos de registro de acceso de usuario (UAL) para identificar el uso de cuentas maliciosas anteriores, lo que llevó a encontrar el malware GoldMax para Linux y TrailBlazer.
CrowdStrike dice que TrailBlazer es una familia de malware completamente nueva, mientras que GoldMax para la puerta trasera de Linux "es casi idéntica en funcionalidad e implementación a la variante de Windows de mayo de 2020 previamente identificada".
Los investigadores creen que las pequeñas diferencias entre las dos versiones de GoldMax se deben a las continuas mejoras del desarrollador para la evasión de detección a largo plazo.
GoldMax probablemente se usó para la persistencia (un crontab con una línea "@reboot" para un usuario no root) durante largos períodos en las campañas de StellarParticle. La puerta trasera pasó desapercibida haciéndose pasar por un archivo legítimo en un directorio oculto.
El implante TrailBlazer también se escondió bajo el nombre de un archivo legítimo y se configuró para que persistiera utilizando las suscripciones de eventos del Instrumental de administración de Windows (WMI), una técnica relativamente nueva en 2019, la primera fecha conocida para su implementación en los sistemas de las víctimas.
TrailBlazer logró mantener encubierta la comunicación con el servidor de comando y control (C2) enmascarándola como solicitudes HTTP legítimas de notificaciones de Google.
CrowdStrike señala que el implante tiene una funcionalidad modular y "una prevalencia muy baja" y que comparte similitudes con otras familias de malware utilizadas por el mismo actor de amenazas, como GoldMax y Sunburst (ambos utilizados en el ataque a la cadena de suministro de SolarWinds).
Tim Parisi, Director de Servicios Profesionales de CrowdStrike, le dijo a BleepingComputer que la actividad encubierta de las dos piezas de malware retrasó el descubrimiento de las dos piezas de malware, ya que los investigadores las encontraron a mediados de 2021.
Reconocimiento y cambio a Office 365
Después de obtener acceso a la infraestructura de una organización objetivo y establecer la persistencia, los piratas informáticos APT29 aprovecharon todas las oportunidades para recopilar inteligencia que les permitiera continuar con el ataque.
Una táctica constante fue extraer información de los repositorios internos de conocimiento de la víctima, los llamados wikis. Estos documentos pueden contener detalles confidenciales específicos de varios servicios y productos en la organización.
“Esta información incluía elementos como la arquitectura del producto/servicio y documentos de diseño, vulnerabilidades e instrucciones paso a paso para realizar diversas tareas. Además, el actor de amenazas vio páginas relacionadas con operaciones comerciales internas, como cronogramas de desarrollo y puntos de contacto. En algunos casos, estos puntos de contacto fueron seleccionados posteriormente para una mayor recopilación de datos ”- CrowdStrike
Parisi nos dijo que acceder a los wikis de la empresa era una actividad de reconocimiento APT29 común en los ataques de StellarParticle investigados.
La inmersión profunda de CrowdStrike en las campañas StellarParticle de APT29 ofrece detalles sobre cómo el actor de amenazas se conectó al arrendatario O365 de la víctima a través del módulo PowerShell de Windows Azure Active Directory y realizó consultas de enumeración para roles, miembros, usuarios, dominios, cuentas o las credenciales de una entidad de servicio.
Al analizar las entradas de registro, los investigadores notaron que el actor de amenazas también ejecutó el comando AddServicePrincipalCredentials.
"CrowdStrike analizó los ajustes de configuración en el arrendatario O365 de la víctima y descubrió que se había agregado un nuevo secreto a una aplicación empresarial de Microsoft Azure AD integrada, Microsoft StaffHub Service Principal, que tenía permisos de nivel de aplicación" - CrowdSrike
El adversario había agregado un nuevo secreto a la aplicación y fijó su validez por más de 10 años, señalan los investigadores.
El nivel de permiso obtenido de esta manera permitía a los piratas acceder a todo el correo y los archivos de SharePoint/OneDrive de la empresa y les permitía "nuevas cuentas y asignar privilegios de administrador a cualquier cuenta de la organización".
Manteniendo la persistencia
Una vez que Cozy Bear / APT29 estableció la persistencia en una organización objetivo, la mantendrían durante el mayor tiempo posible, a veces ayudado por la mala higiene de la seguridad de la organización comprometida.
El tiempo más largo que el actor de amenazas pasó dentro de una organización fue de dos años, dijo Parisi a BleepingComputer. Persistir tanto tiempo no sería posible sin el esfuerzo de los piratas informáticos, ya que las organizaciones suelen rotar las credenciales como medida de seguridad.
Para evitar perder el acceso, los piratas informáticos de Cozy Bear actualizaban periódicamente las credenciales robadas robando otras nuevas, a menudo a través de Mimikatz.
Sin embargo, en al menos un caso, los administradores de la empresa comprometida restablecieron sus contraseñas a las mismas, anulando así el propósito de la rotación de credenciales.
Los piratas informáticos de Cozy Bear son algunos de los actores de amenazas más sofisticados en el mundo del espionaje cibernético, con las mejores habilidades para infiltrarse y pasar desapercibidos en la infraestructura de una empresa durante largos períodos.
Durante los ataques de StellarParticle, demostraron un conocimiento experto en la administración de Azure, Office 365 y Active Directory.