Okrum: una puerta trasera del grupo Ke3chang utilizada para atacar misiones diplomáticas
Inversionistas de ESET descubren nuevas versiones de familias de malware asociadas al grupo APT Ke3chang, así como un backdoor que no tiene que reportar hacia atrás, sirve para atacar misiones diplomáticas en Eslovaquia, Bélgica y Chile, Chile, Chile, Chile
En este artículo, resumimos las publicaciones completas de nuestro libro blanco completo "Okrum y Ketrican: una descripción general de la actividad reciente del grupo Ke3chang".
El grupo ke3chang también conocido como APT15, es un grupo de personas que trabajan en China. Sus actividades se revisaron en 2010 en el informe de 2013 de la operación abierta Ke3chang de FireEye, una campaña de espionaje cibernético dirigida por organizaciones diplomáticas en Europa.
Estamos en una relación con actividades maliciosas relacionadas con este actor malicioso y descubrimos una familia de malware que no se ha registrado antes y que ha estado presente en el pasado con el grupo Ke3chang: un backdoor que llamamos Okrum. Siguiendo la telemetría de ESET, Okrum fue detectado por ejemplo en diciembre de 2016 y durante 2017, así como misiones diplomáticas blancas en Eslovaquia, Bélgica, Chile, Guatemala y Brasil en 2017.
Además, de 2015 a 2019 detectamos nuevas versiones de familias de malware atribuidas al grupo Ke3chang: backdoors BS2005 de la operación Ke3chang y el malware RoyalDNS, reportado por el Grupo NCC en 2018.
Nota: Las nuevas versiones de malware de la operación Ke3chang del período 2015-2019 son detectadas por productos de ESET como Win32/Ketrican y hacen referencia a estos colectivos como backdoors/muestras Ketrican, y sus marcas se encuentran en el libro blanco y en este artículo.
2015: Ketricán
En 2015, identificamos nuevas actividades en países europeos. El grupo de ataques a paresis tiene especial interés en Eslovaquia, donde se detecta gran parte de los maestros fundadores de malware; Croacia, República Checa y otros países también se ven afectados.
Nuestro análisis de la técnica de malware utilizada en estos ataques revela vénculos estrechos con los backdoors BS2005 de Operation Ke3chang y con una familia relacionada con el malware TidePool encontrado por Palo Alto Networks en 2016 que ha estado contra India desde su ataque.
2016-2017: Okrum
La historia continuó en las finales de 2016, cuando descubrimos una nueva puerta trasera, descubierta precozmente, con lo que llamamos Okrum. Los actores maliciosos detrás del malware Okrum estaban enfocados en los mismos blancos de Eslovaquia que fueron atacados anteriormente por los backdoors Ketrican 2015.
2017: Ketrican y RoyalDNS
Recomendamos conectar los puntos cuando descubrimos que la puerta trasera Okrum se usó para colocar una puerta trasera Ketrican, que es una compilación de datos de 2017.
En 2017, los misterios de las entidades que fueron afectadas por el malware Okrum (y las puertas traseras de Ketrican en 2015) se actualizaron recientemente en las lentes de los actores maliciosos. En este, los atacantes utilizaron nuevas versiones del malware RoyalDNS y un Ketrican de puerta trasera de 2017.
2018: Ketricán
En 2018, encontraremos una nueva versión del backdoor Ketrican, que presentará algunos de los mejores en el código.
2019: Ketricán
El grupo activo en 2019: en marzo de 2019 detectaremos una nueva muestra de Ketrican, que presentará una evolución respecto al backdoor Ketrican de 2018, cuyo uso atacará los objetivos objetivos del backdoor de 2018.
Esta es la línea de tiempo de los eventos que los atacantes, si son atacados, están en medio del tipo de lente, están usando diferentes diferencias de malignidades conjuntivales para comprometer a las personas. En el proceso, expuso Okrum, un proyecto previamente descubierto. La Figura 1 muestra las relaciones de ESET relacionadas con nuestra inversión en el contexto de las actividades activas de Ke3chang.
Figura 1. Línea de tiempo de actividad activa del grupo Ke3chang y relaciones relacionadas con ESET con nuestra inversión
Nuestra inversión demostró que las puertas traseras de Ketrican, Okrum y RoyalDNS detectadas por ESET desde 2015 están abiertas a las actividades del Grupo Ke3chang, que están bien documentadas y varían. Estas son las conexiones más importantes:
- Los backdoors Catherine de 2015, 2017, 2018 y 2019 evolucionaron respecto al malware utilizado en la Operación Ke3chang
- El RoyalDNS de puerta trasera detectado por ESET en 2017 es similar al RoyalDNS de puerta trasera utilizado en ataques previos al ataque
- Okrum está vinculado a los backdoors Ketrican al haber sido utilizado para droppear un backdoor Ketrican compilado en 2017
- Okrum, Ketrican y RoyalDNS admiten el tipo de organización. Algunas de las entidades afectadas en Okrum también fueron atacadas con uno de los backdoors Ketrican/RoyalDNS
- Okrum tiene un modus operandi similar a los malware previamente documentados de Ke3chang (está equipado con una serie de comandos de backdoor bassicos y se apoya en comandos shell escritos de forma manual).
Distribución y espacios en blanco
Siguiendo nuestra telemetría, Okrum se usa para atacar misiones diplomáticas en Eslovaquia, Bélgica, Chile, Guatemala y Brasil, y para atacar los intereses más interesantes e interesantes en Eslovaquia.
Los operadores de malware estarán interesados en el tráfico de personas malintencionadas con un servidor C&C dentro del tráfico regular de nombres registrados regulares de legitimidad dominante. Por ejemplo, los usuarios que usan lentes eslovacos se comunican con un dominio que simula un portal de mapas eslovaco (support.slovakmaps [.] COM). Un método de uso similar se utiliza en una muestra detectada en un país hispano de las Américas de los Estados Unidos: los operadores utilizan un número de dominancia que se traduce como “apoyo misionero” en español (missions.soportesisco [.] COM).
La forma en que se distribuye el malware, a excepción de las máquinas que son blancas, es un requisito previo para responder.
Detalles técnicos
El backdoor Okrum es una biblioteca dinámica que instala y carga los componentes del escenario frontal. Debido a nuestra inversión, la implementación de estos componentes es un cambio con frecuencia. Cada mes, los autores cambian la forma de activación de los componentes del instalador y el cargador de Okrum para evitar la detección. Al momento de la publicación de este artículo, los sistemas de ESET han detectado diversas variantes de carga y las versiones del instalador, además de la funcionalidad que brinda el mouse.
La carga útil de Okrum está encerrada en un archivo PNG. Cuando vea el archivo en una imagen de visor, muestre una imagen familiar, que se puede ver en la Figura 2, pero los cargadores de Okrum se pueden ubicar en un archivo adicional que nos permite usarlo. Esta técnica de eseganografía está destinada a que los actores malintencionados pasen por el proceso y eviten ser detectados.
Figura 2. Una imagen PNG con un dígito malicioso DLL encerrado dentro
Disfrutando de la funcionalidad, Okrum solo está equipado con controles básicos de puerta trasera, como cargar y descargar archivos, ejecutar archivos y comandos de shell. La mayor parte de la actividad maliciosa se puede realizar escribiendo comandos desde el shell manualmente o durante la ejecución de otras herramientas y software. Esta es una práctica común al grupo Ke3chang, que también se lleva a cabo en el futuro en la información de Intezer y NCC Group, que monitorea la actividad del grupo Ke3chang.
Hecho, hemos detectado que Okrum abusa de varias herramientas externas, como un keylogger, herramientas para volcar contraseñas o enumerar sesion de red. El backdoor de Ketrican que detectamos desde 2015 hasta 2019 utilizaban utilidades similares. Solo podemos adivinar por qué el actor Ke3chang usa esta técnica -tal vez la combinación de un backdoor simple y herramientas externas se adaptan completamente a sus necesidades, ya que si bien puede que sean fáciles de desarrollar; también puede optar por entrar en la detección de compartimentos.
Las técnicas de evacuación de detección que se observan en el malware Okrum incluyen carga maliciosa dentro de una imagen PNG legítima, emplean varios trucos anti-emulación y anti-sandbox, así como implementan cambios de frecuencia en la implementación.
Nuestro análisis de las vides con el malware Ke3chang previamente documentado y la puerta trasera Okrum recién descubierta nos permite afirmar con total confianza que Okrum es operado por el grupo Ke3chang. Puedes documentar la actividad del grupo Ke3chang desde 2015 hasta 2019, estamos de acuerdo con la conclusión de que el grupo está constantemente activo y necesitamos mejorar nuestro código de tiempo.
Los números de detección de ESET y otros indicadores de compromiso para estas campañas se pueden encontrar en la información completa: "Okrum y Ketrican: una descripción general de la actividad reciente del grupo Ke3chang".
| Táctico | IDENTIFICACIÓN | Nombre | Descripción |
|---|---|---|---|
| Ejecución | T1059 | Interfaz de línea de comandos | Usos de puerta trasera de Okrum cmd.exe para ejecutar comandos arbitrarios. |
| T1064 | secuencias de comandos | La puerta trasera utiliza secuencias de comandos por lotes para actualizarse a una versión más nueva. | |
| T1035 | Ejecución del servicio | El cargador de la Etapa 1 crea un nuevo servicio llamado NtmsSvc para ejecutar la carga útil. | |
| Persistencia | T1050 | Nuevo servicio | Para establecer la persistencia, Okrum se instala como un nuevo servicio llamado NtmSsvc. |
| T1060 | Claves de ejecución del registro/carpeta de inicio | Okrum establece la persistencia creando un acceso directo .lnk a sí mismo en el Puesta en marcha carpeta. | |
| T1053 | Tarea programada | El componente del instalador intenta lograr la persistencia creando una tarea programada. | |
| T1023 | Modificación de acceso directo | Okrum establece la persistencia creando un acceso directo .lnk a sí mismo en el Puesta en marcha carpeta. | |
| Escalada de privilegios | T1134 | Manipulación de tokens de acceso | Okrum puede suplantar el contexto de seguridad de un usuario conectado mediante una llamada al ImpersonateLoggedOnUser API. |
| Evasión de defensa | T1140 | Desofuscar / Decodificar archivos o información | El cargador de la Etapa 1 descifra el código de puerta trasera, incrustado dentro del cargador o dentro de un archivo PNG legítimo. Se utiliza un cifrado XOR personalizado o RC4 para el descifrado. |
| T1107 | Eliminación de archivos | La puerta trasera de Okrum elimina los archivos después de que se hayan cargado correctamente en los servidores de C&C. | |
| T1158 | Archivos y directorios ocultos | Antes de la exfiltración, la puerta trasera de Okrum utiliza archivos ocultos para almacenar registros y resultados de los comandos de la puerta trasera. | |
| T1066 | Eliminación de indicadores de herramientas | Okrum se sometió a mejoras técnicas regulares para evadir la detección antivirus. | |
| T1036 | enmascarado | Okrum establece la persistencia al agregar un nuevo servicio NtmsSvc con el nombre para mostrar Almacenamiento extraíble en un intento de hacerse pasar por un administrador de almacenamiento extraíble legítimo. | |
| T1027 | Archivos o información ofuscados | La carga útil de Okrum está encriptada e incrustada dentro del cargador de la Etapa 1, o dentro de un archivo PNG legítimo. | |
| T1497 | Virtualización / Evasión Sandbox | El cargador de la Etapa 1 realiza varias comprobaciones en la máquina de la víctima para evitar que se emule o se ejecute en un entorno limitado. | |
| Acceso a Credenciales | T1003 | Volcado de credenciales | Se vio a Okrum usando MimikatzLite y Quarks PwDump modificados para realizar el volcado de credenciales. |
| Descubrimiento | T1083 | Descubrimiento de archivos y directorios | Se vio a Okrum usando DriveLetterView para enumerar la información de la unidad. |
| T1082 | Descubrimiento de información del sistema | Okrum recopila el nombre de la computadora, la información de la configuración regional y la información sobre el sistema operativo y la arquitectura. | |
| T1016 | Descubrimiento de la configuración de la red del sistema | Okrum recopila información de la red, incluida la dirección IP del host, el DNS y la información del proxy. | |
| T1049 | Detección de conexiones de red del sistema | Okrum usó NetSess para descubrir sesiones de NetBIOS. | |
| T1033 | Propietario del sistema/Detección de usuarios | Okrum recopila el nombre de usuario de la víctima. | |
| T1124 | Descubrimiento de la hora del sistema | Okrum puede obtener la fecha y hora del sistema comprometido. | |
| Colección | T1056 | Captura de entrada | Okrum fue visto usando una herramienta de registro de teclas para capturar pulsaciones de teclas. |
| exfiltración | T1002 | Datos comprimidos | Okrum fue visto usando una herramienta de archivado RAR para comprimir datos. |
| T1022 | Datos encriptados | Okrum usa encriptación AES y codificación base64 de archivos antes de la exfiltración. | |
| T1041 | Exfiltración sobre el canal de comando y control | La exfiltración de datos se realiza utilizando el canal ya abierto con el servidor C&C. | |
| Comando y control | T1043 | Puerto de uso común | Okrum usa el puerto 80 para C&C. |
| T1090 | Proxy de conexión | Okrum identifica un servidor proxy, si existe, y lo utiliza para realizar solicitudes HTTP. | |
| T1132 | Codificación de datos | La comunicación con el servidor C&C está codificada en base64. | |
| T1001 | Ofuscación de datos | La comunicación con el servidor C&C está oculta en el Galleta y conjunto de galletas encabezados de solicitudes HTTP. | |
| T1071 | Protocolo de capa de aplicación estándar | Okrum usa HTTP para comunicarse con su C&C. | |
| T1032 | Protocolo criptográfico estándar | Okrum usa AES para encriptar el tráfico de red. La clave se puede codificar o negociar con el servidor C&C en la fase de registro. |
Deja una respuesta