Отчеты о целевых атаках (APT)

При APT атаках BlackEnergy на Украине применялся целевой фишинг с Word-документами

Ранее в прошлом году волна кибератак ударила по нескольким критическим секторам Украины. В атаках, которые широко обсуждались в СМИ, использовались известные троянцы BlackEnergy, а также несколько новых модулей.

BlackEnergy ― это троянец, созданный хакером, известным как Cr4sh. В 2007 году он объявил о прекращении работы над ним и продал исходный код за $700. Похоже, что эти исходные коды были использованы одним или несколькими злоумышленниками для проведения DDoS-атак на Грузию в 2008 году. Эти неизвестные хакеры продолжали проводить DDoS-атаки в течение следующих нескольких лет. Приблизительно в 2014 году наше внимание привлекла конкретная группа хакеров, начавшая использовать SCADA-модули BlackEnergy и атаковать промышленные и энергетические секторы по всему миру. Это указывает на обладание этой группой уникальной квалификацией, намного выше среднего уровня типичных организаторов DDoS атак.

Для простоты назовем их APT-группой BlackEnergy.

Одной из приоритетных целей APT-группы BlackEnergy всегда была Украина. С середины 2015 года одним из основных векторов атак BlackEnergy на Украине были документы Excel с макросами, которые устанавливают троянца на диск, если пользователь запускает скрипт в документе.

Несколько дней назад мы обнаружили новый документ, который, возможно, является частью текущей атаки APT-группы BlackEnergy на Украину. В отличие от файлов Office, используемых в предыдущих атаках, это не файлы Excel, а документы Microsoft Word. В качестве приманки использовался документ, в котором упоминается украинская партия «Правый сектор» и, предположительно, целью атаки был телевизионный канал.

Введение

В конце прошлого года волна атак ударила по нескольким критическим секторам Украины. В атаках, которые широко обсуждались в СМИ и нашими коллегами из ESET, iSIGHT Partners и других компаний, использовались оба известных троянца BlackEnergy, а также несколько новых модулей. Украинская ИБ компания Cys Centrum опубликовала очень хороший анализ и обзор BlackEnergy атак на Украину в период с 2014 по 2015 год.

Ранее мы рассказывали о программе BlackEnergy, уделяя основное внимание ее разрушительным начинкам, использованию оборудования Siemens и плагинам для атак на маршрутизаторы. Вы можете прочесть записи в блогах, опубликованные моими коллегами по GReAT ― Куртом Баумгартнером (Kurt Baumgartner) и Марией Гарнаевой ― здесь и здесь. Также нами была опубликована статья о DDoS-атаках BlackEnergy.

С середины 2015 года одним из основных направлений атак BlackEnergy на Украину были документы Excel с макросами, которые устанавливают троянца на диск, если пользователь выбирает запуск скрипта в документе.

В качестве исторической справки отметим, что документы Office с макросами были огромной проблемой в ранние 2000-е годы, когда Word и Excel поддерживали автоматический запуск макроса. Это означает, что вирус или троянец мог запускаться из загруженного документа и автоматически заражать систему. Позже Майкрософт отключила эту возможность и в современных версиях Office необходимо разрешение пользователя для выполнения макросов документа. Чтобы обойти это ограничение, современные злоумышленники обычно применяют социальную инженерию, предлагая пользователю включить макросы для того, чтобы показать «расширенное содержание».

Несколько дней назад нам встретился новый документ, который, скорее всего, является частью текущих атак BlackEnergy на Украину. В отличие от файлов Office, используемых в предыдущих атаках, это не Excel документ, а Word документ:

«$RR143TB.doc» (md5: e15b36c2e394d599a8ab352159089dd2)

Этот документ с относительно низким показателем детектирования был загружен на сервис мультисканера из Украины 20 января 2016 года. В полях документа creation_datetime и last_saved указано значение 2015-07-27 10:21:00. Это означает, что документ мог быть создан и использован раньше, но только недавно был обнаружен жертвой.

При открытии документа пользователь видит окно с рекомендациями включить макросы для просмотра документа.

При APT атаках BlackEnergy на Украине применялся целевой фишинг с использованием Word-документов

Интересно, что в документе присутствует название националистической партии Украины «Правий сектор» («Правый сектор»). Партия была основана в ноябре 2013 и с тех пор принимает активное участие в политике.

Чтобы извлечь макросы из документа, не используя Word и не запуская их, мы можем использовать общедоступное средство oledump Дидье Стивенса (Didier Stevens). Это небольшой пример кода макроса:

При APT атаках BlackEnergy на Украине применялся целевой фишинг с использованием Word-документов

Как видно, макрос записывает в память строку, содержащую файл, который создается и записывается как «vba_macro.exe».

Затем файл сразу же выполняется с использованием shell команд.

Начинка vba_macro.exe (md5: ac2d7f21c826ce0c449481f79138aebd) ― это типичный дроппер BlackEnergy. Он устанавливает основную начинку как «%LOCALAPPDATA%\FONTCACHE.DAT», которая является dll-файлом. Затем он переходит к его выполнению, используя rundll32:

rundll32.exe «%LOCALAPPDATA%\FONTCACHE.DAT»,#1

Чтобы dll-файл выполнялся при каждом запуске системы, дроппер создает файл LNK в системной папке автозапуска, который выполняет ранее указанную команду при каждой загрузке системы.

%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\{D0B53124-E232-49FC-9EA9-75FA32C7C6C3}.lnk

Основная начинка (FONTCACHE.DAT, md5: 3fa9130c9ec44e36e52142f3688313ff) ― это минималистичная модификация троянца BlackEnergy (v2), который соединяется по порту 80 с сервером управления 5.149.254.114, жестко прописанным в коде. Наши коллеги из ESET уже упоминали данный сервер в своем анализе ранее в этом месяце. В настоящее время сервер недоступен либо подключения ограничены по IP-адресам. Когда сервер доступен, программа обращается к нему с запросом HTTP POST, отправляя основную информацию о цели и запрашивая команды.

При APT атаках BlackEnergy на Украине применялся целевой фишинг с использованием Word-документов

Запрос закодирован с использованием BASE64. Некоторые поля содержат:

  • b_id=BRBRB-…
  • b_gen=301018stb
  • b_ver=2.3
  • os_v=2600
  • os_type=0

Поле b_id содержит идентификатор сборки и уникальный идентификатор машины и вычисляется на основе системной информации, что делает его уникальным для каждой цели. Это позволяет хакерам различать зараженные машины одной сети. Поле b_gen относится к ID цели и в этом случае равно 301018stb. «STB» может иметь отношение к украинскому ТВ-каналу «STB», http://www.stb.ua/ru/. Этот ТВ-канал был официально назван жертвой атаки BlackEnergy Wiper в октябре 2015 года.

Заключение

Программа BlackEnergy является крайне динамичной угрозой, и недавние атаки на Украину показали, что ее основные цели ― это разрушительные действия и промышленный шпионаж, кроме того она стремится скомпрометировать системы промышленного управления.

Наш целевой анализ показывает, что в последние годы активно атаковались нижеперечисленные секторы. Если ваша организация попадает в одну из этих категорий, тогда вам следует учитывать BlackEnergy при проектировании защиты:

  • Промышленный, энергетический, правительственный секторы и СМИ Украины
  • Компании по всему миру, использующие системы ICS/SCADA
  • Энергетические компании по всему миру

Самые ранние признаки появления разрушительных начинок BlackEnergy были замечены еще в июне 2014 года. Но старые версии были непродуманными и содержали большое количество ошибок. Судя по недавним атакам, разработчики отказались от использования неподписанного драйвера для стирания дисков на низком уровне, а заменили его средствами стирания более высокого уровня, которые работают с расширениями файлов, а не с дисками. Это изменение не менее разрушительно и обладает преимуществом, которое заключается в отсутствии необходимости в правах администратора, а также без проблем работает с современными 64-разрядными системами.

Примечательно, что использование документов Word (вместо Excel) было также упомянуто ICS-CERT в их обращении alert 14-281-01B.

При APT атаках BlackEnergy на Украине применялся целевой фишинг с использованием Word-документов

Особенно важно помнить, что все типы документов Office могут содержать макросы, а не только файлы Excel. Это также относится к документам Word (как показано здесь и было сообщено ICS-CERT) и PowerPoint, что упоминалось компанией Cys Centrum.

Что касается APT-атак на документы Word с макросами, недавно группировка Turla использовала документ Word с макросами для записи вредоносной начинки. Это говорит о том, что среди этих атак много удачных и их популярность будет увеличиваться.

Мы продолжим наблюдение за атаками BlackEnergy на Украине и предоставим нашим читателям обновленную информацию.

Больше информации об APT-атаках BlackEnery и полный список индикаторов компрометации доступен для клиентов службы экспертизы в области кибербезопасности. Контактная информация intelreports@kaspersky.com.

Продукты «Лаборатории Касперского» детектируют троянские программы, упомянутые в этой статье, как Backdoor.Win32.Fonten.* и HEUR:Trojan-Downloader.Script.Generic.

Индикаторы компрометации

Документы Word с макросами (Trojan-Downloader.Script.Generic):

e15b36c2e394d599a8ab352159089dd2

Дропперы из документов Word (Backdoor.Win32.Fonten.y):

ac2d7f21c826ce0c449481f79138aebd

Модули из документов Word (Backdoor.Win32.Fonten.o):

3fa9130c9ec44e36e52142f3688313ff

Командно-контрольный сервер BlackEnergy:

5.149.254[.]114

При APT атаках BlackEnergy на Украине применялся целевой фишинг с Word-документами

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике