APT-группировка CactusPete выпустила новую версию бэкдора Bisonal

Бэкдор использовался при атаках на финансовые и военные организации в Восточной Европе

CactusPete (другие названия: Karma Panda или Tonto Team) — это APT-группа, известная (как минимум) с 2013 года. Некоторые кампании этой группировки ранее уже освещались различными источниками. Мы, в свою очередь, в течение многих лет проводили расследования и предоставляли в частном порядке отчеты о деятельности CactusPete.

Исторически целями группировки являлись военные, дипломатические и инфраструктурные объекты в Азии и Восточной Европе. В новой кампании CactusPete, которую «Лаборатория Касперского» обнаружила в конце февраля 2020 года, они не изменились: по данным нашей телеметрии жертвами нового варианта бэкдора Bisonal стали организации финансового и военного секторов Восточной Европы.

Наше исследование началось с одного образца, однако с помощью Kaspersky Threat Attribution Engine (KTAE) мы смогли обнаружить более 300 практически идентичных семплов. Все они появились в период с марта 2019 года по апрель 2020 года. Это показывает темпы разработки CactusPete — более 20 образцов в месяц. В связи с местоположением цели группа использовала жестко прописанную кириллическую кодовую страницу в коде образца во время манипуляций со строками. Это особенно важно, например, при использовании remote shell для корректной обработки вывода кириллицы в ходе выполнения команд.

Метод распространения вредоносного ПО в рамках новой кампании пока неизвестен, но опыт прошлых лет указывает на то, что используется уже известный вариант: доставка вредоносного ПО посредством целевого фишинга. Вредоносные вложения в письмах не содержат эксплойтов нулевого дня, но используют недавно обнаруженные и исправленные уязвимости и всевозможные хитроумные приемы, помогающие доставить полезную нагрузку на компьютер пользователя.

Как только вредоносная программа запускается, она пытается связаться с командным сервером, используя для этого немодифицированный HTTP протокол. Тело запроса (и ответа) зашифровано с помощью RC4, а ключ шифрования также жестко прописан в коде образца. Поскольку в результате шифрования RC4 могут формироваться двоичные данные, вредоносная программа дополнительно кодирует их с помощью BASE64, чтобы соответствовать спецификации HTTP.

Рукопожатие состоит из нескольких этапов: первоначальный запрос, передача информации о сети жертвы и запрос на более подробную информацию о жертве. Ниже приведен полный список данных, который пересылается на C&C во время установки связи:

  • имя хоста, IP- и MAC-адрес;
  • версия Windows;
  • время, установленное на зараженном хосте;
  • результат проверки на запуск вредоносной программы в среде VMware;
  • результат проверки на использование прокси;
  • идентификатор системной кодовой страницы по умолчанию.

После установки связи бэкдор ждет команды, периодически пингуя командный сервер (в ответе может содержаться команда и ее параметры).

По функциональности обновленный Bisonal аналогичен прошлым версиям бэкдоров, построенных на той же кодовой базе:

  • запуск удаленной оболочки;
  • незаметный запуск программы на хосте жертвы;
  • получение списка процессов от хоста жертвы;
  • завершение любого процесса;
  • выгрузка/загрузка/удаление файлов на хост/с хоста жертвы;
  • получение списка доступных дисков на хосте жертвы;
  • получение списка файлов в конкретной папке на хосте жертвы.

Вот как это выглядит в коде.

Скриншот функции обработки команд C&C

Этот набор удаленных команд помогает злоумышленникам изучить рабочую среду жертвы для «бокового перемещения» и более глубокого доступа к целевой инфраструктуре. Группировка продолжает использовать различные кастомные варианты Mimikatz и кейлоггеров для сбора данных, а также вредоносное ПО для повышения привилегий.

Что же они ищут?

Поскольку основная масса функций вредоносного ПО CactusPete касается сбора информации, злоумышленники, скорее всего, взламывают организации с целью получения доступа к данным. Напомним, что группировка выбирает в качестве мишеней военные, дипломатические и инфраструктурные организации, поэтому добытая информация действительно может быть весьма конфиденциальной.

Для предотвращения подобных угроз мы предлагаем следующие контрмеры:

  • мониторинг сети, включая обнаружение нетипичного поведения;
  • использование актуальных версий программного обеспечения для предотвращения эксплуатации уязвимостей;
  • использование последних версий антивирусных программ;
  • обучение сотрудников распознаванию атак через электронную почту (социальная инженерия).

Активность CactusPete

CactusPete — это китайскоговорящая APT-группировка, специализирующаяся на кибершпионаже, в арсенале которой не самые выдающиеся технические возможности. Однако люди, стоящие за ней, вывели свою деятельность на новый уровень. По-видимому, группировка получила поддержку и доступ к более сложному коду, такому как ShadowPad, который участники CactusPete использовали в 2020 году. Деятельность группировки отмечается как минимум с 2013 года, хотя корейские открытые источники указывают еще более раннюю дату — 2009 год. Исторически сложилось, что CactusPete выбирает в качестве мишени организации из ограниченного числа стран — Южной Кореи, Японии, США и Тайваня. Прошлогодние кампании CactusPete показывают, что интересы группировки смещаются в сторону других азиатских и восточноевропейских организаций.

Ниже представлен обзор деятельности CactusPete за последние годы, основанный на результатах исследования «Лаборатории Касперского»:

  • Май 2018 года: новая волна целевых атак с использованием CVE-2018-8174 (этот эксплойт связывают с APT-группировкой DarkHotel) на дипломатические, оборонные, производственные, военные и правительственные цели в Азии и Восточной Европе.
  • Декабрь 2018 года и начало 2019 года: дооснащение бэкдора Bisonal средствами шпионажа в рамках кампании, нацеленной на организации в Восточной Европе и Азии, работающие в горнодобывающей, оборонной, государственной и технологической отраслях.
  • Сентябрь и октябрь 2019 года: кампания с использованием бэкдора DoubleT, целью которой являлись военные организации и неустановленные лица.
  • Март 2019 года — апрель 2020 года: использование модифицированного бэкдора Bisonal в кампании, направленной на организации финансового и военного сектора в странах Восточной Европы.
  • Декабрь 2019 года — апрель 2020 года: кампания с использованием модифицированного бэкдора DoubleT, направленная на телекоммуникационные и правительственные организации, а также другие объекты в Азии и Восточной Европе.
  • Конец 2019 года и 2020 год: CactusPete начинает использовать зловред ShadowPad. Среди пострадавших правительственные организации, энергетические, горнодобывающие и оборонные предприятия, а также телекоммуникационные компании, расположенные в Азии и Восточной Европе.

Известные названия этой APT-группировки:
CactusPete, Karma Panda, Tonto Team

Известные названия используемых группировкой инструментов:
Bisonal, Curious Korlia, DoubleT, DOUBLEPIPE, CALMTHORNE

Под занавес…

Мы относим группировку CatusPete к числу продвинутых (Advanced Persistent Threat, APT), однако нельзя сказать, что проанализированный нами Bisonal является чем-то особенным. Тем не менее, группировка проводит успешные атаки и без применения продвинутых технологий. Злоумышленники используют код без сложной обфускации, а в качестве способа его доставки —  целевые фишинговые рассылки. Конечно, группировка постоянно модифицирует полезную нагрузку, изучает предполагаемую жертву, чтобы составить убедительное фишинговое письмо, отправляет его на существующий адрес электронной почты и использует новые уязвимости и другие методы для незаметной доставки полезной нагрузки после открытия вложения. Однако инфицирование происходит не вследствие применения передовых технологий, а из-за человеческого фактора и чтобы противостоять подобным атакам необходимо организовывать сотрудникам тренинги по информационной безопасности.

Индикаторы компрометации (IoC)

Путь PDB:
E:\vs2010\new big!\MyServe\Debug\MyServe.pdb

MD5
A3F6818CE791A836F54708F5FB9935F3
3E431E5CF4DA9CAE83C467BC1AE818A0
11B8016045A861BE0518C9C398A79573

Материалы по теме:

Публикации на схожие темы

Всего комментариев: 1
  1. Вероника

    Спасибо вам за информацию

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *