Detección del Troyano FoxBlade: Microsoft Revela Nuevo Malware Destructivo que Apunta a la Infraestructura Ucraniana
Tabla de contenidos:
El 23 de febrero de 2022, antes de la invasión ofensiva de Rusia a Ucrania, una nueva oleada de amenazas digitales golpeó a Ucrania poco después de una avalancha de ciberataques que involucraban la eliminación de datos WhisperGate and HermeticWiper cepas de malware dirigidas a entidades ucranianas. El Centro de Inteligencia de Seguridad de Microsoft descubrió una serie de ataques que utilizaban un nuevo malware FoxBlade dirigido a múltiples industrias, incluidas las finanzas, la agricultura, los servicios de respuesta a emergencias, el sector energético y una amplia gama de empresas — con el objetivo de desestabilizar completamente la infraestructura civil e informática del país. Los esfuerzos cibernéticos estaban destinados a robar una amplia gama de datos sensibles y conjuntos de datos gubernamentales.
Detección y Mitigación del Malware FoxBlade
Para detectar la actividad sospechosa asociada con el malware FoxBlade, puede descargar un par de reglas Sigma creadas por nuestro desarrollador de Threat Bounty, Osman Demir. Ambas reglas están disponibles en la plataforma Detection as Code de SOC Prime. Los usuarios nuevos y actuales pueden acceder al contenido de detección registrándose en la plataforma o usando su cuenta existente:
FoxBlade Malware Targeting Ukraine (via process_creation)
Esta detección tiene traducciones para las siguientes plataformas SIEM, EDR y XDR: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, SentinelOne, Microsoft Defender for Endpoint, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, Securonix.
Nuevo malware FoxBlade utilizado para atacar a Ucrania (via registry_event)
Esta detección basada en Sigma tiene traducciones para las siguientes plataformas SIEM, EDR y XDR: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Microsoft Defender for Endpoint, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Apache Kafka ksqlDB, AWS OpenSearch.
Ambas reglas están alineadas con el último marco MITRE ATT&CK® v.10, abordando las técnicas de Impair Defenses (T1562) y Defense Evasion (TA0005), incluyendo la sub-técnica Disable or Modify Tools (T1562.001).
También puede usar software gratuito de Microsoft para defenderse proactivamente contra los ataques de FoxBlade y minimizar los riesgos en su infraestructura:
- Windows Defender o Microsoft Security Essentials para Windows 7 y Windows Vista
- Microsoft Safety Scanner
También se recomienda a los expertos en seguridad ejecutar un escaneo completo para detectar los patrones de comportamiento malicioso relacionados con el malware FoxBlade y otras amenazas ocultas también.
Los usuarios de SOC Prime pueden obtener acceso gratuito a todo el conjunto de detección para identificar amenazas cibernéticas vinculadas a Rusia. Solo regístrese o inicie sesión en su cuenta actual de SOC Prime, seleccione Quick Hunt y profundice en la búsqueda de amenazas relacionadas en su entorno:
La lista completa de contenido de caza de amenazas para ciberataques respaldados por Rusia
Análisis de FoxBlade
Los primeros detalles sobre los ataques del troyano FoxBlade fueron compartidos por el Centro de Inteligencia de Amenazas de Microsoft (MSTIC) el 23 de febrero de 2022.
Un malware apodado FoxBlade es un troyano liviano y un eliminador de datos que apuntó principalmente a los servicios digitales civiles en Ucrania. Su algoritmo de destrucción de datos está destinado a robar credenciales y datos personales. Los atacantes explotaron principalmente una vulnerabilidad conocida en Microsoft SQL Server (CVE-2021-1636) de modo que todas las máquinas con versiones sin parchear de este último podrían ser comprometidas.
Además, según Microsoft, FoxBlade expone el dispositivo de la víctima a ataques DDoS sin el conocimiento del propietario. Si bien los métodos de acceso inicial fueron diversos, los investigadores destacan que al menos una vez, el eliminador se entregó a través de la Default Domain Policy, lo que significa que probablemente tuvo acceso al servidor de Active Directory de la computadora infectada.
Algunos análisis adicionales son los siguientes:
- El malware utiliza un exploit de Tomcat que ejecuta un comando PowerShell.
- El cargador del eliminador es un archivo .exe firmado por un certificado emitido a Hermetica Digital Ltd.
- Este archivo contiene archivos de controlador de 32 bits y 64 bits comprimidos por el algoritmo Lempel-Ziv.
- Los archivos de controlador son luego firmados por un certificado emitido a un software legítimo EaseUS Partition Master. Los nombres de los archivos de controlador se generan usando el ID de proceso del eliminador.
- Por último, el eliminador reinicia el dispositivo de la víctima, dañando el Registro de Arranque Maestro (MBR) y dejándolo inoperable.
Únase a la plataforma Detection as Code de SOC Prime para mejorar sus capacidades de detección de amenazas con el poder de una comunidad global de expertos en ciberseguridad. También puede enriquecer la experiencia colaborativa contribuyendo a la iniciativa de crowdsourcing de SOC Prime. Escriba y envíe sus reglas Sigma, publíquelas en la plataforma y reciba recompensas recurrentes por su aporte.
