Suplantación abierta

12 de febrero de 2025

Por el equipo de investigación de amenazas de Mimecast

Flujo de campaña

TO3028 de un vistazo

TO3028 es un actor de amenazas altamente organizado y sofisticado, que Mimecast ha reconocido por su capacidad para desarrollar y desplegar técnicas de entrega avanzadas que explotan las debilidades de los sistemas de seguridad modernos. Operando con precisión y persistencia, este grupo tiene un profundo conocimiento de los protocolos de correo electrónico, los mecanismos de autenticación y las complejidades de la infraestructura de seguridad basada en la nube.

Sus campañas están planificadas y aprovechan procedimientos de prueba sistemáticos y conocimientos especializados para eludir las defensas y lograr sus objetivos. Las operaciones del grupo han evolucionado a lo largo de años de actividad sostenida, mostrando un nivel de profesionalidad que refleja el de las empresas legítimas.

Lo que distingue a TO3028 es su ingenio y adaptabilidad. Posiblemente empleando equipos especializados para el desarrollo, prueba e implementación de infraestructura, demuestran una capacidad inigualable para explotar las debilidades de los sistemas de correo electrónico a nivel mundial. Sus campañas, a menudo centradas en la recolección de credenciales, emplean tácticas de distribución de gran volumen junto con numerosos señuelos de phishing, diseñados para engañar a los usuarios finales. Con un enfoque estratégico en evadir la detección y mantener un acceso persistente a los sistemas comprometidos, TO3028 sigue representando un desafío importante.

Explotación innovadora de los servicios de correo electrónico de los ISP

Las últimas campañas de TO3028 giran en torno al abuso estratégico de los servicios de correo electrónico de los ISP a través de routers de consumidores comprometidos. El proceso implica lo siguiente:

1. Afectación del router: Los atacantes se dirigen a los routers de los clientes del ISP, aprovechando vulnerabilidades conocidas o credenciales predeterminadas débiles. Establecer el control para configurar estos routers como servidores proxy.
2. Configuración del servidor proxy: El router comprometido se configura como un servidor proxy, enrutando a través de él todo el tráfico de Internet de los dispositivos conectados.
3. Distribución de spam a través de los servidores de correo electrónico del ISP: El router comprometido retransmite correos electrónicos no deseados a través de los servidores de correo electrónico del ISP, utilizando la dirección IP del router como origen.

La explotación de los servicios de correo electrónico de los ISP por parte de TO3028 ofrece varias ventajas para la distribución de spam:

Infraestructura de origen enmascarada: La conexión proxy oculta la infraestructura del atacante de los servicios de análisis de spam. Los ISP suelen gestionar de forma pasiva sus servicios de correo electrónico gratuitos, lo que permite a los atacantes mantener la capacidad de enviar spam sin cambiar frecuentemente la infraestructura.

Falsificación ilimitada del remitente: Muchos servicios antispam se basan en la reputación del remitente. Sin autenticación del remitente, los atacantes pueden variar la información del remitente para evadir estos controles sin necesidad de nuevas credenciales comprometidas.

Escaneo de spam saliente relajado: la mayoría de los servicios de correo de los ISP tienen controles de seguridad básicos y carecen de controles antispam sólidos, lo que hace que el atacante se centre en la capacidad de entrega entrante a sus objetivos.
Disponibilidad: la frecuente integración de nuevos servicios de correo de los ISP en el ecosistema del spam sugiere que el atacante dispone de métodos fácilmente disponibles para explotar estos servicios. Muchos ISP parecen utilizar Zimbra o Magicmail.

Altas tasas de envío: La falta de autenticación a menudo da lugar a tasas de envío de correo electrónico sin control, lo que permite realizar campañas a gran escala en períodos cortos.

Como parte de las campañas recientes, hemos observado que TO3028 utiliza la plantilla anterior y hemos estado probando y distribuyendo correos electrónicos de phishing a través de la infraestructura de un importante ISP canadiense, Distributel (una empresa de Bell). Han desarrollado técnicas para transmitir grandes volúmenes de tráfico de correo electrónico a través de los agentes de transferencia de correo (MTA) del ISP sin necesidad de credenciales de autenticación. Este abuso no se limita a los dominios propiedad de Distributel, sino que se extiende a la suplantación de marcas destacadas como la BBC y la CNN, así como a los dominios de los clientes. Estas campañas se centran principalmente en lanzar ataques de phishing de credenciales, con credenciales robadas que posteriormente se utilizan para la vigilancia de objetivos y la ejecución de operaciones fraudulentas.

Este uso deliberado del dominio de la BBC, junto con referencias a Docusign, está diseñado para generar credibilidad y eludir sospechas. La campaña de phishing siempre aprovecha marcas reconocidas para engañar al destinatario y hacer que haga clic en un enlace malicioso etiquetado como «REVISAR DOCUMENTO».

Aunque la URL incrustada apunta a Docusign, tiene múltiples redireccionamientos que finalmente llegan a un destino malicioso alojado en canadacentral-01.azurewebsites[.]net.

Las observaciones clave incluyen:

1. Dominios legítimos para redirección:
   • El uso de federation.nih.gov y www.applyweb.com como parte de la cadena de redirección fuertemente ofuscada da la ilusión de legitimidad.
2. Destino final malicioso:
   • La URL resuelve a hxxps://filedocx-ejd6bncpcjhtdtgd.canadacentral-01.azurewebsites[.]net, alojado en la infraestructura Azure de Microsoft.
   • Este destino está diseñado para presentar un portal DocuSign falso o una página de recolección de credenciales, donde las víctimas introducirían información de inicio de sesión confidencial.
3. Técnicas de ofuscación:
   • La cadena de redireccionamiento utiliza una serie de dominios legítimos para ocultar la verdadera intención maliciosa del enlace, que es una técnica comúnmente utilizada por la codificación de URL y las cadenas de consulta largas hacen que sea difícil para los filtros de correo electrónico y los usuarios ocasionales reconocer la amenaza.

Las operaciones de TO3028 exponen fallas sistémicas en los sistemas de correo electrónico gestionados por los ISP y ponen de relieve los riesgos de una autenticación débil y una supervisión insuficiente. Su capacidad para adaptar e integrar nuevas herramientas y plataformas garantiza su éxito continuo, lo que subraya la necesidad de políticas de autenticación sólidas, supervisión proactiva y mejores prácticas de seguridad en todo el ecosistema del correo electrónico. Esta campaña pone de relieve la creciente sofisticación de TO3028 y su incesante búsqueda de explotar las brechas en la seguridad del correo electrónico.

Actividad observada de la campaña

La actividad vinculada al abuso de infraestructuras de ISP destaca una acumulación gradual hasta mediados de 2024, seguida de un fuerte aumento en noviembre y un pico dramático en diciembre. Este patrón sugiere una estrategia deliberada de prueba y escalado:

• Mediados de 2024: Probable prueba de su metodología, con actividad de bajo volumen diseñada para ajustar las tácticas.
• Noviembre–diciembre de 2024: Explotación a gran escala, coincidiendo con la integración de nuevos servicios de ISP en su ecosistema de spam.

Esta actividad pone de manifiesto la capacidad de TO3028 para adaptar sus métodos y, al mismo tiempo, ampliar sistemáticamente sus operaciones para maximizar el impacto.

Tácticas, técnicas y procedimientos

T1204.001: Ejecución del usuario: enlace malicioso
T1566.002: Phishing: enlace de spear phishing
T1598.002: Phishing para obtener información
T1090: Proxy: compromiso de los routers de los consumidores para el reenvío de correo electrónico
T1586.001: Cuentas comprometidas: Cuentas de correo electrónico
T1608.003: Capacidades de la etapa: Instalar contenido web malicioso
T1070.004: Eliminación de indicadores en el host: Filtración automatizada de correo no deseado

Protección de Mimecast

Hemos identificado varios atributos en las campañas recientes que se han añadido a nuestras capacidades de detección. Seguimos supervisando las pruebas y actualizaciones realizadas por TO3028 para garantizar la protección de nuestros clientes.

Destinatarios:

Global, todos los sectores

Las diversas campañas de este actor de amenazas a menudo no muestran indicadores de compromiso (IOC) relacionados debido a la utilización de diversas técnicas y señuelos, lo que da lugar a distintos vectores de ataque.

IOC:

Direcciones de envío

• donotreply@teksavvy[.]ca
• payoff@hysharma[.]com
• donotreply@cogeco[.]ca
• webmaster@a1[.]net
• noreply@videotron[.]com
• donotreply@distributel[.]net
• webmaster@socket[.]net

Asuntos:

• Estados financieros para el trimestre: Resumen y perspectivas
• Saludos. Se adjunta el documento de la carta de liquidación**
• Informe de bonificaciones del tercer trimestre: comisiones finales: septiembre de 2024
• Inscríbase ahora: la inscripción para los beneficios de 2024 ya está abierta

Recomendaciones

• Busque en sus registros de recepción de correo electrónico para determinar si alguno de los IOC se ha entregado a sus usuarios.
• Informe a los usuarios finales sobre la tendencia continua de utilizar herramientas legítimas en campañas maliciosas.