Una avanzada red de ciberespionaje dirigida a organizaciones de alto perfil y gobiernos ha sido recientemente descubierta. El método de ataque principal que se utiliza en esta campaña es lo que llamamos spear phishing (ataques dirigidos a través de correo electrónico).
Los correos de spear phishing enviados contienen un documento de Word o archivos adjuntos de hojas de cálculo de Excel que explotan tres vulnerabilidades conocidas con el fin de comprometer las computadoras. Las vulnerabilidades más usadas son:
- Microsoft Excel 'FEATHEADER' Record Remote Code Execution Vulnerability (CVE-2009-3129) – MS Excel, detectado como Bloodhound.Exploit.306
- Microsoft Office RTF File Stack Buffer Overflow Vulnerability (CVE-2010-3333) – MS Word, detectado como Bloodhound.Exploit.366
- Microsoft Windows Common Controls ActiveX Control Remote Code Execution Vulnerability (CVE-2012-0158) – MS Word, detectado como Bloodhound.Exploit.457
Otro método de ataque explota la Vulnerabilidad de Oracle Java SE Rhino Script Engine Remote Code Execution (CVE-2011-3544) y es detectada como:
Este exploit también es bloqueado por nuestras firmas de Prevención de Intrusiones:
- Web Attack: Oracle Java Rhino Script Engine CVE-2011-3544
- Web Attack: Oracle Java Rhino Script Engine CVE-2011-3544 3
Inicialmente, las muestras de este malware eran detectadas como Backdoor.Trojan. Desde entonces, las hemos dividido en las siguientes detecciones que son más específicas:
Figura 1. Distribución de Backdoor.Rocra
Figura 2. Objetivos por sectores de Backdoor.Rocra
A continuación mostramos un ejemplo del correo de spear phishing asociado con esta campaña y bloqueado por Symantec Mail Security para Microsoft Exchange:
Figura 3.Correo de spear phishing de Backdoor.Rocra con archivo adjunto
Figura 4. Contenido del archivo adjunto malicioso del spear phishing de Backdoor.Rocra
Cabe mencionar que esta no es la primera vez que una campaña de ataque de alto perfil ha utilizado correos electrónicos de spear phishing, como un método popular y es probable que no sea la última. Sin embargo, ahora estamos viendo una mayor adopción de riesgo de ataques de tipo watering hole los cuales se utilizan en las campañas de ataque (comprometiendo ciertos sitios web que pueden ser visitados por la organización a la que se busca atacar).
Aconsejamos a los usuarios asegurarse de que sus sistemas operativos y el software estén actualizados y no hacer clic en enlaces dudosos, además de evitar abrir archivos adjuntos de correos electrónicos que parezcan sospechosos.
Para obtener más información sobre los ataques de watering hole, puede visitar el blog que hemos preparado con preguntas y respuestas sobre este tipo de ataques o consultar el informe de Symantec sobre Elderwood Project publicado en 2012.
Más información sobre la campaña Octubre Rojo (Red October), aquí.