APT-C-27 (Goldmouse): атака на Близький Схід з допомогою WinRAR Exploit

1 Коментарі
APT-C-27 (Goldmouse): атака на Близький Схід з допомогою WinRAR Exploit
Позиция на странице статьи, сразу после главного изображения статьи
Джерело:

    17 березня 2019 року 360 Threat Intelligence Center відібрали зразок цільової атаки на Близький Схід, використовуючи вразливість WinRAR (CVE-2018-20250 [6]), і схоже, що атака проводиться групою APT Goldmouse (APT-С-27). Всередині архіву є документ-брехня про терористичні атаки, щоб заманити жертву распакувати архів. Коли архів розпаковується на уразливому комп'ютері, вбудований бекдор njRAT (Telegram Desktop.exe) буде витягнутий в папку автозавантаження, а потім запущений в роботу, якщо жертва перезапустить комп'ютер або виконає повторний вхід в систему. Після цього зловмисник здатний контролювати зламаний пристрій.

    Після проведення кореляційного аналізу ми підозрюємо, що група APT Goldmouse (APT-C-27), можливо, докладе руку до атаки. Крім того, ми виявляємо безліч пов'язаних прикладів для платформи Android, які замасковані під загальні програми. З огляду на те, що мова, яка використовується в шкідливому коді, є арабською, схоже, що зловмисники знайомі з арабською мовою.
    

Як бачимо тільки 35 з 66 антивірусних засобів віявили бекдор (Telegram Desktop.exe)

Аналіз зразків
Наведений нижче аналіз заснований на прикладі, що використовує уразливість WinRAR.
Приманка для розпакування.

Стиснутий архів містить підроблений документ Word з вмістом, що стосуються терористичної атаки. Люди на Близькому Сході страждають від терористичних атак, що робить їх чутливими до таких інцидентів і такі новини збільшують ймовірність розпакування.

Коли архів розпаковується на уразливому комп'ютері, вбудований бекдор буде витягнутий в папку автозавантаження:

Бекдор (Telegram Desktop.exe) буде запущений, якщо жертва перезапустить комп'ютер або виконає повторний вхід в систему.

Бэкдор (Telegram Desktop.exe)

File NameTelegram Desktop.exe
MD536027a4abfb702107a103478f6af49be
SHA25676fd23de8f977f51d832a87d7b0f7692a0ff8af333d74fa5ade2e99fec010689
Compiler.NET

Бекдор витягне дані про ресурси в файл% TEMP% \ Telegram Desktop.vbs, а потім запустить витягнутий скрипт:

Сценарій VBS декодує жорстко закодований рядок Base64 і записує декодовані файли PE в файл% TEMP% \ Process.exe:

Process.exe створить файл 1717.txt в папці% TEMP% і запише дані, які згодом будуть використовуватися Бекдор (Telegram Desktop.exe).

Бекдор (Telegram Desktop.exe) замінить спеціальні символи, зчитані з файлу 1717.txt:

Потім декодує дані через Base64 і виконує декодовані виконавчі файли безпосередньо в пам'яті:

Кінцеве корисне навантаження — це бекдор njRAT з наступними конфігураціями:

njRAT
Спочатку RAT створює м'ютекс, щоб забезпечити роботу тільки одного примірника:

Потім при необхідності копіює себе в шлях, вказаний в конфігурації:

Налаштовує змінну середовища і відключає брандмауер:

Запускає потік кейлоггера і записує висновок до реєстру:

Після цього він спілкується з C & C в іншому окремому потоці:

NjRAT надає такі функції, як віддалена оболонка, підтримка плагінів, віддалений робочий стіл, управління файлами і т. д.

Аналіз зразків Android
360 Threat Intelligence Center також виявляє безліч пов'язаних прикладів Android з однаковими C & C (82.137.255.56):

Ці останні бекдори Android замасковані під зазвичай використовувані додатки, такі як система Android і програма оновлення програмного забезпечення Office. Наведений нижче аналіз заснований на тому, що маскується під оновлення програмного забезпечення Office:

File MD51cc32f2a351927777fc3b2ae5639f4d5
File NameOfficeUpdate2019.apk

Шкідлива програма спонукатиме користувача активувати диспетчер пристроїв, потім приховати значок і запустити у фоновому режимі:

Нижче зображення буде відображатися після спонукання користувача завершити установку:

Потім зразок отримає IP-адресу і номер порту C & C через стандартний інтерфейс зберігання SharedPreferences для Android. Якщо недоступно, він декодує жорстко закодований:

Алгоритм декодування вищевказаного IP-адреси:

Жорстко закодований IP-адреса — 82.137.255.56, а пов'язаний номер порту — 1740:

При успішному підключенні до C & C він очікує команд з пульта дистанційного керування для виконання відповідних функцій, таких як запис, фотографування, позиціонування GPS і т. Д.

Нижче наведена розбивка підтримуваних команд:

Command IDFunction
16Heartbeat
17Connect
18Acquire information of a specified file
19Download file
20Upload file
21Delete file
22Copy file
23Move file
24Rename file
25Execute file
28Create directory
29Execute command from cloud
30Execute ping command
31Upload contact information
32Upload short messages
33Upload call records
34Start recording
35Stop recording and upload records
36Take a photograph
37Start GPS positioning
38Stop GPS positioning and upload records
39Use IP/Port from cloud
40Report current IP/Port
41Acquire information of installed apps

Варто відзначити, що в коді є деякі арабські рядки, які можуть вказувати, що зловмисники також знайомі з арабською мовою:

Attribution

Сервер C & C (82.137.255.56), який використовується в вищезазначеному бекдорі, використовувався APT-C-27 (Goldmouse) багато разів з 2017 року. Ми могли бачити це на 360 Bigla Platform від Netlab:
Сервер C & C також позначений 360 Threat Intelligence (ti.360.net) як платформа APT-C-27  :

З огляду на ще деякі подібності, такі як функціональність модуля, логіка коду, вбудовану мову і цільова сукупність, ми підозрюємо, що наведені вище приклади відносяться до групи APT Goldmouse (APT-C-27).
Висновок
Як ми і передбачали, все більше і більше зразків використовують уразливість WinRAR (CVE-2018-20250), а недавно виявлена атака цілі — лише крихітна вершина айсберга. 

IOCs

Malicious ACE Archive
314e8105f28530eb0bf54891b9b3ff69
Backdoor (Telegram Desktop.exe)
36027a4abfb702107a103478f6af49be
Process.exe
ec69819462f2c844255248bb90cae801
Backdoor MD5s
83483a2ca251ac498aac2abe682063da
9dafb0f428ef660d4923fe9f4f53bfc0
2bdf97da0a1b3a40d12bf65f361e3baa
1d3493a727c3bf3c93d8fd941ff8accd
6e36f8ab2bbbba5b027ae3347029d1a3
72df8c8bab5196ef4dce0dadd4c0887e
Android Sample
5bc2de103000ca1495d4254b6608967f(بو أيوب — القريتين أبو محمد.apk)
ed81446dd50034258e5ead2aa34b33ed(chatsecureupdate2019.apk)
1cc32f2a351927777fc3b2ae5639f4d5(OfficeUpdate2019.apk)
PDB Path
C:\Users\Albany\documents\visual studio 2012\Projects\New March\New March\obj\Debug\New March.pdb
C:\Users\Albany\documents\visual studio 2012\Projects\March\March\obj\Debug\March.pdb
C:\Users\Albany\documents\visual studio 2012\Projects\December\December\obj\Debug\December.pdb
C&C
82.137.255.56:1921
82.137.255.56:1994
82.137.255.56:1740

Слайдер записей slider

Комментарии 1

Предпросмотр
Завантаження...
11:09
Хотілося б звернути увагу фахівців на використання бекдора з цільовим файлом телеграм. Якщо проаналізувати користівачів проги, якось дивно, що цілі на Сході.