Grupo Buhtrap utiliza zero‑day en su última campaña de espionaje
Los investigadores de ESET también revelaron que el grupo de ciberdelincuencia ha estado realizando campañas de espionaje durante los últimos años.
El grupo Buhtrap es bien conocido por sus instituciones financieras y empresas en Rusia. Sin embargo, desde las finales de 2015, hemos probado un intercambio interesante en su lente tradicional. Es un grupo de ciberdelincuentes que vienen con los ciberdelincuentes con la lente de las dificultades financieras, su trabajo se ve afectado por el uso de malware utilizado para rescatar el espionaje en Europa y Asia Central.
En el apogeo de nuestra secuela, podemos ver a este grupo volver a la puerta trasera, así como otras herramientas, contra diferentes variaciones; pero en junio de 2019, vimos por primera vez al grupo Buhtrap usar un exploit de día cero como parte de una campaña. En este caso, estamos viendo a Buhtrap usar un exploit del escalador de privilegios local, CVE-2019-1132, contra una de las víctimas.
El exploit se basa en un privilegio local de escala de privilegios en Microsoft Windows, específicamente una referencia de punto NULL (cero) en el componente win32k.sys. Según el Centro de Responsabilidad de Seguridad de Microsoft, que se reparará rápidamente y se pondrá en marcha.
Esta publicación trata sobre la evolución de Buhtrap y su adopción de una mentalidad de espionaje.
Historia
La línea de tiempo en la Figura 1 es uno de los cambios más importantes en la actividad de Buhtrap.
Figura 1. Eventos importantes en la línea de tiempo de Buhtrap
Siempre es difícil atribuir una campaña a un actor en concreto cuando el código de la ermita está disponible gratuitamente en la web. Sin embargo, es posible que los intercambios en las lentes del grupo produzcan productos que filtren el código, cremas, sin riesgo de equívocos, cuáles son las personalidades de las personas que están detrás del ataque del malware Buhtrap contra empresas y bancos como es el objetivo de las campañas contra las instituciones provinciales.
También agrega nuevas herramientas a su arsenal y ha realizado actualizaciones de la mayoría de las antigüedades, tácticas, técnicas y procedimientos (TTP) utilizados en las diferentes campañas de Buhtrap, pero ha cambiado drásticamente en todas ellas. Todavía hacen un uso extensivo de los instaladores de NSIS como goteros y estos son entregados principalentama a través de maliciosos. Además, varias de sus herramientas están firmadas con certificados de firma de código válido y abusan de una aplicación legítima conocida para cargar lateralmente sus payloads maliciosos.
Documentos de empleados para ingresar payloads maliciosos con un mínimo de documentos con beneficios a modo de secuelas para evitar gravámenes a la intemperie. El análisis de estos documentos muestra la proporción de pistas a las que dan soporte las lentes. Cuando Buhtrap fue guiado por las empresas, los documentos se utilizaron como un signo de facturas contractuales típicas. La Figura 2 es un ejemplo típico de una factura genérica que el grupo utilizó en una campaña de 2014.
Figura 2. Documento útil en campañas contra empresas rusas.
En lo que respecta al grupo de bancos, los documentos utilizados como signo establecen relaciones con las regulaciones de las finanzas del sistema bancario de FinCERT, una organización creada por el gobierno ruso para ayudar y orientar a sus instituciones financieras en el patrón. de la figura 3).
Figura 3. Documento útil utilizado en campañas contra instituciones financieras rusas.
En su mayor parte, cuando vemos primero todos los documentos relacionados con las operaciones del gobierno, inmediatamente comenzamos a hablar de estas nuevas campañas. Una de las obras maestras más maliciosas que se mostró en diciembre se observó en diciembre de 2015. El instalador de NSIS también quería instalar la puerta trasera principal de Buhtrap, pero el documento utilizado como secuela (consulte la Figura 4) era intrigante.
Figura 4. Documento útil utilizado en campañas contra organizaciones provinciales.
Se publica la URL en el texto. Es muy similar al sitio web del Servicio Estatal de Migración de Ucrania, dmsu.gov.ua. El texto, en ucraniano, se basa en las proporciones de la información de contacto, especialmente en direcciones electrónicas. También quiero ver quién ha hecho clic en el dominio malicioso incluido en el texto.
Este es el primer ejemplo de muchos usuarios maliciosos que usan el grupo Buhtrap para conducir las instituciones provinciales que encontramos. Otros documentos posteriores, la mayoría de los cuales también se consideran distribuidos por el grupo Buhtrap, se pueden ver en la Figura 5. Un documento que atrae a una persona muy diferente, pero también relacionada con el gobierno.
Figura 5. Documentos secuenciales utilizados en campañas contra organizaciones provinciales.
Analizar las campañas que conducen a una vulnerabilidad de día cero
Las herramientas utilizadas en las campañas de espionaje son muy similares a las utilidades que utilizan las empresas e instituciones financieras. Una de las primeras muestras maliciosas que analizamos y que fueron utilizadas en ataqui dirigidos a organizaciones gubernamentales eni especificas fue una muestra con hash SHA-1 2F2640720CCE2F83CA2F0633330F13651384DD6A. Este instalador de NSIS descargará el paquete regular que contiene la puerta trasera de Buhtrap e informará el documento de continuación que se muestra en la Figura 4.
A partir de ahí, podemos ver diferentes variantes de campañas contra organizaciones provinciales de este grupo probadas en el uso de formas rutinarias de vulnerabilidad para elevar sus privilegios con el finalizador de instalar malware. En este sentido, los hemos visto explotar vulnerabilidades antiguas, como la CVE-2015-2387. Sin embargo, siempre para vulnerabilidades conocidas. La vulnerabilidad de día cero que recientemente utilizó formaba parte del mismo patrón: poder ejecutar su malware con los privilegios más altos.
A la altura de los años, el paquete ofrece paquetes con diferentes funcionalidades. Recientemente nos enteramos de los nuevos envases que pueden ser descritos por la espuma, que se debe a la combinación de electrodomésticos típicos.
Puerta trasera calefactable con giroscopio -E0F3557EA9F2BA4F7074CAA0D0CF3B187C4472FF
Este documento contiene una macro maliciosa que es habitable, gotas y un instalador de NSIS cuya tarea es preparar la instalación del backdoor principal. Sin embargo, este instalador de NSIS es muy diferente de las otras versiones utilizadas por este grupo. Es muy simple y fácil de usar para establecer la persistencia y el lanzamiento de módulos maliciosos involucrados en el correo electrónico.
El primer modelo, escrito por el autor de "grabber", es un lenguaje de contraste que funciona de forma independiente (standalone). Intención de buscar anticonceptivos de clientes, navegantes, etc., e invitar a un servidor C&C. Este módulo, que también se detecta a sí mismo como parte de una campaña de día cero, utiliza el estándar API de Windows para comunicarse con el servidor C&C.
Figura 6. Capacidades del módulo de módulo grabber.
El segundo módulo es algo especial acerca de los operadores de Buhtrap: un instalador de NSIS que contiene una aplicación legítima que se puede usar indefinidamente para cargar de forma lateral al director de puerta trasera de Buhtrap. En este caso, la aplicación legítima para el uso de AVZ, un análisis antivirus es gratuito.
Tunelización de medidor y DNS: C17C335B7DDB5C8979444EC36AB668AE8E4E0A72
Este documento contiene una macro maliciosa que, cuando se usa, elimina un instalador de NSIS que preparará la instalación principal de puerta trasera. Parte del proceso de instalación es la configuración del firewall para permitir que el componente se comunique con el servidor C&C. El siguiente es un ejemplo de un comando que utiliza el instalador de NSIS para configurar estas reglas:
cmd.exe / c netsh advfirewall firewall agregar nombre de regla = ”Realtek HD Audio Update Utility ” dir = en acción = permitir programa = ”sendero>RtlUpd.exe”habilitar=sí perfil=cualquiera
Sin embargo, la carga útil final es algo que ya no se puede asociar con Buhtrap. Cifrados en el cuerpo de las cargas útiles. El ejemplo es un pequeño descargador de shellcode, que es el segundo maestro de Metasploit. Meterpreter es un shell inverso que otorga a sus operadores acceso total al sistema comprometido.
El shell inverter de Meterpreter utiliza la DNS tunelización para comunicarse con su servidor C&C utilizando un módulo similar que se describe aquí. Detectar el DNS tunelización puede marcar la diferencia para los defensores, y todo el tráfico malicioso se realiza a través del protocolo DNS, y la diferencia entre el protocolo TCP y el normal. A continuación, se muestra un fragmento de la comunicación inicial de este módulo malicioso.
7812.reg0.4621.toor.win10.ipv6-microsoft[.]organización
7812.reg0.5173.toor.win10.ipv6-microsoft[.]organización
7812.reg0.5204.toor.win10.ipv6-microsoft[.]organización
7812.reg0.5267.toor.win10.ipv6-microsoft[.]organización
7812.reg0.5314.toor.win10.ipv6-microsoft[.]organización
7812.reg0.5361.toor.win10.ipv6-microsoft[.]organización
[…]
El dominio del dominio del servidor C&C en este ejemplo es compatible con Microsoft. Sin embargo, los atacantes registraron diferentes números de dominio para estas campañas, el alcalde de la abadía de las marcas de Microsoft de una forma en otra.
Conclusión
Si sabemos que este grupo es un cambio comercial, es un buen ejemplo de cuántos renglones diferentes se separan de los grupos de espionaje y de aquellos que participan principalmente en actividades relacionadas con la financiación financiera. En este caso, no está claro si uno o varios miembros de este grupo deciden cambiar el enfoque y por qué razones, pero definitivamente es algo que es probable que en el futuro veamos más.
Indicadores de compromiso (IoC)
Números de detección de ESET
VBA/TrojanDropper.Agent.ABM
VBA/TrojanDropper.Agent.AGK
Win32 / Spy.Buhtrap.W
Win32 / Spy.Buhtrap.AK
Win32 / RiskWare.Meterpreter.G
Muestras de malware
Paquetes principales SHA-1
2F2640720CCE2F83CA2F0633330F13651384DD6A
E0F3557EA9F2BA4F7074CAA0D0CF3B187C4472FF
C17C335B7DDB5C8979444EC36AB668AE8E4E0A72
Agarrador SHA-1
9c3434ebdf29e5a4762afb610ea59714d8be2392
servidores C&C
https: // hdfilm-seyret[.]com/ayuda/index.php
https://redmond.corp-microsoft[.]com/ayuda/index.php
dns: //win10.ipv6-microsoft[.]organización
https: // servicios-glbdns2[.]com / FIGm6uJx0MhjJ2ImOVurJQTs0rRv5Ef2UGoSc
https: // telemetría segura[.]red / wp-login.php
Certificados
| Nombre de empresa | Huella dactilar |
|---|---|
| YUVA-TRAVEL | 5e662e84b62ca6bdf6d050a1a4f5db6b28fbb7c5 |
| CONJUNTO Y CO LIMITADO | b25def9ac34f31b84062a8e8626b2f0ef589921f |
| Táctico | IDENTIFICACIÓN | Nombre | Descripción |
|---|---|---|---|
| Ejecución | T1204 | Ejecución del usuario | El usuario debe ejecutar el ejecutable. |
| T1106 | Ejecución a través de API | Ejecuta malware adicional a través de CreateProcess. | |
| T1059 | Interfaz de línea de comandos | Algunos paquetes proporcionan acceso al shell de Meterpreter. | |
| Persistencia | T1053 | Tarea programada | Algunos de los paquetes crean una tarea programada para ejecutarse periódicamente. |
| Evasión de defensa | T1116 | Firma de código | Algunas de las muestras están firmadas. |
| Acceso a Credenciales | T1056 | Captura de entrada | La puerta trasera contiene un keylogger. |
| T1111 | Intercepción de autenticación de dos factores | Backdoor busca activamente una tarjeta inteligente conectada. | |
| Colección | T1115 | Datos del portapapeles | Backdoor registra el contenido del portapapeles. |
| exfiltración | T1020 | Exfiltración automatizada | Los archivos de registro se filtran automáticamente. |
| T1022 | Datos encriptados | Los datos enviados a C&C están encriptados. | |
| T1041 | Exfiltración sobre el canal de comando y control | Los datos extraídos se envían a un servidor. | |
| Comando y control | T1043 | Puerto de uso común | Se comunica con un servidor mediante HTTPS. |
| T1071 | Protocolo de capa de aplicación estándar | Se utiliza HTTPS. | |
| T1094 | Protocolo de comando y control personalizado | Meterpreter está utilizando túneles DNS para comunicarse. | |
| T1105 | Copia remota de archivos | Backdoor puede descargar y ejecutar archivos desde el servidor C&C. |
Deja una respuesta