Desde que salió a la bolsa en 2015, la base de conocimientos de MITRE ATT&CKTM ha recibido una gran cantidad de contribuciones de la comunidad de ciberseguridad. ATT&CK recopila esta información para proporcionar un lenguaje común e inteligencia estructurada sobre los comportamientos de adversarios en múltiples grupos de amenazas. Las contribuciones más recientes de ESET comprenden cuatro entradas en el Software y una extensión en las categorías de Grupos de ATT&CK.
Software:
1. Attor (S0438)
Attor es una plataforma de ciberespionaje nunca antes reportada utilizada en ataques dirigidos desde al menos 2013 contra misiones diplomáticas e instituciones gubernamentales ubicadas principalmente en Rusia. La arquitectura de Attor consiste en un dispatcher y plugins cargables.
ESET descubrió y nombró al malware en función de dos características notables de sus plugins: la capacidad del plugin del monitor de dispositivos de usar comandos AT para marcar huellas digitales en dispositivos GSM y el uso de Tor del plugin del cliente Tor para comunicación de comando y control y exfiltración.
La funcionalidad de Attor es asignada a 32 técnicas Enterprise de ATT&CK y 18 sub-técnicas.
2.Okrum (S0439)
Okrum es un backdoor desconocido que ESET detectó por primera vez a finales de 2016 en ataques contra misiones diplomáticas en Eslovaquia, Bélgica, Chile, Guatemala y Brasil. Los actores maliciosos detrás de Okrum emplearon varias tácticas para pasar desapercibidos, como incrustar la carga maliciosa dentro de una imagen PNG legítima, emplear varios trucos anti-emulación y anti-sandbox, y realizar cambios frecuentes en la implementación.
ESET descubrió el backdoor Okrum tras vincular una muestra de Ketrican con el trabajo previamente documentado del grupo Ke3chang (APT15). La entrada de Okrum comprende 28 técnicas Enterprise de ATT&CK y 24 sub-técnicas.
3. ComRAT (S0126)
ComRAT, un backdoor predilecto utilizado por el grupo de amenazas Turla desde al menos 2007, fue descubierto por ESET en su última versión (versión cuatro) lanzada en 2017 y dirigida a dos ministerios de relaciones exteriores y un parlamento nacional. Los operadores utilizaban la vulnerabilidad para descubrir, robar y exfiltrar documentos confidenciales.
Los investigadores de ESET encontraron 16 técnicas Enterprise de ATT&CK y 11 sub-técnicas implementadas.
4. DEFENSOR ID (S0479)
DEFENSOR ID es un troyano bancario de Android que desata su furia cuando los usuarios otorgan permiso para activar servicios de accesibilidad. La aplicación está repleta de una serie de funciones maliciosas, que incluyen el robo de credenciales de inicio de sesión, mensajes SMS y de correo electrónico, claves privadas de criptomonedas que se hayan abierto, y códigos de doble factor de autenticación generados a través de un software; vaciando cuentas bancarias y carteras de criptomonedas; y tomando control de las cuentas de correo electrónico y redes sociales.
La funcionalidad de DEFENSOR ID se asigna a 6 técnicas Móviles de ATT&CK.
Grupos:
1. Turla (G0010)
Los investigadores de ESET identificaron varios vínculos entre ComRAT v4 y el grupo de amenazas Turla. La versión cuatro del backdoor usa el nombre interno "Chinch" como en versiones anteriores, utiliza el mismo comando personalizado y protocolo de control sobre HTTP que ComRAT v3, comparte parte de su infraestructura de red con Mosquito (otro backdoor usado por Turla) y fue vista tanto siendo difundida como difundiendo otras familias de malware Turla.
Al vincular ComRAT v4 con Turla, ESET proporcionó extensiones de 13 técnicas Enterprise de ATT&CK y 6 sub-técnicas del grupo Turla.
Evaluaciones de MITRE ATT&CK: Simulación del grupo APT Carbanak/FIN7
MITRE ATT&CK es también reconocida por sus evaluaciones. En su tercera ronda, las evaluaciones utilizan ataques simulados para probar las capacidades de prevención y detección de los productos de seguridad frente a las técnicas empleadas por adversarios de alto perfil. Los equipos de ESET y MITRE ATT&CK participarán en actividades de equipos rojo-azules, que pondrán a ESET a prueba contra las técnicas del grupo Carbanak/FIN7 APT.
FIN7 es famoso por crear una compañía fantasma llamada Combi Security que contrataba reclutas de sombrero negro en supuestos roles de ciberseguridad, como el de penetration tester. Hasta la fecha, el Departamento de Justicia de Estados Unidos ha arrestado y acusado a cuatro miembros del grupo. ESET ha descubierto al malware Carbanak apuntando a terminales de punto de venta para obtener datos de tarjetas de crédito en un casino. Carbanak es conocido por apuntar a las industrias financiera y de retail, incluidos bancos, empresas de comercio de divisas, casinos, hoteles y restaurantes.
¿Cómo beneficia ATT&CK a ESET?
En agosto de 2020, la cantidad de contribuciones de ESET a MITRE ATT&CK ha seguido creciendo, siendo ESET uno de los proveedores de seguridad informática más comprometidos y referenciados, directamente involucrado en el refinamiento y la riqueza de la base de conocimiento de MITRE ATT&CK. El compromiso de ESET con ATT&CK continúa aportando información a la Investigación y el Desarrollo de productos, la práctica de investigación de malware y el continuo trabajo de concienciación en ciberseguridad. Estas contribuciones también aumentan las posibilidades de aportar conocimientos a esa comunidad.
Puede encontrar más detalles sobre el trabajo de ESET con MITRE ATT&CK aquí: