Хотя мы следим за группой кибершпионажа TICK (также известной как «BRONZE BUTLER» или «REDBALDKNIGHT») с 2008 года, мы заметили необычное увеличение числа разработок и развертываний вредоносных программ к ноябрю 2018 года. Мы уже знаем, что группа использует ранее развернутые вредоносные программы и модифицированные инструменты. Мы также обнаружили, что TICK разрабатывает новые семейства вредоносных программ, способных обнаруживать уклонения от первоначального вторжения, а также повышать административные привилегии для последующих атак и сбора данных. Мы также обнаружили, что группа использует валидные учетные записи электронной почты и учетные данные для доставки вредоносного ПО, сосредоточившись на отраслях с высоко секретной информацией: оборонной, аэрокосмической, химической и спутниковой промышленности с головными офисами в Японии и дочерними предприятиями в Китае. Учитывая их цели, мы назвали эту кампанию «Операция ENDTRADE,«
Этот исследовательский документ был представлен и представлен на конференции DeepINTEL Security Intelligence 2019 27 ноября 2019 года в Вене, Австрия.
Таргетинг и доставка вредоносных программ
Рисунок 1. Временная шкала операции ENDTRADE
В рамках своих атак в январе 2019 года TICK проводил свои исследования путем компрометации японской компании, занимающейся экономическими исследованиями, и агентства по связям с общественностью (PR) для кражи учетных данных электронной почты и файлов в качестве поддельных документов. Эти адреса электронной почты использовались для фишингового фишинга, побуждая потенциальные организации-жертвы открывать вложения с помощью вредоносных программ. Между тем документы были встроены в вредоносное ПО и отправлены отдельным лицам и компаниям, знающим японский или китайский языки и заинтересованным в экономике Китая. Письма имели следующие функции:
Рисунок 2. Образец фишинг-копья на беглом японском языке
Основываясь на языке, который был жестко закодирован в найденных нами примерах, TICK, по-видимому, предназначался для японских организаций, имеющих дочерние предприятия в Китае, в качестве опорных точек для вторжения: TICK жестко закодировал две кодовые страницы 932 и 936, относящиеся соответственно к символам японского и упрощенного китайского языков. , Кроме того, мы обнаружили успешную передачу вредоносных исполняемых файлов в общую папку из китайской дочерней компании с зараженным рабочим столом и сотрудника в Японии, который выполнил указанный файл.
Рисунок 3. Языковые кодовые страницы
В то время как мы обнаружили вторжения в большое количество компаний в вышеупомянутых отраслях промышленности до мая 2019 года, дальнейший анализ показал, что одной из основных целей был оборонный сектор. Мы обнаружили, что ТИК пытается украсть документы, относящиеся к военным, из сети жертвы во время расширенной помощи для реагирования на инциденты в регионе. Тем не менее, TICK, казалось, переключил свое внимание на химическую промышленность к середине мая, что может указывать на цель организации-спонсора группы: украсть конфиденциальную и секретную информацию, такую как военные данные и передовые материалы.
Анализ вредоносных программ
В нашем исследовании перечислены некоторые из новых и скорректированных вредоносных программ, которые мы нашли в Operation ENDTRADE, которую мы назвали на основании строк их характерной базы данных программы (PDB). Полный список и анализ троянов, загрузчиков и модифицированных инструментов вы можете найти
Рисунок 4. Новые загрузчики и трояны
DATPER
Хотя эта подпольная процедура была связана с оружейным арсеналом TICK, в образце, который мы получили из этой кампании, были два настроенных объекта мьютекса - d0ftyzxcdrfdqwe и * & Hjgfc49gna-2-tjb - которые получают информацию с машины жертвы. Последний вариант также имеет новый набор параметров, которые позволяют ему избегать обнаружения шаблонов продуктов антивирусом (AV), что подразумевает легкость, с которой группа может изменять свои процедуры в соответствии со своими целями.
Рисунок 5. Новый мьютекс DATPER с отдельными параметрами
down_new
Эта вредоносная программа сочетает в себе особенности существующих троянов в разработке семейства вредоносных программ, основываясь на настройках TICK.
сделано, как мы проанализировали их тестовые версии. Он добавляет функции (перечисленные ниже), которые можно найти отдельно на предыдущих итерациях:
Рисунок 6. Код, показывающий командную функцию down_new
Таблица 1. Список команд down_new
Когда мы изучали его процессы для сравнения с остальными, информация об обратном вызове выделялась: заголовок HTTP-записи жестко закодирован в образце, получая конкретную информацию зараженной машины, чтобы выделить личность пользователей. В качестве
Группа кибершпионажа с конкретными целями, основанными на целях их организации-спонсора, TICK преследует только конкретные цели и использует других нецелевых лиц и предприятий в качестве точек опоры для достижения своих целей.
Рисунок 7. down_new собирает данные домашнего телефона и URL-путь
Avenger
Наш анализ показал, что у Avenger есть несколько вариантов и версий в зависимости от их целей. Например, некоторые варианты имеют функции автозапуска, в то время как другие выполняют спящий режим при заражении системы. Мы обнаружили, что загрузчик имеет три этапа:
Рисунок 8. Первый этап: сбор информации
2. Затем он проверяет, совпадает ли хост со ссылкой на сервер C & C. Мститель собирает подробную информацию о жертве из системы, просматривая папки, файлы и информацию о домене.
Рисунок 9. Второй этап: собранная информация записывается в текстовый файл
3. Если хост не существует, Avenger загрузит изображение со встроенным вредоносным ПО, скрытым с помощью стеганографии, и извлечет черный ход.
Рисунок 10. Третий этап: отправка зашифрованного файла в C & C
В то время как стеганография всегда используется как часть методов вредоносного ПО TICK, мы обнаружили, что в этой кампании группа использовала более сложный метод стеганографии.
Рисунок 11. Бэкдор, найденный на стеганографическом изображении
Рисунок 12. Модернизированная техника стеганографии
Мы нашли более новую версию Avenger с более четкой структурой кода и внутренним URL-адресом тестирования IP (метко названным Avenger2 в строках PDB), хотя остальные компоненты имели минимальные различия с предыдущей версией.
Рисунок 13. Avenger2 с внутренним URL
Casper
Casper - модифицированная версия бэкдора Cobalt Strike, показывающая хэш SHA1 командного сервера, если контроллер подключается к C & C. Если клиент обращается к нему, Cobalt Strike подтверждает с пользователем, распознают ли они хэш SHA1 SSL-сертификата конкретного командного сервера и соответствуют ему.
Рисунок 14. C & C Casper с отпечатком сервера Cobalt Strike
Бэкдор обычно скрыт на стеганографической фотографии и использует несколько методов и инструментов, чтобы обойти обнаружение AV. Один из методов включает в себя запуск с помощью легитимного приложения Windows с методами боковой загрузки библиотеки динамических ссылок (DLL). Другой включает внедрение шелл-кода бэкдора в svchost.exe .
Рисунок 15. Shellcode, внедренный в svchost.exe
Публично доступные RAT и модифицированные инструменты
Мы также обнаружили, что TICK включен во все подпрограммы вредоносного ПО с использованием общедоступных троянов удаленного доступа (RAT) и OPE.
n исходные инструменты, и либо модифицировали, либо импортировали методы в свою вредоносную программу. Например, они клонировали Lilith RAT из GitHub, изучили и внедрили его функции в свой настраиваемый бэкдор в процессе непрерывной разработки. Список измененных инструментов, используемых группой, включает Mimikatz, инструмент сжатия RAR, инструмент отображения портов и снимок экрана.
Рисунок 16. Модифицированный инструмент захвата экрана
Рисунок 17. Модифицированный мимикац
Вывод
TICK - организованная и постоянная группа по кибершпионажу, специализирующаяся на нацеливании на особо ценных людей и организации, обладающая навыками и ресурсами, необходимыми для координации сложных атак.
Эта операция подчеркивает не только необходимость в более сильных системах мониторинга, прежде всего в критически важных инфраструктурах стран и на многонациональных предприятиях, но также и в создании более надежных оперативных цепочек командования и избыточных политик безопасности. Постоянные преступные группы будут и далее преследовать предприятия и будут искать пробелы в безопасности, чтобы использовать их для несанкционированного проникновения. Организации с зарубежными дочерними предприятиями могут затруднить контроль и внедрение процедур и политик безопасности, затрудняя мониторинг, изоляцию, расследование, реагирование на инциденты и восстановление. В довершение всего, осведомленность и сознательность сотрудников будут оставаться важной частью обеспечения соблюдения мер безопасности для регулярных операций.
Источник:
Ссылка скрыта от гостей
» .Этот исследовательский документ был представлен и представлен на конференции DeepINTEL Security Intelligence 2019 27 ноября 2019 года в Вене, Австрия.
Таргетинг и доставка вредоносных программ
Рисунок 1. Временная шкала операции ENDTRADE
В рамках своих атак в январе 2019 года TICK проводил свои исследования путем компрометации японской компании, занимающейся экономическими исследованиями, и агентства по связям с общественностью (PR) для кражи учетных данных электронной почты и файлов в качестве поддельных документов. Эти адреса электронной почты использовались для фишингового фишинга, побуждая потенциальные организации-жертвы открывать вложения с помощью вредоносных программ. Между тем документы были встроены в вредоносное ПО и отправлены отдельным лицам и компаниям, знающим японский или китайский языки и заинтересованным в экономике Китая. Письма имели следующие функции:
- Они были отправлены с законных учетных записей электронной почты
- Они были написаны как законные отчеты и предлагали пользователям открывать вложения
- Они содержали тематические темы, связанные с «повышением ставки заработной платы» или «рынком труда», или с особыми интересами в экономических делах Китая, такими как торговые мандаты США и Китая.
Рисунок 2. Образец фишинг-копья на беглом японском языке
Основываясь на языке, который был жестко закодирован в найденных нами примерах, TICK, по-видимому, предназначался для японских организаций, имеющих дочерние предприятия в Китае, в качестве опорных точек для вторжения: TICK жестко закодировал две кодовые страницы 932 и 936, относящиеся соответственно к символам японского и упрощенного китайского языков. , Кроме того, мы обнаружили успешную передачу вредоносных исполняемых файлов в общую папку из китайской дочерней компании с зараженным рабочим столом и сотрудника в Японии, который выполнил указанный файл.
Рисунок 3. Языковые кодовые страницы
В то время как мы обнаружили вторжения в большое количество компаний в вышеупомянутых отраслях промышленности до мая 2019 года, дальнейший анализ показал, что одной из основных целей был оборонный сектор. Мы обнаружили, что ТИК пытается украсть документы, относящиеся к военным, из сети жертвы во время расширенной помощи для реагирования на инциденты в регионе. Тем не менее, TICK, казалось, переключил свое внимание на химическую промышленность к середине мая, что может указывать на цель организации-спонсора группы: украсть конфиденциальную и секретную информацию, такую как военные данные и передовые материалы.
Анализ вредоносных программ
В нашем исследовании перечислены некоторые из новых и скорректированных вредоносных программ, которые мы нашли в Operation ENDTRADE, которую мы назвали на основании строк их характерной базы данных программы (PDB). Полный список и анализ троянов, загрузчиков и модифицированных инструментов вы можете найти
Ссылка скрыта от гостей
.
Ссылка скрыта от гостей
Рисунок 4. Новые загрузчики и трояны
DATPER
Хотя эта подпольная процедура была связана с оружейным арсеналом TICK, в образце, который мы получили из этой кампании, были два настроенных объекта мьютекса - d0ftyzxcdrfdqwe и * & Hjgfc49gna-2-tjb - которые получают информацию с машины жертвы. Последний вариант также имеет новый набор параметров, которые позволяют ему избегать обнаружения шаблонов продуктов антивирусом (AV), что подразумевает легкость, с которой группа может изменять свои процедуры в соответствии со своими целями.
Рисунок 5. Новый мьютекс DATPER с отдельными параметрами
down_new
Эта вредоносная программа сочетает в себе особенности существующих троянов в разработке семейства вредоносных программ, основываясь на настройках TICK.
сделано, как мы проанализировали их тестовые версии. Он добавляет функции (перечисленные ниже), которые можно найти отдельно на предыдущих итерациях:
- Добавляет автозапуск в реестр.
- Получает MAC-адрес и информацию о томе для отправки обратно в C & C.
- Выполняется только в рабочее время (с 8:00 до 18:00, используя kernel32.GetLocalTime API)
- Использует шифрование AES и метод кодирования base64 для шифрования сообщения обратного вызова.
- Использует законные веб-сайты для сервера C & C.
- Обнаруживает антивирусные продукты и процессы.
Рисунок 6. Код, показывающий командную функцию down_new
Таблица 1. Список команд down_new
Когда мы изучали его процессы для сравнения с остальными, информация об обратном вызове выделялась: заголовок HTTP-записи жестко закодирован в образце, получая конкретную информацию зараженной машины, чтобы выделить личность пользователей. В качестве
Группа кибершпионажа с конкретными целями, основанными на целях их организации-спонсора, TICK преследует только конкретные цели и использует других нецелевых лиц и предприятий в качестве точек опоры для достижения своих целей.
Рисунок 7. down_new собирает данные домашнего телефона и URL-путь
Avenger
Наш анализ показал, что у Avenger есть несколько вариантов и версий в зависимости от их целей. Например, некоторые варианты имеют функции автозапуска, в то время как другие выполняют спящий режим при заражении системы. Мы обнаружили, что загрузчик имеет три этапа:
- Первый этап собирает информацию о томе, продукте AV и версии битов ОС от хоста и отправляет ее на сервер управления и контроля (C & C), чтобы убедиться, что хост является целевой целью.
Рисунок 8. Первый этап: сбор информации
2. Затем он проверяет, совпадает ли хост со ссылкой на сервер C & C. Мститель собирает подробную информацию о жертве из системы, просматривая папки, файлы и информацию о домене.
Рисунок 9. Второй этап: собранная информация записывается в текстовый файл
3. Если хост не существует, Avenger загрузит изображение со встроенным вредоносным ПО, скрытым с помощью стеганографии, и извлечет черный ход.
Рисунок 10. Третий этап: отправка зашифрованного файла в C & C
В то время как стеганография всегда используется как часть методов вредоносного ПО TICK, мы обнаружили, что в этой кампании группа использовала более сложный метод стеганографии.
Ссылка скрыта от гостей
Рисунок 11. Бэкдор, найденный на стеганографическом изображении
Рисунок 12. Модернизированная техника стеганографии
Мы нашли более новую версию Avenger с более четкой структурой кода и внутренним URL-адресом тестирования IP (метко названным Avenger2 в строках PDB), хотя остальные компоненты имели минимальные различия с предыдущей версией.
Рисунок 13. Avenger2 с внутренним URL
Casper
Casper - модифицированная версия бэкдора Cobalt Strike, показывающая хэш SHA1 командного сервера, если контроллер подключается к C & C. Если клиент обращается к нему, Cobalt Strike подтверждает с пользователем, распознают ли они хэш SHA1 SSL-сертификата конкретного командного сервера и соответствуют ему.
Рисунок 14. C & C Casper с отпечатком сервера Cobalt Strike
Бэкдор обычно скрыт на стеганографической фотографии и использует несколько методов и инструментов, чтобы обойти обнаружение AV. Один из методов включает в себя запуск с помощью легитимного приложения Windows с методами боковой загрузки библиотеки динамических ссылок (DLL). Другой включает внедрение шелл-кода бэкдора в svchost.exe .
Рисунок 15. Shellcode, внедренный в svchost.exe
Публично доступные RAT и модифицированные инструменты
Мы также обнаружили, что TICK включен во все подпрограммы вредоносного ПО с использованием общедоступных троянов удаленного доступа (RAT) и OPE.
n исходные инструменты, и либо модифицировали, либо импортировали методы в свою вредоносную программу. Например, они клонировали Lilith RAT из GitHub, изучили и внедрили его функции в свой настраиваемый бэкдор в процессе непрерывной разработки. Список измененных инструментов, используемых группой, включает Mimikatz, инструмент сжатия RAR, инструмент отображения портов и снимок экрана.
Ссылка скрыта от гостей
Рисунок 16. Модифицированный инструмент захвата экрана
Рисунок 17. Модифицированный мимикац
Вывод
TICK - организованная и постоянная группа по кибершпионажу, специализирующаяся на нацеливании на особо ценных людей и организации, обладающая навыками и ресурсами, необходимыми для координации сложных атак.
Эта операция подчеркивает не только необходимость в более сильных системах мониторинга, прежде всего в критически важных инфраструктурах стран и на многонациональных предприятиях, но также и в создании более надежных оперативных цепочек командования и избыточных политик безопасности. Постоянные преступные группы будут и далее преследовать предприятия и будут искать пробелы в безопасности, чтобы использовать их для несанкционированного проникновения. Организации с зарубежными дочерними предприятиями могут затруднить контроль и внедрение процедур и политик безопасности, затрудняя мониторинг, изоляцию, расследование, реагирование на инциденты и восстановление. В довершение всего, осведомленность и сознательность сотрудников будут оставаться важной частью обеспечения соблюдения мер безопасности для регулярных операций.
Источник:
Ссылка скрыта от гостей