Depuis la fin de l’année dernière, nous avons commencé à traquer une nouvelle campagne malveillante visant à diffuser un cheval de Troie bancaire. Les attaquants se sont concentrés sur la compromission des entreprises russes, c'est-à-dire des utilisateurs professionnels. La campagne malveillante a duré au moins un an et, outre le cheval de Troie bancaire, les attaquants ont eu recours à divers autres outils logiciels. Ceux-ci incluent un chargeur spécial emballé à l'aide de , et des logiciels espions, déguisés en logiciel Yandex Punto légitime et bien connu. Une fois que les attaquants ont réussi à compromettre l’ordinateur de la victime, ils installent une porte dérobée puis un cheval de Troie bancaire.
Pour leurs logiciels malveillants, les attaquants ont utilisé plusieurs certificats numériques valides (à l'époque) et des méthodes spéciales pour contourner les produits audiovisuels. La campagne malveillante ciblait un grand nombre de banques russes et présente un intérêt particulier car les attaquants ont utilisé des méthodes souvent utilisées dans les attaques ciblées, c'est-à-dire des attaques qui ne sont pas uniquement motivées par la fraude financière. On peut noter certaines similitudes entre cette campagne malveillante et un incident majeur qui a fait l’objet d’une grande publicité auparavant. Nous parlons d'un groupe cybercriminel qui a utilisé un cheval de Troie bancaire /.
Les attaquants ont installé des logiciels malveillants uniquement sur les ordinateurs qui utilisaient par défaut la langue russe dans Windows (localisation). Le principal vecteur de distribution du cheval de Troie était un document Word comportant un exploit. , qui a été envoyé en pièce jointe au document. Les captures d'écran ci-dessous montrent l'apparence de ces faux documents. Le premier document est intitulé « Facture n° 522375-FLORL-14-115.doc », et le second « kontrakt87.doc », il s'agit d'une copie du contrat de fourniture de services de télécommunications par l'opérateur mobile Megafon.
Riz. 1. Document de phishing.
Riz. 2. Une autre modification du document de phishing.
Les faits suivants indiquent que les attaquants visaient des entreprises russes :
- distribution de logiciels malveillants à l'aide de faux documents sur le sujet spécifié ;
- les tactiques des attaquants et les outils malveillants qu'ils utilisent ;
- des liens vers des applications métiers dans certains modules exécutables ;
- noms de domaines malveillants utilisés dans cette campagne.
Les outils logiciels spéciaux que les attaquants installent sur un système compromis leur permettent de prendre le contrôle à distance du système et de surveiller l'activité des utilisateurs. Pour exécuter ces fonctions, ils installent une porte dérobée et tentent également d'obtenir le mot de passe du compte Windows ou de créer un nouveau compte. Les attaquants ont également recours aux services d'un keylogger (keylogger), d'un voleur de presse-papiers Windows et d'un logiciel spécial pour travailler avec des cartes à puce. Ce groupe a tenté de compromettre d’autres ordinateurs se trouvant sur le même réseau local que l’ordinateur de la victime.
Notre système de télémétrie ESET LiveGrid, qui nous permet de suivre rapidement les statistiques de distribution des malwares, nous a fourni des statistiques géographiques intéressantes sur la distribution des malwares utilisés par les attaquants dans la campagne mentionnée.
Riz. 3. Statistiques sur la répartition géographique des logiciels malveillants utilisés dans cette campagne malveillante.
Installation de logiciels malveillants
Lorsqu'un utilisateur ouvre un document malveillant avec un exploit sur un système vulnérable, un téléchargeur spécial fourni avec NSIS y sera téléchargé et exécuté. Au début de son travail, le programme vérifie dans l'environnement Windows la présence de débogueurs ou son exécution dans le contexte d'une machine virtuelle. Il vérifie également la localisation de Windows et si l'utilisateur a visité les URL répertoriées ci-dessous dans le tableau du navigateur. Des API sont utilisées pour cela FindFirst/SuivantUrlCacheEntry et la clé de registre SoftwareMicrosoftInternet ExplorerTypedURLs.
Le chargeur de démarrage vérifie la présence des applications suivantes sur le système.
La liste des processus est vraiment impressionnante et, comme vous pouvez le constater, elle ne comprend pas seulement les applications bancaires. Par exemple, un fichier exécutable nommé « scardsvr.exe » fait référence à un logiciel permettant de travailler avec des cartes à puce (lecteur Microsoft SmartCard). Le cheval de Troie bancaire lui-même inclut la possibilité de fonctionner avec des cartes à puce.
Riz. 4. Schéma général du processus d'installation du malware.
Si toutes les vérifications sont terminées avec succès, le chargeur télécharge un fichier spécial (archive) depuis le serveur distant, qui contient tous les modules exécutables malveillants utilisés par les attaquants. Il est intéressant de noter qu'en fonction de l'exécution des contrôles ci-dessus, les archives téléchargées depuis le serveur C&C distant peuvent différer. L'archive peut être malveillante ou non. S'il n'est pas malveillant, il installe la barre d'outils Windows Live pour l'utilisateur. Très probablement, les attaquants ont eu recours à des astuces similaires pour tromper les systèmes d'analyse automatique de fichiers et les machines virtuelles sur lesquelles des fichiers suspects sont exécutés.
Le fichier téléchargé par le téléchargeur NSIS est une archive 7z contenant divers modules malveillants. L'image ci-dessous montre l'ensemble du processus d'installation de ce malware et de ses différents modules.
Riz. 5. Schéma général du fonctionnement des logiciels malveillants.
Bien que les modules chargés répondent à des objectifs différents pour les attaquants, ils sont emballés de manière identique et nombre d'entre eux ont été signés avec des certificats numériques valides. Nous avons trouvé quatre de ces certificats que les attaquants ont utilisés dès le début de la campagne. Suite à notre plainte, ces certificats ont été révoqués. Il est intéressant de noter que tous les certificats ont été délivrés à des sociétés enregistrées à Moscou.
Riz. 6. Certificat numérique utilisé pour signer le malware.
Le tableau suivant identifie les certificats numériques utilisés par les attaquants dans cette campagne malveillante.
Presque tous les modules malveillants utilisés par les attaquants ont une procédure d'installation identique. Ce sont des archives 7zip auto-extractibles protégées par mot de passe.
Riz. 7. Fragment du fichier batch install.cmd.
Le fichier batch .cmd est responsable de l’installation de logiciels malveillants sur le système et du lancement de divers outils d’attaquants. Si l'exécution nécessite des droits d'administrateur manquants, le code malveillant utilise plusieurs méthodes pour les obtenir (en contournant l'UAC). Pour implémenter la première méthode, deux fichiers exécutables appelés l1.exe et cc1.exe sont utilisés, spécialisés dans le contournement de l'UAC à l'aide du Code source de Carberp. Une autre méthode repose sur l'exploitation de la vulnérabilité CVE-2013-3660. Chaque module malveillant nécessitant une élévation de privilèges contient à la fois une version 32 bits et une version 64 bits de l'exploit.
Lors du suivi de cette campagne, nous avons analysé plusieurs archives téléchargées par le téléchargeur. Le contenu des archives variait, ce qui signifiait que les attaquants pouvaient adapter des modules malveillants à différentes fins.
Compromis de l'utilisateur
Comme nous l’avons mentionné ci-dessus, les attaquants utilisent des outils spéciaux pour compromettre les ordinateurs des utilisateurs. Ces outils incluent des programmes portant les noms de fichiers exécutables mimi.exe et xtm.exe. Ils aident les attaquants à prendre le contrôle de l'ordinateur de la victime et se spécialisent dans l'exécution des tâches suivantes : obtention/récupération des mots de passe des comptes Windows, activation du service RDP, création d'un nouveau compte dans le système d'exploitation.
L'exécutable mimi.exe inclut une version modifiée d'un outil open source bien connu . Cet outil vous permet d'obtenir les mots de passe des comptes utilisateur Windows. Les attaquants ont supprimé la partie de Mimikatz responsable de l'interaction de l'utilisateur. Le code exécutable a également été modifié pour qu'au lancement, Mimikatz s'exécute avec les commandes privilège::debug et sekurlsa:logonPasswords.
Un autre fichier exécutable, xtm.exe, lance des scripts spéciaux qui activent le service RDP dans le système, tentent de créer un nouveau compte dans le système d'exploitation et modifient également les paramètres du système pour permettre à plusieurs utilisateurs de se connecter simultanément à l'ordinateur compromis via RDP. De toute évidence, ces étapes sont nécessaires pour prendre le contrôle total du système compromis.
Riz. 8. Commandes exécutées par xtm.exe sur le système.
Les attaquants utilisent un autre fichier exécutable appelé impack.exe, qui est utilisé pour installer un logiciel spécial sur le système. Ce logiciel s'appelle LiteManager et est utilisé par les attaquants comme porte dérobée.
Riz. 9. Interface LiteManager.
Une fois installé sur le système d'un utilisateur, LiteManager permet aux attaquants de se connecter directement à ce système et de le contrôler à distance. Ce logiciel dispose de paramètres de ligne de commande spéciaux pour son installation cachée, la création de règles de pare-feu spéciales et le lancement de son module. Tous les paramètres sont utilisés par les attaquants.
Le dernier module du package malveillant utilisé par les attaquants est un programme malveillant bancaire (banquier) portant le nom de fichier exécutable pn_pack.exe. Elle est spécialisée dans l'espionnage de l'utilisateur et est chargée d'interagir avec le serveur C&C. Le banquier est lancé à l'aide du logiciel légitime Yandex Punto. Punto est utilisé par des attaquants pour lancer des bibliothèques DLL malveillantes (méthode DLL Side-Loading). Le malware lui-même peut remplir les fonctions suivantes :
- suivre les frappes au clavier et le contenu du presse-papiers pour leur transmission ultérieure à un serveur distant ;
- répertorier toutes les cartes à puce présentes dans le système ;
- interagir avec un serveur C&C distant.
Le module malveillant, chargé d'effectuer toutes ces tâches, est une bibliothèque DLL cryptée. Il est déchiffré et chargé en mémoire lors de l'exécution de Punto. Pour effectuer les tâches ci-dessus, le code exécutable de la DLL démarre trois threads.
Le fait que les attaquants aient choisi le logiciel Punto à leurs fins n'est pas une surprise : certains forums russes fournissent ouvertement des informations détaillées sur des sujets tels que l'utilisation de failles dans des logiciels légitimes pour compromettre les utilisateurs.
La bibliothèque malveillante utilise l'algorithme RC4 pour chiffrer ses chaînes, ainsi que lors des interactions réseau avec le serveur C&C. Il contacte le serveur toutes les deux minutes et y transmet toutes les données collectées sur le système compromis pendant cette période.
Riz. 10. Fragment d'interaction réseau entre le bot et le serveur.
Vous trouverez ci-dessous quelques-unes des instructions du serveur C&C que la bibliothèque peut recevoir.
En réponse à la réception d'instructions du serveur C&C, le malware répond avec un code d'état. Il est intéressant de noter que tous les modules banquiers que nous avons analysés (le plus récent avec une date de compilation du 18 janvier) contiennent la chaîne « TEST_BOTNET », qui est envoyée dans chaque message au serveur C&C.
Conclusion
Pour compromettre les utilisateurs de l'entreprise, les attaquants compromettent dans un premier temps un employé de l'entreprise en envoyant un message de phishing avec un exploit. Ensuite, une fois le malware installé sur le système, ils utiliseront des outils logiciels qui les aideront à étendre considérablement leur autorité sur le système et à y effectuer des tâches supplémentaires : compromettre d'autres ordinateurs du réseau d'entreprise et espionner l'utilisateur, ainsi que les opérations bancaires qu'il effectue.
Source: habr.com