kínaiul beszélő fenyegetés színész APT10 Kutatók szerint legalább március óta kifinomult és néha fájl nélküli hátsó ajtót használ a média, a diplomáciai, a kormányzati, a közszféra és az agytrösztök célpontjaira.
A Kaspersky kutatói 2019 óta követik a LodeInfo rosszindulatú programcsaládot. egy of két blogbejegyzés hétfőn jelent meg, amely kétrészes vizsgálatot tartalmaz a felmerülő fenyegetésről. A csoport kémkedésre törekszik, elsősorban eddig japán célpontok ellen.
A kutatók szerint azonban, mivel a fenyegetés szereplői folyamatosan frissítik és módosítják a LodeInfo-t – különösen az anti-észlelési funkciók és a különböző fertőzési vektorok révén – nehéz volt lépést tartani a használatával és bevezetésével.
"A LodeInfo-t és fertőzési módszereit folyamatosan frissítették és továbbfejlesztették, hogy kifinomultabb kiberkémkedési eszközzé váljanak, miközben Japán szervezeteit célozzák meg" - írták a kutatók egyik bejegyzésükben. "A LodeInfo implantátumokat és betöltő modulokat is folyamatosan frissítették, hogy elkerüljék a biztonsági termékeket, és megnehezítsék a biztonsági kutatók manuális elemzését."
A Kaspersky szerint a JPCERT/C először 2020 februárjában nevezte meg a LodeInfo-t egy blogbejegyzésben, amikor egy Japánt célzó adathalász kampányban ez volt a hasznos teher. A következő évben a Kaspersky kutatói is megosztott új megállapítások a HITCON 2021 konferencián, amely a LodeInfo 2019 és 2020 közötti tevékenységeit fedte le. Akkoriban a kártevőt az APT10-nek tulajdonították – más néven a „Kabóca” csoport – „nagy magabiztossággal” – mondták a kutatók.
A Kaspersky legfrissebb, LodeInfo-val kapcsolatos intelligenciája jelentésük első felében a rosszindulatú program jelenlegi verzióinak azonosítására összpontosít – amelyekben a kutatók a 0.6.6-os és v0.6.7-es verziót észlelték –, valamint a március és szeptember között nyomon követett különféle fertőzési módszereiket a célpontok ellen. Japán. A második rész a LodeInfo shellcode új verzióinak vizsgálatát mutatja be – beleértve a v0.5.9-et, v0.6.2-t, v0.6.3-at és v0.6.5-öt –, amelyeket márciusban, áprilisban és júniusban azonosítottak.
Változatos fertőzési módszerek
A kutatók négy különböző fertőzési módszert vázoltak fel, amelyeket a fenyegetés szereplői arra használnak, hogy a LodeInfo hátsó ajtót az áldozat rendszerekre juttassák.
Az első, amelyet márciusban azonosítottak, és a Kaspersky által megfigyelt korábbi támadásokban is használtak, egy lándzsás adathalász e-maillel kezdődött, amely egy rosszindulatú mellékletet tartalmazott, amely rosszindulatú programokat tároló modulokat telepített, mondták a kutatók. Ezek a modulok a K7Security Suite szoftverből származó legitim EXE fájlból álltak DLL oldalbetöltés, valamint egy rosszindulatú DLL-fájl, amelyet a DLL oldalbetöltési technikával töltöttek be.
A rosszindulatú DLL-fájl tartalmaz egy betöltőt a LodeInfo shellkódhoz, amely egy 1 bájtos XOR-titkosított LodeInfo shellkódot tartalmaz, amelyet a 0.5.9-es verzió belsőleg azonosított, mondták el a kutatók.
Egy másik fertőzési módszer egy önkicsomagoló archív (SFX) fájlt használ RAR formátumban, amely három fájlt tartalmaz önkicsomagoló szkriptparancsokkal. Amikor egy megcélzott felhasználó végrehajtja ezt az SFX-fájlt, az archívum eldobja a többi fájlt, megnyílik egy .docx, amely csak néhány japán szót tartalmaz csaliként, mondták a kutatók.
Miközben ez a csalifájl megjelenik a felhasználó számára, az archív szkript egy rosszindulatú DLL-t futtat a DLL oldalbetöltésén keresztül, amely elindít egy folyamatot, amely végül telepíti a LodeInfo v0.6.3-at.
A harmadik fertőzési vektor egy másik SFX-fájlt használ, amelyet először egy júniusi adathalász kampányon keresztül terjesztettek el, és amely egy jól ismert japán politikus nevét használja ki, és az előző vektorhoz hasonló, önkicsomagoló szkriptet és fájlokat használ. Ez a kezdeti fertőzési módszer egy további fájlt is tartalmaz, amely dekódolja a LodeInfo v0.6.3 hátsó ajtó shellkódját, mondták el a kutatók.
"A fájlnév és a csalidokumentum arra utal, hogy a célpont a japán kormánypárt vagy egy kapcsolódó szervezet volt" - magyarázták, hozzátéve, hogy július 4-én egy másik SFX-fájlt figyeltek meg, hasonló módszerrel és terheléssel.
A kutatók által felvázolt negyedik fertőzési vektort júniusban figyelték meg, és úgy tűnik, ez egy vadonatúj módszer, amelyet a fenyegetés szereplői idén hozzáadtak. Ez a vektor egy fájl nélküli letöltő shellkódot használ – amelyet a kutatók „DOWNIISSA”-nak neveztek el –, amelyet egy jelszóval védett Microsoft Word fájl szállít. A kutatók szerint a fájl rosszindulatú makrókódot tartalmaz, amely teljesen eltér a LodeInfo korábban vizsgált mintáitól.
„Eltérően a korábbi mintáktól… ahol a rosszindulatú VBA makrót a DLL oldalbetöltési technika különböző összetevőinek eldobására használták, ebben az esetben a rosszindulatú makrókód közvetlenül a WINWORD.exe folyamat memóriájába szúr be és tölt be egy beágyazott shellkódot” – magyarázták. "Ez az implantátum nem volt jelen a korábbi tevékenységekben, és a shellkód is egy újonnan felfedezett többlépcsős letöltő shellkód a LodeInfo v0.6.5-höz."
Speciális kijátszási taktika
A Kaspersky kutatói felvázolták a rosszindulatú program shellkódjának új verzióiban megjelenő különféle fejlett kijátszási taktikákat is, bemutatva, hogy a fenyegetés szereplői hogyan fejlesztik a kártevőt, hogy növeljék annak esélyét, hogy ne kapják el őket.
„Ezek a módosítások megerősíthetik, hogy a fenyegetés szereplői nyomon követik a biztonsági kutatók publikációit, és megtanulják, hogyan frissítsék TTP-jüket [taktikákat, technikákat és eljárásokat], és javítsák rosszindulatú programjaikat” – írták.
A LodeInfo v0.5.6 shellkód például számos továbbfejlesztett kijátszási technikát mutat be bizonyos biztonsági termékekhez, valamint három új, a fejlesztő által megvalósított hátsó ajtó parancsot – mondták a kutatók.
Tartalmaz egy keménykódolt kulcsot is, az NV4HDOeOVyL-t, amelyet később használtak egy régies Vigenere-rejtjel, és véletlenszerű kéretlen adatokat generál, "lehetséges, hogy elkerülje a beaconing-észlelést a csomagméret alapján" - jegyezték meg.
Egy másik shellkód, a LodeInfo v0.5.6-ban, felülvizsgált kripto-algoritmusokat és backdoor parancsazonosítókat használ – egy 2-bájtos XOR-művelettel homályosítva, amelyet a korábbi LodeInfo shellkódokban 4 bájtos merevkódolt értékekként határoztak meg – mondták a kutatók.
„Azt is megfigyeltük, hogy a színész új hátsó ajtó parancsokat, például „comc”, „autorun” és „config” implementált a LodeInfo v0.5.6-os és újabb verzióiban” – magyarázták. „Huszonegy hátsó ajtóparancs, köztük három új parancs van beágyazva a LodeInfo hátsó ajtóba az áldozat gazdagép vezérléséhez.”
Más LodeInfo shellkódok, konkrétan a v0.6.2 és újabb verziók tartalmaznak egy érdekes földrajzi azonosító funkciót, amely rekurzív függvényben keresi az „en_US” területi beállítást az áldozat gépén, és leállítja a végrehajtást, ha ezt a területi beállítást megtalálják – mondták a kutatók, jelezve, hogy a fenyegetés szereplői elkerülik az amerikai célpontokat.
A LodeInfo shellkód másik, a Kaspersky által megfigyelt alapvető módosítása a 64 bites Intel architektúra támogatása volt, amely kibővíti a fenyegetés szereplői által megcélozható áldozati környezetek típusát.
Összességében a frissített TTP-k, valamint a LodeInfo és a kapcsolódó rosszindulatú programok fejlesztései „azt jelzik, hogy a támadó különösen arra összpontosít, hogy megnehezítse az észlelést, az elemzést és a vizsgálatot a biztonsági kutatók számára” – írták a kutatók.
A Kaspersky a LodeInfo-n közzétett bejegyzésének második részében megosztotta a kompromisszum különböző mutatóit. A cég arra ösztönzi a többi biztonsági kutatót és általában a közösséget, hogy működjenek együtt a LodeInfo és a kapcsolódó rosszindulatú támadások azonosításában az áldozat környezetében a további támadások megelőzése és mérséklése érdekében.
