Alerta del FBI y CISA sobre APT Ruso e Irani dirigido a redes del Gobierno Americano para obtener datos de las elecciones 2020

En esta publicación haremos un resumen rápido de las Alertas AA20–296A y AA20–304A ambas del FBI y CISA. La alerta AA20–296A del 22 de Octubre 2020 sobre un APT Ruso que tiene como objetivo obtener credenciales de usuario, realizar movimiento lateral ubicar activos de alto valor y exfiltrar datos de redes gubernamentales de EUA.

Image for post
Image for post

Por medidas de precaución se recomienda bloquear los siguientes IoCs y resolver las siguientes vulnerabilidades, Este APT utiliza los siguientes IoCs:
213.74.101[.]65
213.74.139[.]196
212.252.30[.]170
5.196.167[.]184
37.139.7[.]16
149.56.20[.]55
91.227.68[.]97
138.201.186[.]43
5.45.119[.]124
193.37.212[.]43
146.0.77[.]60
51.159.28[.]101
columbusairports.microsoftonline[.]host
microsoftonline[.]host
email.microsoftonline[.]services
microsoftonline[.]services
cityname[.]westus2.cloudapp.azure.com

Revisar y parchar las siguientes vulnerabilidades:
-> CVE-2019–19781 -> Citrix, Citrix Application Delivery Controller, Citrix Gateway, Citrix SDWAN WANOP
https://nvd.nist.gov/vuln/detail/CVE-2019-19781

-> CVE-2020–0688 -> Microsoft Exchange Server
https://nvd.nist.gov/vuln/detail/CVE-2020-0688

-> CVE-2019–10149 -> Exim versions 4.87–4.91
https://nvd.nist.gov/vuln/detail/CVE-2019-10149

-> CVE-2018–13379 -> FortiOS 6.0, 5.6 y 5.4
https://nvd.nist.gov/vuln/detail/CVE-2018-13379

-> CVE-2020–1472 -> Windows Server 2008 R2 ,2012, R2, 2016, 2019
https://nvd.nist.gov/vuln/detail/CVE-2020-1472

Alerta AA20–304A del FBI y CISA del 30 de Octubre 2020 sobre APT Irani tiene como objetivo sitios web de los estados de EUA. CISA y el FBI esta evaluando este actor como responsable de la difusión masiva de mensajes de correo electrónico intimidación a los votantes a los ciudadanos de Estados Unidos y la difusión de la desinformación relacionada con las elecciones de Estados Unidos 2020.

Image for post
Image for post

Este actor escaneó sitios web estatales entre el 20 y el 28 de septiembre de 2020, con el escáner de vulnerabilidades Acunetix (6), luego intenta explotar sitios web para obtener copias de los datos de registro de votantes entre el 29 de septiembre y el 17 de octubre de 2020 Aprovechar aplicaciones Públicas, intenta explotación de vulnerabilidades, directory traversal, SQL injection, web shell uploads.

Scanning Activo con Acunetix:

El análisis de CISA identificó el escaneo de múltiples entidades por la plataforma de escaneo de vulnerabilidades web de Acunetix entre el 20 y el 28 de septiembre de 2020.

El actor usó el escáner para intentar la inyección de SQL en varios campos /registration/registration/detailscon los códigos de estado 404 o 500:

/registration/registration/details?addresscity=-1 or 3*2<(0+5+513-513) -- &addressstreet1=xxxxx&btnbeginregistration=begin voter registration&btnnextelectionworkerinfo=next&btnnextpersonalinfo=next&btnnextresdetails=next&btnnextvoterinformation=next&btnsubmit=submit&chkageverno=on&chkageveryes=on&chkcitizenno=on&chkcitizenyes=on&chkdisabledvoter=on&chkelectionworker=on&chkresprivate=1&chkstatecancel=on&dlnumber=1&dob=xxxx/x/x&email=sample@email.tst&firstname=xxxxx&gender=radio&hdnaddresscity=&hdngender=&last4ssn=xxxxx&lastname=xxxxxinjjeuee&mailaddresscountry=sample@xxx.xxx&mailaddressline1=sample@email.tst&mailaddressline2=sample@xxx.xxx&mailaddressline3=sample@xxx.xxx&mailaddressstate=aa&mailaddresszip=sample@xxxx.xxx&mailaddresszipex=sample@xxx.xxx&middlename=xxxxx&overseas=1&partycode=a&phoneno1=xxx-xxx-xxxx&phoneno2=xxx-xxx-xxxx&radio=consent&statecancelcity=xxxxxxx&statecancelcountry=usa&statecancelstate=XXaa&statecancelzip=xxxxx&statecancelzipext=xxxxx&suffixname=esq&txtmailaddresscity=sample@xxx.xxx

Peticiones: El actor utilizó las siguientes solicitudes asociadas con esta actividad de escaneo:

2020-09-26 13:12:56 x.x.x.x GET /x/x v[$acunetix]=1 443 - x.x.x.x Mozilla/5.0+(Windows+NT+6.1;+WOW64)+AppleWebKit/537.21+(KHTML,+like+Gecko)+Chrome/41.0.2228.0+Safari/537.21 - 200 0 0 0

2020-09-26 13:13:19 X.X.x.x GET /x/x voterid[$acunetix]=1 443 - x.x.x.x Mozilla/5.0+(Windows+NT+6.1;+WOW64)+AppleWebKit/537.21+(KHTML,+like+Gecko)+Chrome/41.0.2228.0+Safari/537.21 - 200 0 0 1375

2020-09-26 13:13:18 .X.x.x GET /x/x voterid=;print(md5(acunetix_wvs_security_test)); 443 - X.X.x.x

El actor utiliza las siguiente solicitudes:

2020-10-17 13:07:51 x.x.x.x GET /x/x voterid=XXXX1 443 - x.x.x.x curl/7.55.1 - 200 0 0 1406

2020-10-17 13:07:55 x.x.x.x GET /x/x voterid=XXXX2 443 - x.x.x.x curl/7.55.1 - 200 0 0 1390

2020-10-17 13:07:58 x.x.x.x GET /x/x voterid=XXXX3 443 - x.x.x.x curl/7.55.1 - 200 0 0 1625

2020-10-17 13:08:00 x.x.x.x GET /x/x voterid=XXXX4 443 - x.x.x.x curl/7.55.1 - 200 0 0 1390

Agentes de usuario: CISA y el FBI han observado los siguientes agentes de usuario.

- FDM+3.x → FDM es un User Agente para hacer Crawler (4)

- curl/7.55.1 → curls: command line tool and library
for transferring data with URLs (5)

- Mozilla/5.0+(Windows+NT+6.1;+WOW64)+AppleWebKit/537.21+(KHTML,+like+Gecko)+Chrome/41.0.2228.0+Safari/537.21 - 500 0 0 0
- Mozilla/5.0+(X11;+U;+Linux+x86_64;+en-US;+rv:1.9b4)+Gecko/2008031318+Firefox/3.0b4

Hallazgos técnicos sobre Acunetix web vulnerability scanning WVS, SQL Inyections:

Image for post
Image for post

Detección de Acunetix:

Organizaciones pueden identificar los scannings usando Acunetix en los siguientes dispositivos de seguridad:

Usando las siguientes palabras clave en los sistemas de logs:

Indicadores de Compromiso (IoCs):

Disclaimer: Muchas de las direcciones IP que se incluyen a continuación probablemente correspondan a servicios VPN disponibles públicamente, que pueden ser utilizados por personas de todo el mundo. Aunque esto crea la posibilidad de falsos positivos, cualquier actividad enumerada debe justificar una mayor investigación. Es probable que el actor utilice varias direcciones IP y servicios VPN.

CISA y el FBI saben que este actor radicado en Irán ha utilizado los siguientes IOCs. Estas direcciones IP facilitaron la difusión masiva de mensajes de correo electrónico de intimidación de votantes el 20 de octubre de 2020.

Por ejemplo analizando la IP: 185.191.207 [.] 52 (Observado el 30 de septiembre de 2020), observo:

https://www.virustotal.com/gui/ip-address/185.191.207.52/detection

Image for post
Image for post

Relaciones:

Image for post
Image for post

7c9244de5636dcc6778989fbff410938ed0865bd9d62f051810dfca15a5fe0bd

igZmuwshu.exe:

Image for post
Image for post

Fuentes:

Fuente 1: CISA Cybersecurity & Infraestructure Security Agency, https://us-cert.cisa.gov/

Fuente 2: Alerta AA20–296A, https://us-cert.cisa.gov/ncas/alerts/aa20-296a

Fuente 3: Alerta AA20–304A, https://us-cert.cisa.gov/ncas/alerts/aa20-304a

Fuente 4: User Agents, https://user-agents.net/string/fdm-3-x

Fuente 5: Curls, https://curl.haxx.se/

Fuente 6: Acunetix, https://www.acunetix.com/

Written by

Blog de Ciberseguridad, Hacking, Recomendaciones de Protección y Buenas Practicas para las Empresas.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store