Alerta del FBI y CISA sobre APT Ruso e Irani dirigido a redes del Gobierno Americano para obtener datos de las elecciones 2020

5 min readNov 2, 2020

En esta publicación haremos un resumen rápido de las Alertas AA20–296A y AA20–304A ambas del FBI y CISA. La alerta AA20–296A del 22 de Octubre 2020 sobre un APT Ruso que tiene como objetivo obtener credenciales de usuario, realizar movimiento lateral ubicar activos de alto valor y exfiltrar datos de redes gubernamentales de EUA.

Por medidas de precaución se recomienda bloquear los siguientes IoCs y resolver las siguientes vulnerabilidades, Este APT utiliza los siguientes IoCs:
213.74.101[.]65
213.74.139[.]196
212.252.30[.]170
5.196.167[.]184
37.139.7[.]16
149.56.20[.]55
91.227.68[.]97
138.201.186[.]43
5.45.119[.]124
193.37.212[.]43
146.0.77[.]60
51.159.28[.]101
columbusairports.microsoftonline[.]host
microsoftonline[.]host
email.microsoftonline[.]services
microsoftonline[.]services
cityname[.]westus2.cloudapp.azure.com

Revisar y parchar las siguientes vulnerabilidades:
-> CVE-2019–19781 -> Citrix, Citrix Application Delivery Controller, Citrix Gateway, Citrix SDWAN WANOP
https://nvd.nist.gov/vuln/detail/CVE-2019-19781

-> CVE-2020–0688 -> Microsoft Exchange Server
https://nvd.nist.gov/vuln/detail/CVE-2020-0688

-> CVE-2019–10149 -> Exim versions 4.87–4.91
https://nvd.nist.gov/vuln/detail/CVE-2019-10149

-> CVE-2018–13379 -> FortiOS 6.0, 5.6 y 5.4
https://nvd.nist.gov/vuln/detail/CVE-2018-13379

-> CVE-2020–1472 -> Windows Server 2008 R2 ,2012, R2, 2016, 2019
https://nvd.nist.gov/vuln/detail/CVE-2020-1472

Alerta AA20–304A del FBI y CISA del 30 de Octubre 2020 sobre APT Irani tiene como objetivo sitios web de los estados de EUA. CISA y el FBI esta evaluando este actor como responsable de la difusión masiva de mensajes de correo electrónico intimidación a los votantes a los ciudadanos de Estados Unidos y la difusión de la desinformación relacionada con las elecciones de Estados Unidos 2020.

Este actor escaneó sitios web estatales entre el 20 y el 28 de septiembre de 2020, con el escáner de vulnerabilidades Acunetix (6), luego intenta explotar sitios web para obtener copias de los datos de registro de votantes entre el 29 de septiembre y el 17 de octubre de 2020 Aprovechar aplicaciones Públicas, intenta explotación de vulnerabilidades, directory traversal, SQL injection, web shell uploads.

Scanning Activo con Acunetix:

El análisis de CISA identificó el escaneo de múltiples entidades por la plataforma de escaneo de vulnerabilidades web de Acunetix entre el 20 y el 28 de septiembre de 2020.

El actor usó el escáner para intentar la inyección de SQL en varios campos /registration/registration/detailscon los códigos de estado 404 o 500:

/registration/registration/details?addresscity=-1 or 3*2<(0+5+513-513) -- &addressstreet1=xxxxx&btnbeginregistration=begin voter registration&btnnextelectionworkerinfo=next&btnnextpersonalinfo=next&btnnextresdetails=next&btnnextvoterinformation=next&btnsubmit=submit&chkageverno=on&chkageveryes=on&chkcitizenno=on&chkcitizenyes=on&chkdisabledvoter=on&chkelectionworker=on&chkresprivate=1&chkstatecancel=on&dlnumber=1&dob=xxxx/x/x&email=sample@email.tst&firstname=xxxxx&gender=radio&hdnaddresscity=&hdngender=&last4ssn=xxxxx&lastname=xxxxxinjjeuee&mailaddresscountry=sample@xxx.xxx&mailaddressline1=sample@email.tst&mailaddressline2=sample@xxx.xxx&mailaddressline3=sample@xxx.xxx&mailaddressstate=aa&mailaddresszip=sample@xxxx.xxx&mailaddresszipex=sample@xxx.xxx&middlename=xxxxx&overseas=1&partycode=a&phoneno1=xxx-xxx-xxxx&phoneno2=xxx-xxx-xxxx&radio=consent&statecancelcity=xxxxxxx&statecancelcountry=usa&statecancelstate=XXaa&statecancelzip=xxxxx&statecancelzipext=xxxxx&suffixname=esq&txtmailaddresscity=sample@xxx.xxx

Peticiones: El actor utilizó las siguientes solicitudes asociadas con esta actividad de escaneo:

2020-09-26 13:12:56 x.x.x.x GET /x/x v[$acunetix]=1 443 - x.x.x.x Mozilla/5.0+(Windows+NT+6.1;+WOW64)+AppleWebKit/537.21+(KHTML,+like+Gecko)+Chrome/41.0.2228.0+Safari/537.21 - 200 0 0 0

2020-09-26 13:13:19 X.X.x.x GET /x/x voterid[$acunetix]=1 443 - x.x.x.x Mozilla/5.0+(Windows+NT+6.1;+WOW64)+AppleWebKit/537.21+(KHTML,+like+Gecko)+Chrome/41.0.2228.0+Safari/537.21 - 200 0 0 1375

2020-09-26 13:13:18 .X.x.x GET /x/x voterid=;print(md5(acunetix_wvs_security_test)); 443 - X.X.x.x

El actor utiliza las siguiente solicitudes:

2020-10-17 13:07:51 x.x.x.x GET /x/x voterid=XXXX1 443 - x.x.x.x curl/7.55.1 - 200 0 0 1406

2020-10-17 13:07:55 x.x.x.x GET /x/x voterid=XXXX2 443 - x.x.x.x curl/7.55.1 - 200 0 0 1390

2020-10-17 13:07:58 x.x.x.x GET /x/x voterid=XXXX3 443 - x.x.x.x curl/7.55.1 - 200 0 0 1625

2020-10-17 13:08:00 x.x.x.x GET /x/x voterid=XXXX4 443 - x.x.x.x curl/7.55.1 - 200 0 0 1390

Agentes de usuario: CISA y el FBI han observado los siguientes agentes de usuario.

- FDM+3.x → FDM es un User Agente para hacer Crawler (4)

- curl/7.55.1 → curls: command line tool and library
for transferring data with URLs (5)

- Mozilla/5.0+(Windows+NT+6.1;+WOW64)+AppleWebKit/537.21+(KHTML,+like+Gecko)+Chrome/41.0.2228.0+Safari/537.21 - 500 0 0 0 - Mozilla/5.0+(X11;+U;+Linux+x86_64;+en-US;+rv:1.9b4)+Gecko/2008031318+Firefox/3.0b4

Hallazgos técnicos sobre Acunetix web vulnerability scanning WVS, SQL Inyections:

Detección de Acunetix:

Organizaciones pueden identificar los scannings usando Acunetix en los siguientes dispositivos de seguridad:

Firewall perimetrales.
Eventos/logs de los servicios Web.
Firewall de aplicación web WAFs.
IPS/IDS.
SIEM.
Log Server(s), etc:

Usando las siguientes palabras clave en los sistemas de logs:

#$acunetix
acuntix_wvs_security_test

Indicadores de Compromiso (IoCs):

Disclaimer: Muchas de las direcciones IP que se incluyen a continuación probablemente correspondan a servicios VPN disponibles públicamente, que pueden ser utilizados por personas de todo el mundo. Aunque esto crea la posibilidad de falsos positivos, cualquier actividad enumerada debe justificar una mayor investigación. Es probable que el actor utilice varias direcciones IP y servicios VPN.

102.129.239[.]185 (Acunetix Scanning)
143.244.38[.]60 (Acunetix Scanning and cURL requests)
45.139.49[.]228 (Acunetix Scanning)
156.146.54[.]90 (Acunetix Scanning)
109.202.111[.]236 (cURL requests)
185.77.248[.]17 (cURL requests)
217.138.211[.]249 (cURL requests)
217.146.82[.]207 (cURL requests)
37.235.103[.]85 (cURL requests)
37.235.98[.]64 (cURL requests)
70.32.5[.]96 (cURL requests)
70.32.6[.]20 (cURL requests)
70.32.6[.]8 (cURL requests)
70.32.6[.]97 (cURL requests)
70.32.6[.]98 (cURL requests)
77.243.191[.]21 (cURL requests and FDM+3.x (Free Download Manager v3) enumeration/iteration)
92.223.89[.]73 (cURL requests)

CISA y el FBI saben que este actor radicado en Irán ha utilizado los siguientes IOCs. Estas direcciones IP facilitaron la difusión masiva de mensajes de correo electrónico de intimidación de votantes el 20 de octubre de 2020.