El grupo APT Water Hydra ha estado explotando la vulnerabilidad Microsoft Defender SmartScreen (CVE-2024-21412) en sus campañas dirigidas a operadores de mercados financieros. Esta vulnerabilidad, que ya ha sido parcheada por Microsoft, fue descubierta y divulgada por Trend Micro Zero Day Initiative.
La Iniciativa Día Cero de Trend Micro descubrió la vulnerabilidad CVE-2024-21412, que rastreamos como ZDI-CAN-23100, y alertó a Microsoft de un desvío de Microsoft Defender SmartScreen utilizado como parte de una sofisticada cadena de ataques de día cero por el grupo de amenazas persistentes avanzadas (APT) que rastreamos como Water Hydra (también conocido como DarkCasino) dirigido a operadores del mercado financiero.
A finales de diciembre de 2023, comenzamos a rastrear una campaña del grupo Water Hydra que contenía herramientas, tácticas y procedimientos (TTP) similares que implicaban el uso indebido de accesos directos de Internet (.URL) y componentes de WebDAV (Web-based Distributed Authoring and Versioning). En esta cadena de ataques, el actor de la amenaza aprovechó el CVE-2024-21412 para eludir el SmartScreen de Microsoft Defender e infectar a las víctimas con el malware DarkMe. En cooperación con Microsoft, el programa de recompensas por errores ZDI trabajó para revelar este ataque de día cero y garantizar un rápido parche para esta vulnerabilidad. Trend también ofrece protección a los usuarios frente a las amenazas que aprovechan CVE-2024-21412 mediante las soluciones de seguridad que pueden encontrarse al final de esta entrada de blog.
Acerca del grupo APT Water Hydra
El grupo Water Hydra fue detectado por primera vez en 2021, cuando adquirió notoriedad por dirigirse al sector financiero, lanzando ataques contra bancos, plataformas de criptomonedas, plataformas de negociación de divisas y acciones, sitios de apuestas y casinos de todo el mundo.
Inicialmente, los ataques del grupo se atribuyeron al grupo Evilnum APT debido a la similitud de sus técnicas de phishing y otras TTP. En septiembre de 2022, los investigadores de NSFOCUS descubrieron la herramienta de acceso remoto (RAT) VisualBasic llamada DarkMe como parte de una campaña denominada DarkCasino, dirigida a operadores y plataformas de juego europeos.
En noviembre de 2023, tras varias campañas sucesivas, incluida una que utilizaba la conocida vulnerabilidad de ejecución de código WinRAR CVE-2023-38831 en la cadena de ataque para atacar a operadores de bolsa, se hizo evidente que Water Hydra era su propio grupo APT distinto de Evilnum.
Los patrones de ataque de Water Hydra muestran niveles significativos de habilidad técnica y sofisticación, incluida la capacidad de utilizar vulnerabilidades de día cero no reveladas en cadenas de ataque. Por ejemplo, el grupo Water Hydra explotó la mencionada CVE-2023-38831 como día cero para atacar a comerciantes de criptomonedas en abril de 2023, meses antes de su revelación. Desde su revelación, CVE-2023-38831 también ha sido explotada por otros grupos APT como APT28 (FROZENLAKE), APT29 (Cozy Bear), APT40, Dark Pink, Ghostwriter, Konni y Sandworm.
Cadena de ataque y TTP de Water Hydra
A lo largo de nuestra investigación, observamos que el grupo APT Water Hydra actualizaba y probaba nuevos despliegues de su cadena de ataque.
