Expertos detallan la herramienta de registro del marco DanderSpritz, utilizada por los ciberdelincuentes del grupo Equation

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

Investigadores de ciberseguridad han ofrecido un vistazo detallado a un sistema llamado DoubleFeature que se dedica a registrar las diferentes etapas de post-explotación derivadas del despliegue de DanderSpritz, un marco de malware completo utilizado por el Grupo Equation.

DanderSpritz salió a la luz el 14 de abril de 2017, cuando un grupo de piratas informáticos, conocido como Shadow Brokers, filtró la herramienta de explotación, entre otras, bajo un envío titulado “Lost in Translation.” También se incluyó en las filtraciones EternalBlue, un exploit de ciberataque desarrollado por la Agencia de Seguridad Nacional de Estados Unidos (NSA) que permitió a los actores de la amenaza llevar a cabo el ataque del ransomware NotPetya en ordenadores Windows sin parches.

La herramienta es un marco modular, sigiloso y completamente funcional que se apoya en docenas de plugins para las actividades posteriores a la explotación en hosts Windows y Linux. Uno de ellos es DoubleFeature, que funciona como una “herramienta de diagnóstico para las máquinas víctimas portadoras de DanderSpritz”, según afirman los investigadores de Check Point en un nuevo informe publicado el lunes.

Diseñado para mantener un registro de los tipos de herramientas que podrían desplegarse en una máquina objetivo, DoubleFeature es un tablero basado en Python que también se dobla como una utilidad de informes para exfiltrar la información de registro de la máquina infectada a un servidor controlado por el atacante. La salida se interpreta mediante un ejecutable especializado llamado “DoubleFeatureReader.exe”.

Algunos de los plugins controlados por DoubleFeature incluyen herramientas de acceso remoto llamadas UnitedRake (también conocida como EquationDrug) y PeddleCheap, un backdoor de exfiltración de datos sigiloso apodado StraitBizarre, una plataforma de espionaje llamada KillSuit (también conocida como GrayFish), un conjunto de herramientas de persistencia llamado DiveBar, un controlador de acceso a la red encubierto llamado FlewAvenue, y un implante validador llamado MistyVeal que verifica si el sistema comprometido es realmente una máquina víctima auténtica y no un entorno de investigación.

Info – Ciberseguridad Latam