Ворок: Велика картина

Дослідники ESET нещодавно виявили цілеспрямовані атаки, які використовували незадокументовані інструменти проти різних відомих компаній і місцевих органів влади переважно в Азії. Ці атаки були здійснені раніше невідомою шпигунською групою, яку ми назвали Worok і яка була активна принаймні з 2020 року. Набір інструментів Worok включає завантажувач C++ CLRLoad, бекдор PowerShell PowHeartBeat і завантажувач C# PNGLoad, який використовує стеганографію для вилучення прихованих шкідливих програм. корисні навантаження з файлів PNG.

Хто такий Ворок?

Під час ProxyShell (CVE-2021-34523) ми спостерігали розкриття вразливості на початку 2021 року діяльність різних груп APT. Одна демонструє характеристики, спільні з TA428:

• Час активності
• Цільові вертикалі
• Використання ShadowPad

Інший набір інструментів сильно відрізняється: наприклад, TA428 брав участь у Здатний компроміс робочого столу у 2020 році. Ми вважаємо, що зв’язки недостатньо сильні, щоб вважати Worok тією ж групою, що й TA428, але ці дві групи можуть ділитися інструментами та мати спільні інтереси. Ми вирішили створити кластер і назвали його Worok. Ім’я було вибрано після м’ютексу в завантажувачі, який використовується групою. Подальша діяльність із варіантами тих самих інструментів була потім пов’язана з цією групою. Згідно з даними телеметрії ESET, Worok був активний з кінця 2020 року і продовжує бути активним на момент написання цієї статті.

Ще наприкінці 2020 року Worok націлився на уряди та компанії в багатьох країнах, зокрема:

• Телекомунікаційна компанія у Східній Азії
• Банк в Центральній Азії
• Компанія морської галузі в Південно-Східній Азії
• Державна установа на Близькому Сході
• Приватна компанія на півдні Африки

З 2021-05 по 2022-01 була значна перерва в спостережуваних операціях, але активність Worok повернулася в 2022-02, спрямована на:

• Енергетична компанія в Центральній Азії
• Організація державного сектору в Південно-Східній Азії

На малюнку 1 представлено візуальну теплову карту цільових регіонів і вертикалей.

Враховуючи профілі цілей та інструменти, які ми бачили проти цих жертв, ми вважаємо, що головна мета Worok — викрасти інформацію.

Технічний аналіз

Хоча більшість початкових доступів невідомі, у деяких випадках протягом 2021 і 2022 років ми спостерігали використання експлойтів проти вразливостей ProxyShell. У таких випадках зазвичай веб-оболонки завантажуються після використання цих вразливостей, щоб забезпечити постійність у мережі жертви. Потім оператори використовували різні імплантати, щоб отримати додаткові можливості.

Після отримання доступу оператори розгорнули численні загальнодоступні інструменти для розвідки, у тому числі Мімікац, Дощовий черв'як, ReGeorg та NBTscan, а потім розгорнули свої власні імплантати: завантажувач першого етапу, а потім другий етап завантажувача .NET (PNGLoad). На жаль, ми не можемо отримати жодного з остаточних корисних навантажень. У 2021 році завантажувачем першого етапу була збірка CLR (CLRLoad), тоді як у 2022 році її було замінено, у більшості випадків, повнофункціональним бекдором PowerShell (PowHeartBeat) – обидва ланцюжки виконання зображено на малюнку 2. Ці три компоненти інструменти детально описані в наступних підрозділах.

Рисунок 2. Компромісні ланцюги Worok

CLRLoad: завантажувач збірки CLR

CLRLoad — це загальний Windows PE, який ми бачили як у 32-, так і в 64-розрядних версіях. Це завантажувач, написаний мовою C++, який завантажує наступний етап (PNGLoad), який має бути a Складання Common Language Runtime (CLR). DLL файл. Цей код завантажується з файлу, розташованого на диску в законному каталозі, ймовірно, щоб ввести в оману жертв або служб реагування на інциденти, щоб вони подумали, що це законне програмне забезпечення.

Деякі зразки CLRLoad починаються з декодування повного шляху до файлу, вміст якого вони завантажуватимуть на наступному етапі. Ці шляхи до файлів кодуються за допомогою однобайтового XOR, з різними ключами в кожному зразку. Розшифровані або відкритий текст, ці шляхи до файлів є абсолютними, а з нами зустрічаються наступні:

• C:Program FilesVMwareVMware ToolsVMware VGAuthxsec_1_5.dll
• C:Program FilesUltraViewermsvbvm80.dll
• C:Програмні файлиInternet ExplorerJsprofile.dll
• C:Program FilesWinRarRarExtMgt.dll
• C:Програмні файли (x86)Foxit SoftwareFoxit Readerlucenelib.dll

Далі створюється м’ютекс, і ми бачили різні назви в кожному зразку. Завантажувач перевіряє цей м'ютекс; якщо знайдено, він виходить, оскільки завантажувач уже запущено. В одному із зразків м'ютекс Wo0r0KGWhYGO було виявлено, що дало групі назву Worok.

Потім CLRLoad завантажує збірку CLR із можливо декодованого шляху до файлу. Як некерований код, CLRLoad досягає цього за допомогою CorBindToRuntimeEx Виклики Windows API у 32-розрядних варіантах або CLRCreateInstance виклики в 64-розрядних варіантах.

PowHeartBeat: бекдор PowerShell

PowHeartBeat — це повнофункціональний бекдор, написаний на PowerShell, обфускований за допомогою різних методів, таких як стиснення, кодування та шифрування. На основі даних телеметрії ESET ми вважаємо, що PowHeartBeat замінив CLRLoad у останніх кампаніях Worok як інструмент, який використовувався для запуску PNGLoad.

Перший рівень бекдор-коду складається з кількох фрагментів коду PowerShell у кодуванні base64. Після того, як корисне навантаження реконструйовано, воно виконується через IEX. Після декодування виконується інший рівень обфусцованого коду, який ми можемо бачити на малюнку 3.

Рисунок 3. Уривок розшифрованої основної функції другого рівня PowHeartBeat

Другий рівень бекдору first base64 декодує наступний рівень свого коду, який потім розшифровується за допомогою Потрійний DES (режим CBC). Після дешифрування цей код розпаковується за допомогою gzip алгоритм, таким чином даючи третій рівень коду PowerShell, який є фактичним бекдором. Він розділений на дві основні частини: налаштування та обробка бекдор-команд.

Основний рівень бекдор-коду також написаний у PowerShell і використовує HTTP або ICMP для зв’язку з сервером C&C. Він працює, як показано на малюнку 4.

Рисунок 4. Функціонування PowHeartBeat

конфігурація

Конфігурація містить кілька полів, у тому числі номер версії, додаткову конфігурацію проксі та адресу C&C. Таблиця 1 описує значення полів конфігурації в різних версіях, які ми спостерігали.

Таблиця 1. Значення полів конфігурації

На малюнку 5 показано приклад конфігурації, отриманої із зразка PowHeartBeat (SHA-1: 757ABA12D04FD1167528FDD107A441D11CD8C427).

Малюнок 5. Приклад конфігурації

Шифрування даних

PowHeartBeat шифрує журнали та додатковий вміст конфігураційного файлу.

Вміст файлу журналу зашифровано за допомогою багатобайтового XOR з ключем, указаним у відкритому тексті у зразку. Цікаво, clientId використовується як сіль для індексу в масиві ключів. Ключ — це 256-байтовий масив, який був ідентичним у кожному зразку, з яким ми стикалися. Додатковий вміст конфігураційного файлу шифрується за допомогою багатобайтового XOR зі значенням from SecretKey як його ключ.

C&C комунікації

PowHeartBeat використовував HTTP для зв’язку C&C до версії 2.4, а потім перейшов на ICMP. В обох випадках повідомлення не шифрується.

HTTP

У нескінченному циклі бекдор надсилає запит GET до C&C-сервера з проханням видати команду. Зашифрована відповідь розшифровується бекдором, який обробляє команду та записує вихідні дані команди у файл, вміст якого потім надсилається на сервер C&C через запит POST.

Формат запитів GET такий:

Зверніть увагу, що запит створюється з використанням однойменних полів конфігурації.

У відповіді від C&C-сервера третій байт вмісту є ідентифікатором команди, який вказує на команду, яку має обробити бекдор. Ми назвемо це command_id. Залишок вмісту відповіді буде передано як аргумент команди, яка обробляється. Цей вміст зашифровано за допомогою алгоритму, показаного на малюнку 6, taskId є значенням файлу cookie, названого на честь CookieTaskIdзначення з конфігурації.

Рисунок 6. Алгоритм шифрування даних запитів

Відповідь від C&C-сервера також містить ще один файл cookie, ім’я якого визначається бекдором CookieTerminalId змінна конфігурації. Значення цього файлу cookie повторюється в запиті POST із бекдору, і воно не повинно бути порожнім. Після виконання команди бекдора PowHeartBeat надсилає результат у вигляді запиту POST на C&C сервер. Результат надсилається у вигляді файлу з назвою .png.

ICMP

Починаючи з версії 2.4 PowHeartBeat, HTTP було замінено на ICMP, надіслані пакети мали час очікування шість секунд і нефрагментовані. Спілкування через ICMP, швидше за все, є способом уникнути виявлення.

У версіях 2.4 і пізніших суттєвих змін немає, але ми помітили деякі зміни в коді:

• PowHeartBeat надсилає пакет пульсу в кожному циклі, який містить рядок АБВГДЕЖЗІКЛМНОПРСТУФХЧШЕЮЯ, перш ніж запитувати команду. Це інформує C&C сервер, що бекдор готовий приймати команди.
• Запити на отримання команд, які виконує бекдор, містять рядок abcdefghijklmnop.

Пакети Heartbeat мають формат, описаний на малюнку 7.

Малюнок 7. Макет пакета Heartbeat

Різниця між ідентифікатор клієнта та прапор клієнта в тому, що ідентифікатор клієнта відрізняється в кожному зразку, тоді як прапор клієнта є однаковим у кожному зразку, який використовує ICMP. прапор серцебиття вказує на те, що бекдор надсилає серцебиття. Відповідь від C&C сервера має формат, описаний на малюнку 8.

Рисунок 8. Схема відповіді C&C сервера

прапор тут вказує, чи є команда для виконання бекдору. Запити на отримання команд мають формат, описаний на малюнку 9.

Малюнок 9. Макет для запитів на отримання команд

Зауважте, що режим ICMP бекдора дозволяє отримувати необмежену кількість даних, розділених на фрагменти та змінні. довжина даних, Поточна позиція та Загальна довжина використовуються для відстеження переданих даних. Відповіді на ці запити мають формат, описаний на малюнку 10.

Малюнок 10. Розкладка відповідей на запити отримання команд

Як і у відповідях HTTP, ідентифікатором команди є третій байт дані.

Після семи послідовних відповідей ICMP із порожнім або невідповідно відформатованим вмістом передачі між бекдором і сервером C&C вважаються завершеними.

Що стосується запитів на надсилання результату виданої команди на сервер C&C, режим сервера змінено на режим посту, а останній рядок (abcdefghijklmnop) змінюється для даних результату.

Команди з бекдору

PowHeartBeat має різні можливості, включаючи виконання команд/процесів і маніпуляції з файлами. У таблиці 2 перераховані всі команди, які підтримуються різними проаналізованими зразками.

Таблиця 2. Опис команд PowHeartBeat

У разі помилок на стороні бекдору, бекдор використовує ідентифікатор певної команди 0x00 у запиті POST до C&C-сервера, таким чином вказуючи на помилку.

Зауважте, що перед надсиланням інформації назад на сервер C&C дані стискаються за допомогою gzip.

PNGLoad: Стеганографічний завантажувач

PNGLoad — це корисне навантаження другого етапу, яке Worok розгортає на скомпрометованих системах і, згідно з телеметрією ESET, завантажується або CLRLoad, або PowHeartBeat. Хоча ми не бачимо жодного коду в PowHeartBeat, який безпосередньо завантажує PNGLoad, бекдор має можливості завантажувати та виконувати додаткові корисні навантаження з C&C-сервера, імовірно, саме так зловмисники розгорнули PNGLoad на системах, скомпрометованих PowHeartBeat. PNGLoad — це завантажувач, який використовує байти з файлів PNG для створення корисного навантаження для виконання. Це 64-розрядний виконуваний файл .NET, обфускований за допомогою Реактор .NET – яке маскується під законне програмне забезпечення. Наприклад, на малюнку 11 показано заголовки CLR зразка, що маскується під WinRAR DLL.

Малюнок 11. Приклад підробленої DLL WinRAR

Після деобфускації присутній лише один клас. У цьому класі є a MainPath атрибут, що містить шлях до каталогу, який бекдор шукає, включаючи його підкаталоги, для файлів з a . Png розширення, як показано на малюнку 12.

Малюнок 12. . Png список файлів

Кожен . Png файл, знайдений за цим пошуком MainPath потім перевіряється на стеганографічно вбудований вміст. Спочатку найменший біт значень R (червоний), G (зелений), B (синій) і A (альфа) кожного пікселя вибирається та збирається в буфер. Якщо перші вісім байтів цього буфера збігаються з магічним числом, зображеним на малюнку 13, а наступне восьмибайтове значення, елемент керування, не є нульовим, файл проходить перевірку стеганографічного вмісту PNGLoad. Для таких файлів обробка продовжується із розшифруванням залишку буфера за допомогою багатобайтового XOR, використовуючи ключ, збережений у PNGLoad SecretKeyBytes атрибут, а потім розшифрований буфер розпаковується gzip. Очікується, що результатом буде сценарій PowerShell, який запускається негайно.

Малюнок 13. Формат буфера, який PNGLoad створює в результаті обробки . Png файли

Цікаво, що операції, які виконує PNGLoad, реєструються у файлі, шлях до якого зберігається у змінній LogFilePath. Операції реєструються, лише якщо присутній файл, шлях до якого вказано внутрішньою змінною IfLogFilePath.

Ми не змогли отримати зразок . Png використовується разом із PNGLoad, але спосіб роботи PNGLoad передбачає, що він має працювати з дійсними файлами PNG. Щоб приховати зловмисне корисне навантаження, Worok використовує об’єкти Bitmap у C#, які лише беруть інформацію про пікселі з файлів, а не метадані файлів. Це означає, що Worok може приховувати свої зловмисні корисні навантаження в дійсних, нешкідливих на вигляд PNG-зображеннях і таким чином ховатися на виду.

Висновок

Worok — це група кібершпигунів, яка розробляє власні інструменти, а також використовує наявні інструменти для компрометації своїх цілей. Ми вважаємо, що оператори прагнуть викрадення інформації у своїх жертв, оскільки вони зосереджуються на високопоставлених організаціях в Азії та Африці, націлюючись на різні сектори, як приватні, так і державні, але з особливим акцентом на державних установах. Час дії та набір інструментів вказують на можливий зв’язок із TA428, але ми робимо цю оцінку з низькою впевненістю. Їх спеціальний набір інструментів включає два завантажувачі – один на C++ і один на C# .NET – і один бекдор PowerShell. Хоча наша видимість обмежена, ми сподіваємося, що пролиття світла на цю групу спонукатиме інших дослідників ділитися інформацією про цю групу.

МОК

Файли

Шляхи до файлів

Деякі з цих MainPath, LogFilePath та IfLogFilePath значення, які ми зустріли у зразках PNGLoad:

мережу

Мьютекси

У зразках CLRLoad імена м’ютексів, які ми зустріли, такі:

aB82UduGX0EX
ad8TbUIZl5Ga
Mr2PJVxbIBD4
oERiQtKLgPgK
U37uxsCsA4Xm
Wo0r0KGWhYGO
xBUjQR2vxYTz
zYCLBWekRX3t
3c3401ad-e77d-4142-8db5-8eb5483d7e41
9xvzMsaWqxMy

Повний список індикаторів компромісу (IoCs) та зразки можна знайти в наш сховище GitHub.

Методи MITER ATT & CK

Ця таблиця була побудована за допомогою версія 11 рамки MITER ATT & CK.