Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

The Spring Dragon APT

Kurt Baumgartner
Kaspersky Lab Expert
Dodany 19 czerwca 2015, 12:07 CEST
Tagi:

Przyjrzyjmy się kilku interesującym technikom dostarczania szkodliwego oprogramowania stosowanym przez ugrupowanie APT działające od kilku ostatnich lat, a mianowicie Spring Dragon APT. Dokument opublikowany przez naszych kolegów z Palo Alto Networks zawiera garść danych dotyczących tej grupy, określanej jako „the Lotus Blossom Operation“, prawdopodobnie od ciągu debugowania obecnego w znacznej części bazy kodu „Elise” od co najmniej 2012 r. - “d:\lstudio\projects\lotus\…”.   

lotus_elise.png

Arsenał tej grupy wykracza poza szeroko omawiane exploity CVE-2012-0158 na przestrzeni ostatnich kilku lat. Ugrupowanie to znane jest ze stosowania spearphishingowych exploitów „half day”, strategicznych włamań do sieci oraz ataków „przy wodopoju” wykorzystujących przekierowania do fałszywej aktualizacji Flash Playera. Zestaw narzędzi spearphishingowych omawianego ugrupowania zawiera exploity PDF, exploity Adobe Flash Playera oraz powszechne expoity CVE-2012-0158 Worda, w tym te wygenerowane z niesławnego zestawu „Tran Duy Linh”. Chociaż aktualne ataki przeprowadzane przez Spring Dragon APT kierują naszą uwagę w stronę Wietnamu, grupa ta stosuje stałą „mieszaninę” exploitów atakujących podwykonawców w sektorze obronnym na całym świecie oraz organizacje rządowe w takich krajach jak Wietnam, Tajwan czy Filipiny i innych miejscach na przestrzeni ostatnich kilku lat. Przyjrzyjmy się kilku innym przykładom możliwości tej grupy w zakresie przeprowadzania ataków, o których nie wspominają inne dokumenty.  

image01_auto.png

Pominięto atakowane przez Spring Dragon organizacje zlokalizowane w Birmie. Jednak techniki infiltracji stosowane w tym rejonie przez omawianą grupę nie sprowadzały się jedynie do 0158 spearphish – grupa ta włamywała się również do stron internetowych. W jednym przypadku zamieniła wyspecjalizowane instalatory czcionki niezbędne do uzyskania czcionki Myanma. Wyżej znajduje się obraz strony internetowej „Planet Myanmar” z końca 2012 r., która rozprzestrzenia taki pakiet. Wszystkie odsyłacze zip były przekierowywane do skażonego pliku zip instalatora. Nazwa pobieranego pliku brzmiała „Zawgyi_Keyboard_L.zip”. Pobierał on „setup.exe”, który zawierał kilka komponentów backdoora, w tym „wincex.dll” Elise (a42c966e26f3577534d03248551232f3, wykrywany jako Backdoor.Win32.Agent.delp.

Inna grupa APT wykorzystała później dokładnie tę samą stronę w celu dostarczania w listopadzie 2014 r. szkodliwych exploitów VBS (CVE-2014-6332) ze szkodliwą funkcją Lurid. Ta sama grupa „serwowała” również szkodliwego exploita PDF CVE-2010-2883) (z tej strony w czerwcu 2012 r. jako „Zawgyi Unicode Keyboard.pdf”). Jeszcze wcześniej grupa ta przeprowadziła atak typu spearphishing przy użyciu tego samego obiektu exploita PDF, hostowanego później na tej stronie internetowej pod innymi nazwami plików. W listopadzie 2011 r. grupa wykorzystała nazwy plików odpowiednie dla celów swoich ataków spearphishingowych przy użyciu tego exploita, takie jak „台灣安保協會「亞太區域安全與台海和平」國際研討會邀 請 函_20110907.pdf” (“Taiwan Security Association International Seminar Invitation – the Asia-Pacific regional security and peace in the Taiwan Strait”), „china-central_asia.pdf”, „hydroelectric sector.pdf” oraz różne propozycje rządowe. W tym przypadku doszło do niespodziewanej kolizji dwóch grup APT. 

Inną ciekawą techniką wykorzystywaną przeciwko celom rządowym była kampania, która „zwabiała” odbiorców na stronę przekierowującą użytkowników na sfałszowaną stronę z instalatorem Flasha. 

image03_auto.png

Ta strona z kolei przekierowywała użytkowników do instalatora Flasha znajdującego się w pakiecie z powszechnym backdoorem Elise, który komunikuje się z 210.175.53.24 oraz standardowo z „GET /14111121/page_321111234.html HTTP/1.0″.

hxxp://www.bkav2010.net/support/flashplayer/downloads.html → przekierowywał do
hxxp://96.47.234.246/support/flashplayer/install_flashplayer.exe (Trojan-Dropper.Win32.Agent.ilbq)

Oprócz skutecznego wykorzystywania w przeszłości swoich wysłużonych exploitów CVE-2012-0158 Spring Dragon stosuje również bardziej złożone i kreatywne ataki.