Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Ataki APT BlackEnergy na Ukrainie wykorzystują spearphishing z dokumentami Worda

Dodany 27 stycznia 2016, 15:01 CET
Tagi:

Pod koniec zeszłego roku fala cyberataków uderzyła w kilka krytycznych sektorów na Ukrainie. Szeroko nagłośnione w mediach, ataki te wykorzystały znane trojany BlackEnergy jak również kilka nowych modułów.  

BlackEnergy to trojan stworzony przez hakera o nazwie Cr4sh. W 2007 r. rzekomo przerwał on pracę nad tym szkodnikiem i sprzedał kod źródłowy za 700 dolarów. Wygląda na to, że kod źródłowy został przechwycony przez jednego lub więcej cyberprzestępców i został wykorzystany do przeprowadzenia ataków DDoS na Gruzję w 2008 r. Ci nieznani sprawcy nadal przeprowadzali ataki DDoS przez kolejne kilka lat. Około 2014 r. naszą uwagę zwróciła określona grupa cyberprzestępców o nazwie BlackEnergy, która zaczęła implementować wtyczki związane z systemami SCADA ofiarom z branży przemysłowych systemów kontroli oraz sektorów energetycznych na całym świecie. To wskazywało na unikatowe umiejętności, znacznie przekraczające możliwości przeciętną osobę kontrolującą botnet DDoS.      

Dla uproszczenia określamy tych cyberprzestępców jako grupę BlackEnergy.

Jednym z preferowanych celów grupy BlackEnergy zawsze była Ukraina. Od połowy 2015 r. jednym z preferowanych wektorów ataków były dokumenty Excela zawierające makra, które umieszczały trojana na dysku, jeśli użytkownik uruchomił skrypt w dokumencie.

Kilka dni temu odkryliśmy nowy dokument, który wygląda na element ataków grupy BlackEnergy APT przeciwko organizacjom na Ukrainie. W przeciwieństwie do wcześniejszych plików pakietu Office wykorzystywanych do w poprzednich atakach, w tym przypadku nie mamy do czynienia ze skoroszytem Excela ale z dokumentem programu Microsoft Word. Wabik stanowił dokument zawierający wzmiankę o ukraińskiej partii „Prawy Sektor” i prawdopodobnie został wykorzystany przeciwko kanałowi telewizyjnemu.

Wprowadzenie

Pod koniec zeszłego roku fala ataków uderzyła kilka krytycznych sektorów na Ukrainie. Była ona szeroko omawiana w mediach oraz przez naszych kolegów z firm ESET, iSIGHT Partners oraz innych organizacji, a osoby atakujące wykorzystały zarówno znane trojany BlackEnergy jak i kilka nowych modułów. Bardzo dobra analiza i przegląd ataków BlackEnergy na Ukrainie w 2014 i 2015 r. opublikowała ukraińska firma zajmująca się bezpieczeństwem Cys Centrum (tekst dostępny jest obecnie jedynie w języku rosyjskim, ale można go przeczytać za pomocą Google Translate). 

W przeszłości pisaliśmy na temat grupy BlackEnergy, koncentrując się na jej destrukcyjnych funkcjach szkodliwych, włamywaniu się do sprzętu firmy Siemens oraz wykorzystywaniu wtyczek do ataków na routery. Nasze artykuły na ten temat są dostępne tutaj oraz tutaj. Opublikowaliśmy również artykuł na temat ataków DDoS przeprowadzanych przez grupę BlackEnergy.

Od połowy 2015 r. jednym z preferowanych wektorów ataków dla BlackEnergy na Ukrainie są dokumenty Excela zawierające makra, które instalują w systemie trojana, jeśli użytkownik uruchomi skrypt w tym dokumencie.   

Dokumenty pakietu Office zawierające makra stanowiły ogromny problem na początku 2000 r., gdy Word i Excel miały domyślnie włączoną obsługę makr. To oznaczało, że w momencie załadowania dokumentu mogło dojść do automatycznego uruchomienia wirusa lub trojana i do infekcji systemu. Microsoft w późniejszym czasie wyłączył tę funkcję i obecne wersje aplikacji z pakietu Office wymagają ręcznej aktywacji obsługi makr w dokumentach przez użytkownika. Aby obejść to utrudnienie, współcześni cyberprzestępcy korzystają z socjotechniki, nakłaniając użytkownika do włączenia obsługi makr, co ma rzekomo pozwolić na udostępnienie „rozszerzonej zawartości”.

Kilka dni temu natrafiliśmy na nowy dokument, który wydaje się być elementem trwających ataków grupy BlackEnergy na cele na Ukrainie. W przeciwieństwie do poprzednich ataków nie jest to skoroszyt Excela, ale dokument Worda:

  • “$RR143TB.doc” (md5: e15b36c2e394d599a8ab352159089dd2)

20 stycznia 2016 r. dokument ten został przesłany do jednego ze multiskanerów antywirusowych z Ukrainy i wówczas wykrywała go jedynie garstka rozwiązań bezpieczeństwa. Dokument ten posiadał następujący znacznik czasowy dla utworzenia i ostatniego zapisu pliku: 2015-07-27 10:21:00. To oznacza, że dokument mógł być utworzony i wykorzystywany wcześniej, jednak dopiero niedawno użytkownik zwrócił na niego uwagę.

Po otwarciu dokumentu użytkownik widzi okno dialogowe z zaleceniem włączenia obsługi makr, co ma pozwolić na zobaczenie zawartości.

bl_energy_01_auto.png

Co ciekawe, dokument wabi informacjami o do nacjonalistycznej ukraińskiej partii „Prawy Sektor”. Partia ta powstała w listopadzie 2013 r. i od tego czasu odgrywa aktywną rolę na scenie politycznej tego kraju.

W celu wyekstrahowania makr z dokumentów bez użycia Worda (oraz bez konieczności uruchamiania ich) można skorzystać z publicznie dostępnego narzędzia, takiego jak oledump autorstwa Didiera Stevensa. Oto wynik:

bl_energy_02_auto.png

Jak widać, makro tworzy w pamięci ciąg zawierający plik, który jest zapisywany na dysku jako “vba_macro.exe”. Plik ten jest następnie natychmiast uruchamiany przy użyciu poleceń powłoki.

Zawartość pliku vba_macro.exe (md5: ac2d7f21c826ce0c449481f79138aebd) to typowy dropper wykorzystywany przez grupę BlackEnergy. Zapisuje on na dysku docelowy szkodliwy ładunek - “%LOCALAPPDATA%\FONTCACHE.DAT”, który ma postać pliku DLL. Plik ten jest następnie uruchamiany przy użyciu rundll32:

  • rundll32.exe "%LOCALAPPDATA%\FONTCACHE.DAT",#1

Aby zadbać o automatyczne uruchamianie pliku przy każdym starcie Windowsa, dropper tworzy plik LNK w folderze startowym systemu, który wykonuje powyższe polecenie.

  • %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup\{ D0B53124-E232-49FC-9EA9-75FA32C7C6C3}.lnk

Ostateczny ładunek (FONTCACHE.DAT, md5: 3fa9130c9ec44e36e52142f3688313ff) to minimalistyczny trojan (v2) grupy BlackEnergy, który łączy się z wpisanym na sztywno serwerem C&C (5.149.254.114) na porcie 80. Informacje o tym serwerze dostępne są już w analizie opublikowanej przez naszych kolegów z firmy ESET. Obecnie serwer nie jest dostępny online lub odrzuca połączenia z określonych adresów IP. Jeżeli serwer jest dostępny online, trojan wysyła do niego żądanie HTTP POST, w którym zawarte są podstawowe informacje o ofierze, i oczekuje na polecenia.

bl_energy_03_auto.png

Żądanie posiada kodowanie BASE64. Oto niektóre pola:

  • b_id=BRBRB-...
  • b_gen=301018stb
  • b_ver=2.3
  • os_v=2600
  • os_type=0

Pole „b_id” zawiera identyfikator kompilacji oraz unikatowy numer maszyny wyliczany na podstawie informacji pobranych z systemu, które są unikatowe dla każdego komputera. Pozwala to atakującym na rozróżnianie zainfekowanych maszyn działających w tej samej sieci. Pole „b_gen” najprawdopodobniej zawiera identyfikator ofiary, który w tym przypadku ma postać „301018stb”. STB może być nawiązaniem do ukraińskiej stacji telewizyjnej “STB” http://www.stb.ua. Stacja ta została wymieniona publicznie jako jedna z ofiar ataków szkodnika BlackEnergy Wiper w październiku 2015 r.

Wnioski:

BlackEnergy to dynamiczny aktor na scenie zagrożeń, a bieżące ataki na Ukrainie wskazują, że działania destrukcyjne są jednym z jego głównych celów – poza włamywaniem się do systemów kontroli przemysłowej i aktywnością szpiegowską.

Nasza analiza wykazała, że grupa ta aktywnie atakowała w ostatnich latach organizacje z poniższych sektorów. Jeżeli Twoja firma należy do jednej z tych kategorii, powinieneś uwzględnić grupę BlackEnergy podczas projektowania swojej ochrony IT:

  • systemy kontroli przemysłowej, branża energetyczna, organizacje rządowe oraz media na Ukrainie,
  • firmy z branży systemów kontroli przemysłowej/SCADA na całym świecie,
  • firmy z branży energetycznej na całym świecie.

Pierwsze oznaki destrukcyjnych działań grupy BlackEnergy sięgają czerwca 2014 r. Ataki te były prymitywne i pełne błędów. W ostatnich działaniach cyberprzestępcy pozbyli się niepodpisanego sterownika, który był wykorzystywany wcześniej do niskopoziomowego wymazywania dysków, i zastąpili go bardziej zaawansowanymi funkcjami celującymi w poszczególne pliki, a nie całe dyski. Cały proces nie jest mniej destrukcyjny niż poprzednio, a dodatkowo daje atakującym przewagę w postaci braku wymogu uprawnień administracyjnych oraz prawidłowego działania w nowoczesnych systemach 64-bitowych.

Co ciekawe, w swoim ostrzeżeniu ICS-CERT także wskazuje na wykorzystanie dokumentów Worda (zamiast plików Excela).

bl_energy_04_auto.png

Koniecznie trzeba zwrócić uwagę na to, że wszystkie rodzaje dokumentów pakietu MS Office - nie tylko pliki Excela - mogą posiadać makra. Dotyczy to również dokumentów Worda – jak widać w naszej analizie oraz ostrzeżeniu ICS-CERT – a także prezentacji tworzonych  programie PowerPoint – jak wspomnieli eksperci z Cys Centrum.

Kontynuując wątek wykorzystania dokumentów Worda z makrami w atakach APT, obserwowaliśmy ostatnio grupę Turla, która swoje działania na takich dokumentach do infekowania systemów. Na tej podstawie wnioskujemy, że metoda ta jest uznawana za skuteczną i jej popularność wśród cyberprzestępców będzie rosnąć.

Będziemy w dalszym ciągu monitorowali ataki grupy BlackEnergy na Ukrainie i poinformujemy, gdy tylko pojawią się nowe dane w tym temacie.

Szczegóły dotyczące ataków BlackEnergy, wraz z rozszerzoną sekcją opisującą oznaki infekcji, są dostępne dla klientów usługi Kaspersky Intelligence Services. Kontakt: intelreports@kaspersky.com.

Produkty Kaspersky Lab wykrywają trojany wspomniane w tym artykule jako: Backdoor.Win32.Fonten.* oraz HEUR:Trojan-Downloader.Script.Generic.

Oznaki infekcji:

Dokument Worda z makrami (Trojan-Downloader.Script.Generic):

e15b36c2e394d599a8ab352159089dd2

Dropper z dokumentu Worda (Backdoor.Win32.Fonten.y):

ac2d7f21c826ce0c449481f79138aebd

Ostateczny ładunek z dokumentu Worda (Backdoor.Win32.Fonten.o):

3fa9130c9ec44e36e52142f3688313ff

Serwer C&C BlackEnergy:

5.149.254[.]114