APT-группировка CactusPete выпустила новую версию бэкдора Bisonal

CactusPete (другие названия: Karma Panda или Tonto Team) — это APT-группа, известная (как минимум) с 2013 года. Некоторые кампании этой группировки ранее уже освещались различными источниками. Мы, в свою очередь, в течение многих лет проводили расследования и предоставляли в частном порядке отчеты о деятельности CactusPete.

Исторически целями группировки являлись военные, дипломатические и инфраструктурные объекты в Азии и Восточной Европе. В новой кампании CactusPete, которую «Лаборатория Касперского» обнаружила в конце февраля 2020 года, они не изменились: по данным нашей телеметрии жертвами нового варианта бэкдора Bisonal стали организации финансового и военного секторов Восточной Европы.

Наше исследование началось с одного образца, однако с помощью Kaspersky Threat Attribution Engine (KTAE) мы смогли обнаружить более 300 практически идентичных семплов. Все они появились в период с марта 2019 года по апрель 2020 года. Это показывает темпы разработки CactusPete — более 20 образцов в месяц. В связи с местоположением цели группа использовала жестко прописанную кириллическую кодовую страницу в коде образца во время манипуляций со строками. Это особенно важно, например, при использовании remote shell для корректной обработки вывода кириллицы в ходе выполнения команд.

Метод распространения вредоносного ПО в рамках новой кампании пока неизвестен, но опыт прошлых лет указывает на то, что используется уже известный вариант: доставка вредоносного ПО посредством целевого фишинга. Вредоносные вложения в письмах не содержат эксплойтов нулевого дня, но используют недавно обнаруженные и исправленные уязвимости и всевозможные хитроумные приемы, помогающие доставить полезную нагрузку на компьютер пользователя.

Как только вредоносная программа запускается, она пытается связаться с командным сервером, используя для этого немодифицированный HTTP протокол. Тело запроса (и ответа) зашифровано с помощью RC4, а ключ шифрования также жестко прописан в коде образца. Поскольку в результате шифрования RC4 могут формироваться двоичные данные, вредоносная программа дополнительно кодирует их с помощью BASE64, чтобы соответствовать спецификации HTTP.

Рукопожатие состоит из нескольких этапов: первоначальный запрос, передача информации о сети жертвы и запрос на более подробную информацию о жертве. Ниже приведен полный список данных, который пересылается на C&C во время установки связи:

• имя хоста, IP- и MAC-адрес;
• версия Windows;
• время, установленное на зараженном хосте;
• результат проверки на запуск вредоносной программы в среде VMware;
• результат проверки на использование прокси;
• идентификатор системной кодовой страницы по умолчанию.

После установки связи бэкдор ждет команды, периодически пингуя командный сервер (в ответе может содержаться команда и ее параметры).

По функциональности обновленный Bisonal аналогичен прошлым версиям бэкдоров, построенных на той же кодовой базе:

• запуск удаленной оболочки;
• незаметный запуск программы на хосте жертвы;
• получение списка процессов от хоста жертвы;
• завершение любого процесса;
• выгрузка/загрузка/удаление файлов на хост/с хоста жертвы;
• получение списка доступных дисков на хосте жертвы;
• получение списка файлов в конкретной папке на хосте жертвы.

Вот как это выглядит в коде.

Скриншот функции обработки команд C&C

Этот набор удаленных команд помогает злоумышленникам изучить рабочую среду жертвы для «бокового перемещения» и более глубокого доступа к целевой инфраструктуре. Группировка продолжает использовать различные кастомные варианты Mimikatz и кейлоггеров для сбора данных, а также вредоносное ПО для повышения привилегий.

Что же они ищут?

Поскольку основная масса функций вредоносного ПО CactusPete касается сбора информации, злоумышленники, скорее всего, взламывают организации с целью получения доступа к данным. Напомним, что группировка выбирает в качестве мишеней военные, дипломатические и инфраструктурные организации, поэтому добытая информация действительно может быть весьма конфиденциальной.

Для предотвращения подобных угроз мы предлагаем следующие контрмеры:

• мониторинг сети, включая обнаружение нетипичного поведения;
• использование актуальных версий программного обеспечения для предотвращения эксплуатации уязвимостей;
• использование последних версий антивирусных программ;
• обучение сотрудников распознаванию атак через электронную почту (социальная инженерия).

Активность CactusPete

CactusPete — это китайскоговорящая APT-группировка, специализирующаяся на кибершпионаже, в арсенале которой не самые выдающиеся технические возможности. Однако люди, стоящие за ней, вывели свою деятельность на новый уровень. По-видимому, группировка получила поддержку и доступ к более сложному коду, такому как ShadowPad, который участники CactusPete использовали в 2020 году. Деятельность группировки отмечается как минимум с 2013 года, хотя корейские открытые источники указывают еще более раннюю дату — 2009 год. Исторически сложилось, что CactusPete выбирает в качестве мишени организации из ограниченного числа стран — Южной Кореи, Японии, США и Тайваня. Прошлогодние кампании CactusPete показывают, что интересы группировки смещаются в сторону других азиатских и восточноевропейских организаций.

Ниже представлен обзор деятельности CactusPete за последние годы, основанный на результатах исследования «Лаборатории Касперского»:

• Май 2018 года: новая волна целевых атак с использованием CVE-2018-8174 (этот эксплойт связывают с APT-группировкой DarkHotel) на дипломатические, оборонные, производственные, военные и правительственные цели в Азии и Восточной Европе.
• Декабрь 2018 года и начало 2019 года: дооснащение бэкдора Bisonal средствами шпионажа в рамках кампании, нацеленной на организации в Восточной Европе и Азии, работающие в горнодобывающей, оборонной, государственной и технологической отраслях.
• Сентябрь и октябрь 2019 года: кампания с использованием бэкдора DoubleT, целью которой являлись военные организации и неустановленные лица.
• Март 2019 года — апрель 2020 года: использование модифицированного бэкдора Bisonal в кампании, направленной на организации финансового и военного сектора в странах Восточной Европы.
• Декабрь 2019 года — апрель 2020 года: кампания с использованием модифицированного бэкдора DoubleT, направленная на телекоммуникационные и правительственные организации, а также другие объекты в Азии и Восточной Европе.
• Конец 2019 года и 2020 год: CactusPete начинает использовать зловред ShadowPad. Среди пострадавших правительственные организации, энергетические, горнодобывающие и оборонные предприятия, а также телекоммуникационные компании, расположенные в Азии и Восточной Европе.

Известные названия этой APT-группировки:
CactusPete, Karma Panda, Tonto Team

Известные названия используемых группировкой инструментов:
Bisonal, Curious Korlia, DoubleT, DOUBLEPIPE, CALMTHORNE

Под занавес…

Мы относим группировку CatusPete к числу продвинутых (Advanced Persistent Threat, APT), однако нельзя сказать, что проанализированный нами Bisonal является чем-то особенным. Тем не менее, группировка проводит успешные атаки и без применения продвинутых технологий. Злоумышленники используют код без сложной обфускации, а в качестве способа его доставки —  целевые фишинговые рассылки. Конечно, группировка постоянно модифицирует полезную нагрузку, изучает предполагаемую жертву, чтобы составить убедительное фишинговое письмо, отправляет его на существующий адрес электронной почты и использует новые уязвимости и другие методы для незаметной доставки полезной нагрузки после открытия вложения. Однако инфицирование происходит не вследствие применения передовых технологий, а из-за человеческого фактора и чтобы противостоять подобным атакам необходимо организовывать сотрудникам тренинги по информационной безопасности.

Индикаторы компрометации (IoC)

Путь PDB:
E:\vs2010\new big!\MyServe\Debug\MyServe.pdb

MD5
A3F6818CE791A836F54708F5FB9935F3
3E431E5CF4DA9CAE83C467BC1AE818A0
11B8016045A861BE0518C9C398A79573

Материалы по теме:

• 29 января 2020 года
  https://nao-sec.org/2020/01/an-overhead-view-of-the-royal-road.html
• 5 марта 2020 года
  https://blog.talosintelligence.com/2020/03/bisonal-10-years-of-play.html
• 2019
  https://www.fireeye.com/content/dam/fireeye-www/summit/cds-2019/presentations/cds19-executive-s08-achievement-unlocked.pdf
• 31 июля 2018 года
  https://unit42.paloaltonetworks.com/unit42-bisonal-malware-used-attacks-russia-south-korea/
• 2017 [на корейском языке] https://image.ahnlab.com/file_upload/asecissue_files/ASEC_REPORT_vol.88.pdf
• 2014
  https://securitykitten.github.io/2014/11/25/curious-korlia.html
• 2013
  https://web.archive.org/web/20130920120931/https://www.rsaconference.com/writable/presentations/file_upload/cle-t04_final_v1.pdf