Бэкдор использовался при атаках на финансовые и военные организации в Восточной Европе
CactusPete (другие названия: Karma Panda или Tonto Team) — это APT-группа, известная (как минимум) с 2013 года. Некоторые кампании этой группировки ранее уже освещались различными источниками. Мы, в свою очередь, в течение многих лет проводили расследования и предоставляли в частном порядке отчеты о деятельности CactusPete.
Исторически целями группировки являлись военные, дипломатические и инфраструктурные объекты в Азии и Восточной Европе. В новой кампании CactusPete, которую «Лаборатория Касперского» обнаружила в конце февраля 2020 года, они не изменились: по данным нашей телеметрии жертвами нового варианта бэкдора Bisonal стали организации финансового и военного секторов Восточной Европы.
Наше исследование началось с одного образца, однако с помощью Kaspersky Threat Attribution Engine (KTAE) мы смогли обнаружить более 300 практически идентичных семплов. Все они появились в период с марта 2019 года по апрель 2020 года. Это показывает темпы разработки CactusPete — более 20 образцов в месяц. В связи с местоположением цели группа использовала жестко прописанную кириллическую кодовую страницу в коде образца во время манипуляций со строками. Это особенно важно, например, при использовании remote shell для корректной обработки вывода кириллицы в ходе выполнения команд.
Метод распространения вредоносного ПО в рамках новой кампании пока неизвестен, но опыт прошлых лет указывает на то, что используется уже известный вариант: доставка вредоносного ПО посредством целевого фишинга. Вредоносные вложения в письмах не содержат эксплойтов нулевого дня, но используют недавно обнаруженные и исправленные уязвимости и всевозможные хитроумные приемы, помогающие доставить полезную нагрузку на компьютер пользователя.
Как только вредоносная программа запускается, она пытается связаться с командным сервером, используя для этого немодифицированный HTTP протокол. Тело запроса (и ответа) зашифровано с помощью RC4, а ключ шифрования также жестко прописан в коде образца. Поскольку в результате шифрования RC4 могут формироваться двоичные данные, вредоносная программа дополнительно кодирует их с помощью BASE64, чтобы соответствовать спецификации HTTP.
1 |
http://C2_DOMAIN_IP/chapter1/user.html/BASE64_RC4_ENCRYPTED_BODY |
Рукопожатие состоит из нескольких этапов: первоначальный запрос, передача информации о сети жертвы и запрос на более подробную информацию о жертве. Ниже приведен полный список данных, который пересылается на C&C во время установки связи:
- имя хоста, IP- и MAC-адрес;
- версия Windows;
- время, установленное на зараженном хосте;
- результат проверки на запуск вредоносной программы в среде VMware;
- результат проверки на использование прокси;
- идентификатор системной кодовой страницы по умолчанию.
После установки связи бэкдор ждет команды, периодически пингуя командный сервер (в ответе может содержаться команда и ее параметры).
По функциональности обновленный Bisonal аналогичен прошлым версиям бэкдоров, построенных на той же кодовой базе:
- запуск удаленной оболочки;
- незаметный запуск программы на хосте жертвы;
- получение списка процессов от хоста жертвы;
- завершение любого процесса;
- выгрузка/загрузка/удаление файлов на хост/с хоста жертвы;
- получение списка доступных дисков на хосте жертвы;
- получение списка файлов в конкретной папке на хосте жертвы.
Вот как это выглядит в коде.
Скриншот функции обработки команд C&C
Этот набор удаленных команд помогает злоумышленникам изучить рабочую среду жертвы для «бокового перемещения» и более глубокого доступа к целевой инфраструктуре. Группировка продолжает использовать различные кастомные варианты Mimikatz и кейлоггеров для сбора данных, а также вредоносное ПО для повышения привилегий.
Что же они ищут?
Поскольку основная масса функций вредоносного ПО CactusPete касается сбора информации, злоумышленники, скорее всего, взламывают организации с целью получения доступа к данным. Напомним, что группировка выбирает в качестве мишеней военные, дипломатические и инфраструктурные организации, поэтому добытая информация действительно может быть весьма конфиденциальной.
Для предотвращения подобных угроз мы предлагаем следующие контрмеры:
- мониторинг сети, включая обнаружение нетипичного поведения;
- использование актуальных версий программного обеспечения для предотвращения эксплуатации уязвимостей;
- использование последних версий антивирусных программ;
- обучение сотрудников распознаванию атак через электронную почту (социальная инженерия).
Активность CactusPete
CactusPete — это китайскоговорящая APT-группировка, специализирующаяся на кибершпионаже, в арсенале которой не самые выдающиеся технические возможности. Однако люди, стоящие за ней, вывели свою деятельность на новый уровень. По-видимому, группировка получила поддержку и доступ к более сложному коду, такому как ShadowPad, который участники CactusPete использовали в 2020 году. Деятельность группировки отмечается как минимум с 2013 года, хотя корейские открытые источники указывают еще более раннюю дату — 2009 год. Исторически сложилось, что CactusPete выбирает в качестве мишени организации из ограниченного числа стран — Южной Кореи, Японии, США и Тайваня. Прошлогодние кампании CactusPete показывают, что интересы группировки смещаются в сторону других азиатских и восточноевропейских организаций.
Ниже представлен обзор деятельности CactusPete за последние годы, основанный на результатах исследования «Лаборатории Касперского»:
- Май 2018 года: новая волна целевых атак с использованием CVE-2018-8174 (этот эксплойт связывают с APT-группировкой DarkHotel) на дипломатические, оборонные, производственные, военные и правительственные цели в Азии и Восточной Европе.
- Декабрь 2018 года и начало 2019 года: дооснащение бэкдора Bisonal средствами шпионажа в рамках кампании, нацеленной на организации в Восточной Европе и Азии, работающие в горнодобывающей, оборонной, государственной и технологической отраслях.
- Сентябрь и октябрь 2019 года: кампания с использованием бэкдора DoubleT, целью которой являлись военные организации и неустановленные лица.
- Март 2019 года — апрель 2020 года: использование модифицированного бэкдора Bisonal в кампании, направленной на организации финансового и военного сектора в странах Восточной Европы.
- Декабрь 2019 года — апрель 2020 года: кампания с использованием модифицированного бэкдора DoubleT, направленная на телекоммуникационные и правительственные организации, а также другие объекты в Азии и Восточной Европе.
- Конец 2019 года и 2020 год: CactusPete начинает использовать зловред ShadowPad. Среди пострадавших правительственные организации, энергетические, горнодобывающие и оборонные предприятия, а также телекоммуникационные компании, расположенные в Азии и Восточной Европе.
Известные названия этой APT-группировки:
CactusPete, Karma Panda, Tonto Team
Известные названия используемых группировкой инструментов:
Bisonal, Curious Korlia, DoubleT, DOUBLEPIPE, CALMTHORNE
Под занавес…
Мы относим группировку CatusPete к числу продвинутых (Advanced Persistent Threat, APT), однако нельзя сказать, что проанализированный нами Bisonal является чем-то особенным. Тем не менее, группировка проводит успешные атаки и без применения продвинутых технологий. Злоумышленники используют код без сложной обфускации, а в качестве способа его доставки — целевые фишинговые рассылки. Конечно, группировка постоянно модифицирует полезную нагрузку, изучает предполагаемую жертву, чтобы составить убедительное фишинговое письмо, отправляет его на существующий адрес электронной почты и использует новые уязвимости и другие методы для незаметной доставки полезной нагрузки после открытия вложения. Однако инфицирование происходит не вследствие применения передовых технологий, а из-за человеческого фактора и чтобы противостоять подобным атакам необходимо организовывать сотрудникам тренинги по информационной безопасности.
Индикаторы компрометации (IoC)
Путь PDB:
E:\vs2010\new big!\MyServe\Debug\MyServe.pdb
MD5
A3F6818CE791A836F54708F5FB9935F3
3E431E5CF4DA9CAE83C467BC1AE818A0
11B8016045A861BE0518C9C398A79573
Материалы по теме:
- 29 января 2020 года
https://nao-sec.org/2020/01/an-overhead-view-of-the-royal-road.html - 5 марта 2020 года
https://blog.talosintelligence.com/2020/03/bisonal-10-years-of-play.html - 2019
https://www.fireeye.com/content/dam/fireeye-www/summit/cds-2019/presentations/cds19-executive-s08-achievement-unlocked.pdf - 31 июля 2018 года
https://unit42.paloaltonetworks.com/unit42-bisonal-malware-used-attacks-russia-south-korea/ - 2017 [на корейском языке] https://image.ahnlab.com/file_upload/asecissue_files/ASEC_REPORT_vol.88.pdf
- 2014
https://securitykitten.github.io/2014/11/25/curious-korlia.html - 2013
https://web.archive.org/web/20130920120931/https://www.rsaconference.com/writable/presentations/file_upload/cle-t04_final_v1.pdf
APT-группировка CactusPete выпустила новую версию бэкдора Bisonal
Вероника
Спасибо вам за информацию