Un informe del CERT de los Estados Unidos y autoridades de seguridad cibernética de Australia, Canadá, Nueva Zelanda, y el Reino Unido, hace referencia a las cinco herramientas disponibles públicamente y que han sido utilizadas con fines maliciosos en incidentes cibernéticos recientes en todo el mundo.
Las cinco herramientas son:
- JBiFrost (troyano de acceso remoto)
- China Chopper (webshell)
- Mimikatz (colector de credenciales)
- PowerShell Empire (pos-explotación)
- HUC Packet Transmitter (ofuscador)
Se trata de herramientas cuyas capacidades pueden ser utilizadas por cualquier persona, incluyendo delincuentes cibernéticos. Se han utilizado para comprometer la información en sectores críticos, como salud, finanzas, gobierno y defensa.
Los sistemas víctima a menudo son comprometidos por la explotación de vulnerabilidades de seguridad comunes. Un atacante suele aprovechar las vulnerabilidades de software no parchadas o malas configuraciones de los sistemas para obtener acceso.
JBiFrost es un troyano de acceso remoto (RAT) que, una vez instalado en la máquina de la víctima, permite el control administrativo remoto. En un contexto malicioso, puede instalar puertas traseras y registradores de teclas, realizar capturas de pantalla y exfiltrar datos.
China Chopper es un webshell o script malicioso que se carga en un host de destino después de un compromiso inicial y otorga a un agente de amenazas una capacidad administrativa remota, con lo cual también se puede utilizar para pivotar a hosts adicionales dentro de una red.
Mimikatz es utilizado principalmente por los atacantes para recopilar las credenciales de otros usuarios, que han iniciado sesión en una máquina de Windows. Suele ser usado por los atacantes una vez que se ha obtenido acceso a un host y moverse a través de la red interna.
PowerShell Empire fue diseñado para permitir que un atacante (o probador de penetración) se mueva alrededor de una red después de obtener acceso inicial. También se puede usar para generar documentos maliciosos y ejecutables para el acceso de ingeniería social a las redes. PowerShell Empire actúa como un marco para la explotación continua una vez que un atacante ha obtenido acceso a un sistema, permitiendo escalar privilegios, cosechar credenciales, eliminar información y moverse lateralmente a través de la red.
HUC Packet Transmitter (HTran) es una herramienta de proxy utilizada para interceptar y redirigir las conexiones TCP (Transmission Control Protocol) del host local a un host remoto, ofuscando las comunicaciones del atacante con las redes de víctimas.
En el reporte se describe cada herramienta, la amenaza que representa, así como las medidas para ayudar a su detección y limitar su efectividad.