La semana pasada, el FBI y la NSA lanzaron una alerta de seguridad conjunta conteniendo detalles sobre el malware Drovorub, una nueva utilidad en manos de APT28. Este es un malware para Linux que se usa para desplegar puertas traseras en redes comprometidas. El malware es un sistema de múltiples componentes que consta de un rootkit de módulo de kernel, un implante, un servidor C&C, un módulo de reenvío de puertos y una herramienta de transferencia de archivos.
Drovorub permite al grupo APT28 realizar varias funciones, incluyendo el robo de archivos y el control remoto del sistema atacado. El malware es altamente sigiloso, sus autores lo armaron con tecnologías avanzadas de ‘rootkit’ para complicar su detección. El malware Drovorub se usa en campañas de varias etapas y requiere que el grupo APT obtenga privilegios de root antes de una instalación exitosa.
Se recomienda a los administradores de sistemas actualizar al Kernel de Linux 3.7 o posterior para evitar ser susceptibles a ataques. Ariel Millahuel lanzó una nueva regla comunitaria que descubre rastros del malware Drovorub en sistemas Linux: https://tdm.socprime.com/tdm/info/RndBRUBsT9xr/mkH0AHQBPeJ4_8xcaxwx/?p=1
La regla tiene traducciones para las siguientes plataformas:
SIEM: ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, Logpoint, Humio
EDR: Carbon Black, Elastic Endpoint
MITRE ATT&CK:
Tácticas: Ejecución, Evasión de Defensa
Técnicas: Interfaz de Línea de Comando (T1059), Rootkit (T1014)
¿Listo para probar SOC Prime TDM? Registrarse gratis. O únete al Programa Threat Bounty para crear tu propio contenido y compartirlo con la comunidad TDM.
