Ataque que explota el servicio legítimo por parte de APT-C-60 – JPCERT/CC Eyes

diciembre 13, 2024

JPCERT/CC ha confirmado un ataque contra una organización en Japón en agosto de 2024, que probablemente haya llevado a cabo el grupo de ataque APT-C-60. El atacante envió un correo electrónico haciéndose pasar por un solicitante de empleo al punto de contacto de contratación de la organización objetivo para infectar sus dispositivos con malware. Este artículo explica los métodos de ataque de la siguiente manera:

Flujo de infección de malware
Análisis del descargador.
Análisis de la puerta trasera.
Campañas que involucran el mismo tipo de malware.

Flujo de infección de malware

La Figura 1 muestra una descripción general de la penetración inicial.

Figura 1: Flujo de la penetración inicial.

En este ataque, inicialmente se envió un correo electrónico dirigido y se llevó a la víctima a descargar un archivo desde un enlace de Google Drive en el correo electrónico. Cuando acceden a la URL, se descarga un archivo VHDX que contiene malware. VHDX es un formato de archivo utilizado para discos virtuales y, al montarlo, puede verificar los archivos contenidos. El archivo VHDX utilizado en este ataque contenía archivos LNK y documentos señuelo, como se muestra en la Figura 2.

Figura 2: Contenido del archivo VHDX

El archivo LNK Self-Introduction.lnk ejecuta IPML.txt utilizando el archivo ejecutable legítimo git.exe (Figura 3).

Figura 3: Contenido de Self-Introduction.lnk

Además, IPML.txt abre el documento señuelo y crea SecureBootUEFI.dat, que es un descargador, y lo hace persistente (Figura 4). El descargador se vuelve persistente mediante el secuestro de COM, que registra la ruta a SecureBootUEFI.dat en el ID de la interfaz COM. F82B4EF1-93A9-4DDE-8015-F7950A1A6E31.

Saber más Se corrigieron vulnerabilidades en GitLab CE/EE (AL06/241113/CSIRT-ITA)

Figura 4: Contenido de IPML.txt

Análisis del descargador.

La Figura 5 muestra una descripción general del comportamiento del descargador.

Figura 5: Descripción general del comportamiento del descargador

SecureBootUEFI.dat accede a los servicios legítimos Bitbucket y StatCounter. A este último se accede primero y el atacante lo utiliza para comprobar el dispositivo infectado. Después de la confirmación, el atacante carga el descargador en Bitbucket. El dispositivo infectado registra su información única en el referente de StatCounter, como se muestra en la Figura 6, y por lo tanto el atacante probablemente reconoce cada dispositivo infectado basándose en esta información. La referencia contiene el nombre de la computadora, el directorio de inicio y una cadena que se crea combinando el nombre de la computadora y el nombre de usuario, eliminando todos los caracteres no alfabéticos y luego codificándolos con XOR 3. Después de eso, SecureBootUEFI.dat accede a Bitbucket usando el Ruta URL que contiene la cadena de codificación incluida en la referencia, descarga Service.dat y lo decodifica usando la clave XOR g73qrc4dwx8jt9qmhi4slo guarda en %Userprofile%\AppData\Local\Microsoft\Windows\Shell\Service.dat y luego lo ejecuta.

Figura 6: Flujo de comunicación de SecureBootUEFI.dat

A continuación, Service.dat descarga dos muestras de un repositorio de Bitbucket diferente al de SecureBootUEFI.dat. Los ejemplos descargados son cbmp.txt e icon.txt, y se decodifican y guardan como cn.dat y sp.dat en %userprofile%\appdata\local\Microsoft\windows\fonts usando Base64 y la clave XOR. AadDDRTaSPtyAG57er#$ad!lDKTOPLTEL78pE. Después de eso, mediante el secuestro de COM utilizando el ID de la interfaz COM 7849596a-48ea-486e-8937-a2a3009f31a9 Como se muestra en la Figura 7, cn.dat se vuelve persistente.

Figura 7: Hacer que Service.dat sea permanente

Finalmente, cn.dat ejecuta sp.dat.

Análisis de la puerta trasera.

La puerta trasera utilizada en este caso se llama SpyGrace de ESET.[1] El archivo de configuración incluido en la puerta trasera contiene información de la versión y la muestra que verificamos muestra la versión como v3.1.6. SpyGrace v3.0 fue informado por ThreatBook CTI[2]y hemos confirmado que sus tipos de comandos, teclas RC4, teclas AES y otros componentes son idénticos a los de las muestras que confirmamos esta vez. En la fase de reinicio de la puerta trasera, se ejecuta lo siguiente.

Restablecer configuración
Crear exclusión mutua (905QD4656:H)
Verifique la conectividad de la red (api.ipfy[.]organización)
Ejecute archivos .exe, .dat, .db, .ext en %appdata%\Microsoft\Vault\UserProfileRoaming

Saber más Actividades maliciosas vinculadas al conjunto de intrusión de Nobelium (19 de junio de 2024)

Además, algunos de los procesos en esta fase se realizaron utilizando la función initterm de CRT y se realizaron antes de que se ejecutara la función DllMain.

Figura 8: Configuración inicial usando la función initterm

Los comandos de puerta trasera y las URL C2 se enumeran en el Apéndice A.

Campañas que involucran el mismo tipo de malware.

De agosto a septiembre de 2024, los proveedores de seguridad y otros publicaron informes sobre el mismo tipo de malware. [1] [3] Todas estas campañas tienen características comunes, como el abuso de servicios legítimos como Bitbucket y StatCounter, y la persistencia del malware mediante el secuestro de COM. Además, los documentos señuelo encontrados en la papelera de reciclaje del archivo VHDX utilizado en este ataque sugieren que es posible que se hayan llevado a cabo ataques similares en países del este de Asia, incluidos Japón, Corea del Sur y China, que corresponden a los países objetivo de los ataques en otros informes.

Figura 9: Ejemplo de otros documentos señuelo encontrados en la papelera

En cierre

Este ataque requiere especial atención porque explota servicios legítimos como Bitbucket y StatCounter, y también porque apunta a países del este de Asia, incluido Japón. Los ejemplos y servidores C2 de este ataque se enumeran en el Apéndice.

Tomoya Kamei (Traducido por Takumi Nakano)

Referencias

[1] Investigación de ESET: grupo de espías explota el día cero de WPS Office; El análisis descubre una segunda vulnerabilidad.

https://www.eset.com/int/about/newsroom/press-releases/research/eset-research-spy-group-exploits-wps-office-zero-day-analysis-uncovers-a- second-vulnerability/

[2] ThreatBook CTI: Análisis del ataque APT-C-60 a Corea del Sur

https://threatbook.io/blog/Analysis-of-APT-C-60-Attack-on-South-Korea

[3] Equipo de inteligencia avanzada sobre amenazas 404: Inteligencia sobre amenazas DarkHotel APT Organization Observer Análisis de ataques troyanos
https://mp.weixin.qq.com/s/qsgzOg-0rZfXEn4Hfj9RLw

Apéndice A: Comandos de puerta trasera y URL para C2

Tabla 1: Comando
Dominio	Función
cd	Mover al directorio especificado
tierra	Lista de los archivos en el directorio.
bien	Eliminar archivo y directorio
ld	Cargue DLL y llame usando GetProcAddress
adjuntar	Cargar DLL
detalles	Llame a StopThread para el módulo especificado
proclista	Obtener una lista de procesos
procspawn	Iniciar proceso
prokill	Detener proceso
información del disco	Obtener información del disco
descargar	Descargar archivo cifrado
libre	Descargar archivo sin cifrar
carga de pantalla	Subir captura de pantalla
pantalla automática	Enviar captura de pantalla automáticamente
subir	Subir archivo
cmd	shell remoto

Saber más Organizaciones finlandesas atacadas por el ransomware Akira

Tabla 2: URL C2
URL C2
PUBLICAR http[:]//103.187.26[.]176/a78550e6101938c7f5e8bfb170db4db2/command.asp
PUBLICAR http[:]//103.187.26[.]176/a78550e6101938c7f5e8bfb170db4db2/actualización.asp
PUBLICAR http[:]//103.187.26[.]176/a78550e6101938c7f5e8bfb170db4db2/resultado.asp
PUBLICAR http[:]//103.187.26[.]176/a78550e6101938c7f5e8bfb170db4db2/servidor.asp
OBTENER http[:]//103.187.26[.]176/a78550e6101938c7f5e8bfb170db4db2/escucha.asp

Apéndice B: información C2

103.6.244.46
103.187.26.176
https[:]//c.statcounter[.]es/12959680/0/f1596509/1/
https[:]//c.statcounter[.]es/13025547/0/0a557459/1/
https[:]//bitbucket[.]org/hawnbzsd/hawnbzsd/descargas
https[:]//bitbucket[.]org/hawnbzsd/hawnbzsd31/descargas
https[:]//bitbucket[.]org/ffg84883/3r23ruytgfdxz/raw/8ebddd79bb7ef1b9fcbc1651193b002bfef598fd/cbmp.txt
https[:]//bitbucket[.]org/ffg84883/3r23ruytgfdxz/raw/8ebddd79bb7ef1b9fcbc1651193b002bfef598fd/icon.txt
https[:]//bitbucket[.]org/ffg84883/3r23ruytgfdxz/raw/8ebddd79bb7ef1b9fcbc1651193b002bfef598fd/rapd.txt

Apéndice C: Valor hash del malware

fd6c16a31f96e0fd65db5360a8b5c179a32e3b8e
4508d0254431df5a59692d7427537df8a424dbba
7e8aeba19d804b8f2e7bffa7c6e4916cf3dbee62
c198971f84a74e972142c6203761b81f8f854d2c
6cf281fc9795d5e94054cfe222994209779d0ba6
cc9cd337b28752b8ba1f41f773a3eac1876d8233
5ed4d42d0dcc929b7f1d29484b713b3b2dee88e3
8abd64e0c4515d27fae4de74841e66cfc4371575
3affa67bc7789fd349f8a6c9e28fa1f0c453651f
fadd8a6c816bebe3924e0b4542549f55c5283db8
4589b97225ba3e4a4f382540318fa8ce724132d5
1e5920a6b79a93b1fa8daca32e13d1872da208ee
783cd767b496577038edbe926d008166ebe1ba8c
79e41b93b540f6747d0d2c3a22fd45ab0eac09ab
65300576ba66f199fca182c7002cb6701106f91c
d94448afd4841981b1b49ecf63db3b63cb208853
b1e0abfdaa655cf29b44d5848fab253c43d5350a
33dba9c156f6ceda40aefa059dea6ef19a767ab2
5d3160f01920a6b11e3a23baec1ed9c6d8d37a68
0830ef2fe7813ccf6821cad71a22e4384b4d02b4

Source link