El equipo de investigación de Kaspersky ha descubierto una serie de ataques muy selectivos que se vienen realizando contra empresas industriales desde el año 2018. Este tipo de ataques contra las compañías del sector industrial es mucho menos frecuente en el contexto de las APT que los realizados contra las entidades diplomáticas y otros perfiles políticos. El conjunto de herramientas utilizado (denominado MT3 por los propios autores del malware) ha sido bautizado por Kaspersky como «MontysThree».
MontysThree emplea diversas técnicas para evitar su detección, entre ellas el alojamiento de sus comunicaciones con el servidor de control en servicios públicos en la nube y el ocultamiento del módulo malicioso principal por medio de la esteganografía.
Las instituciones gubernamentales, los funcionarios públicos y los operadores de telecomunicaciones son, por lo general, el objetivo preferido de las APT, ya que estos individuos e instituciones disponen por naturaleza de una gran cantidad de información de carácter confidencial y muy sensible desde un punto de vista político. No obstante, resulta mucho más extraño que las campañas de espionaje se dirijan contra empresas industriales, aunque, al igual que sucede con cualquier otro tipo de ataque contra una empresa, pueden tener graves consecuencias. Por ello, cuando los investigadores de Kaspersky detectaron a MontysThree, empezaron a seguir su actividad.
MontysThree despliega un malware compuesto por cuatro módulos. El primero de ellos, el cargador, se propaga al principio utilizando archivos RAR SFX (archivos autoextraíbles) que incluyen nombres relacionados con los contactos de los empleados, documentación técnica y resultados médicos con el objetivo de engañar a los empleados y conseguir que descarguen los archivos maliciosos, un método común de spear phishing. El cargador es el responsable de asegurarse de que el malware no sea detectado en el sistema. Para ello, emplea una técnica conocida como esteganografía.
Los ciberdelincuentes utilizan la esteganografía para ocultar el intercambio de datos. En el caso de MontysThree, la descarga maliciosa principal está disfrazada como un archivo bitmap (un formato destinado al almacenamiento de imágenes digitales). Si se introduce el comando adecuado, el cargador empleará un algoritmo hecho a medida para descifrar el contenido de la matriz de píxeles y ejecutar la carga útil maliciosa.
La carga maliciosa principal aplica varias técnicas propias de cifrado para evitar su detección, como el uso de un algoritmo RSA para cifrar las comunicaciones con el servidor de control y descifrar las principales “tareas” asignadas al malware.
Entre ellas se incluye la búsqueda de documentos con extensiones específicas y en directorios concretos de la empresa. MontysThree está diseñado para dirigirse específicamente a documentos Microsoft y Adobe Acrobat; asimismo, también puede realizar capturas de pantalla y tomar las “huellas dactilares” del objetivo —recopilando información sobre su configuración de red, nombre del host, etc. — para comprobar si es de interés para los atacantes.
La información recopilada, así como otras comunicaciones realizadas con el servidor de control, se alojan en servicios públicos en la nube como Google, Microsoft y Dropbox. Este hecho dificulta la detección del tráfico de las comunicaciones como malicioso, y como ningún antivirus bloquea estos servicios, garantiza que el servidor de control pueda ejecutar los comandos de forma ininterrumpida.
Además, MontysThree utiliza un sencillo método para ganar en persistencia dentro del sistema infectado. Se trata de un modificador en la barra de inicio rápido de Windows (Windows Quick Launch). De esta forma, los usuarios ejecutan involuntariamente el módulo inicial del malware cada vez que ejecutan aplicaciones legítimas, como por ejemplo el explorador, al utilizar dicha barra de herramientas de inicio rápido de Windows.
Por el momento, Kaspersky no ha podido encontrar ninguna similitud entre el código malicioso o la infraestructura de MontysThree con ninguna otra APT conocida.
«MontysThree es muy interesante no sólo porque se dirige al mundo industrial, sino también por la combinación de sofisticación y sencillez de sus TTP (técnicas, tácticas y procedimientos). En general, la complejidad varía de un módulo a otro, sin embargo, no puede compararse con el nivel utilizado por los grupos APT más avanzados. No obstante, utilizan fuertes patrones de cifrado y, de hecho, cuenta con decisiones con un alto grado de conocimiento técnico, incluida la esteganografía personalizada. Es evidente que los atacantes han realizado un gran esfuerzo en el desarrollo del conjunto de herramientas MontysThree, lo que hace pensar que están firmemente decididos a conseguir sus objetivos, y que esta no es una campaña pasajera», señala Denis Legezo, investigador de seguridad senior en Kaspersky.