AV, antimalware y EDR son herramientas que se utilizan principalmente para detectar y prevenir ciberataques.
Las herramientas de derivación AV/EDR, por otro lado, están diseñadas para evitar la detección por parte de los sistemas AV y EDR. Los actores de amenazas suelen utilizar estas herramientas con varios fines maliciosos.
Los investigadores de ciberseguridad de la Unidad 42 de Palo Alto Networks descubrieron recientemente que los piratas informáticos están utilizando activamente herramientas de derivación AV y EDR en foros de ciberdelincuencia para eludir los puntos finales.
EDRSandBlast supera las defensas
La investigación del incidente de extorsión reveló dos puntos finales comprometidos que ejecutaban un agente Cortex XDR obsoleto.
Estos puntos finales se utilizaron para probar una herramienta de omisión AV/EDR llamada 'disabler.exe'. Esta es una versión modificada de “EDRSandBlast'' diseñada para desactivar los ganchos de seguridad tanto en las bibliotecas en modo usuario como en las devoluciones de llamadas en modo kernel.
Cree un SOC interno o subcontrate SOC como servicio -> Calcule el costo
Como resultado de nuestra investigación, encontramos que se encontró una máquina virtual (nombre de host: DESKTOP-J8AOTJS).
Los descubrimientos notables incluyen “ContiTraining.rar” (que contiene el manual del ransomware Conti filtrado), así como archivos que se conectan a foros de cibercrimen XSS y Exploit a través de usuarios conocidos como “Marti71” y se incluyó “KernelMode”.
Secuencia aproximada de eventos (Fuente – Palo Alto Networks)
Sin embargo, el análisis del sistema reveló evidencia de conectividad a dominios como 'temp.vxsh.net' (utilizado para tokens AV/EDR falsos) y pruebas de herramientas a través de 'Oracle VM VirtualBox'.
Seguridad operativa del actor de amenazas registrada con OBS Studio que muestra el formulario P-1 con base en Kazajstán, el historial del navegador que muestra el acceso a ya.ru y sourceforge.net, “WinBox” (herramienta de administración de enrutadores Mikrotik) comprometida a través de trabajos como demostraciones en video. Para usar con nombres de usuario que comienzan con “Andry”.
Formulario P-1 recuperado del sistema comprometido (Fuente: Palo Alto Networks)
El punto final contenía una estructura de directorio “Z:\freelance” que ayudaba a mapear conexiones entre varias organizaciones relacionadas con el crimen y sus herramientas.
Además de esto, la investigación de seguridad reveló ciberataques sofisticados con tácticas consistentes con la estrategia del ransomware Conti, especialmente a través de varios indicadores técnicos como:
Los atacantes utilizaron Atera para acceso inicial y persistencia. Se introdujo la baliza Cobalt Strike (ID de marca de agua: 1357776117) para C&C. Usé PsExec para movimiento lateral. Rclone se utilizó para el robo de datos.
El análisis de la configuración de Cobalt Strike revela cierta superposición de infraestructura con la actividad del ransomware Dark Scorpius (también conocido como Black Basta), con acceso a aproximadamente 160 direcciones IP y nombres de dominio únicos. La conexión ahora es clara.
El gran avance en la investigación se produjo con el descubrimiento de un sistema comprometido denominado “DESKTOP-J8AOTJS”. El sistema contenía artefactos obvios, como un vídeo de demostración de la herramienta de derivación AV/EDR y un formulario de gastos P-1.
Estas fallas operativas de seguridad llevaron a los investigadores a identificar a un individuo llamado “Andriy” de Kazajstán. Esta persona parece estar activa en foros de cibercrimen bajo el alias “Modo Kernel”.
Perfil de Linkedin del estafador (Fuente: Palo Alto Networks)
Se cree que este individuo está trabajando activamente en el desarrollo de “herramientas avanzadas de derivación AV/EDR” que se distribuirán a través de un “modelo basado en suscripción” en el mercado clandestino. Sin embargo, la evidencia directa que los vincula con intrusiones reales en la red aún no está clara.
La sofisticación técnica del ataque sugiere que fue interrumpido antes de llegar a su etapa final y que fue impulsado por tecnología moderna que combina “herramientas automatizadas” y “experiencia humana”. Esto resalta la naturaleza cambiante de las amenazas cibernéticas.
Realice análisis privados de malware en tiempo real en máquinas virtuales Windows y Linux. ¡Obtén una prueba gratuita de 14 días en ANY.RUN!
