SentinelLabs odkrył klaster działań ukierunkowanych na sektor telekomunikacyjny w Azji Środkowej, wykorzystujący narzędzia i TTP (taktyka, technika i procedura) powszechnie kojarzone z chińskimi grupami APT. Hakerzy systematycznie wykorzystywali oprogramowanie dystrybuowane przez dostawców zabezpieczeń do bocznego ładowania wariantów ShadowPad (to prywatnie sprzedawana modułowa platforma złośliwego oprogramowania — a nie platforma otwartego ataku — z wtyczkami sprzedawanymi osobno) i PlugX (rodzina złośliwego oprogramowania RAT – Remote Access Trojan, która istnieje od 2008 roku i jest wykorzystywana jako backdoor do przejęcia pełnej kontroli nad maszyną ofiary. Po zainfekowaniu urządzenia osoba atakująca może zdalnie wykonywać polecenia w zaatakowanym systemie). Niektóre działania częściowo pokrywają się z grupami takimi jak RedFoxtrot i Nomad Panda. SentinelOne nazywa tę grupę jako „Moshen Dragon”. Zwykle dobre wykrywanie ma odwrotną zależność z widocznością wzorca działań TTP grupy cyberprzestępczej. Gdy część łańcucha infekcji zostanie wykryta, zwykle oznacza to, że nie można zobaczyć, co podmiot zagrożenia zamierzał wdrożyć lub ostatecznie zrobić. Wykryte zostały nietypowe TTP, ponieważ Moshen Dragon wielokrotnie próbował ominąć to wykrycie. Za każdym razem, gdy zamierzony ładunek był blokowany, zaobserwowano, jak haker polega na szerokiej gamie legalnego oprogramowania wykorzystywanego do bocznego ładowania wariantów ShadowPad i PlugX. Wiele z tych programów należy do producentów zabezpieczeń, w tym Symantec, TrendMicro, BitDefender, McAfee i Kaspersky. Zamiast krytykować którykolwiek z tych produktów za ich nadużywanie przez cyberprzestępcę, SentinelOne wskazuje, że ten wektor ataku odzwierciedla odwieczną wadę projektową systemu operacyjnego Windows, która umożliwia przejmowanie kolejności wyszukiwania DLL. Śledzenie dodatkowych mechanizmów ładowania Moshen Dragon i przejętego oprogramowania ujawniło więcej ładunków przesłanych do VirusTotal, z których niektóre zostały niedawno opublikowane pod nazwą „ Talisman ”. Oprócz ShadowPad i wariantu PlugX Talisman, Moshen Dragon wdrożył wiele innych narzędzi, w tym pakiet powiadomień LSA do zbierania danych uwierzytelniających i pasywny program ładujący nazwany przez Avast GUNTERS. Mimo całej widoczności SentinelOne nadal nie jest w stanie określić głównego wektora infekcji. Następuje wykorzystanie znanych narzędzi hakerskich, skryptów red team oraz próby ruchu bocznego na klawiaturze i eksfiltracji danych. SentinelOne skoncentrował się na uporczywym nadużywaniu przez hakera różnych produktów antywirusowych w celu załadowania złośliwych ładunków, próby „bruteforce”, które nie zostałyby wykryte przez tradycyjne rozwiązania SOC i MDR.
Hakerzy z grupy Moshen Dragon systematycznie nadużywali oprogramowania zabezpieczającego w celu przejęcia kontroli nad kolejnością wyszukiwania plików DLL . Przejęta biblioteka DLL jest z kolei używana do odszyfrowania i załadowania końcowego ładunku, przechowywanego w trzecim pliku znajdującym się w tym samym folderze. Ta kombinacja jest rozpoznawana jako triada sideloading, technika powszechnie kojarzona z Lucky Mouse. Sposób rozmieszczenia ładunków, a także inne działania w sieciach docelowych sugerują, że podmiot atakujący używa IMPACKET do ruchu bocznego. Po wykonaniu niektóre ładunki osiągają trwałość poprzez utworzenie zaplanowanego zadania lub usługi.
Przepływ wykonywania przejętego oprogramowania przez Moshen Dragon
Ponieważ główne fragmenty aktywności Moshen Dragon zostały zidentyfikowane i zablokowane, cyberprzestępca konsekwentnie wdrażał nowe złośliwe oprogramowanie, używając pięciu różnych produktów zabezpieczających do bocznego łądowania wariantów PlugX i ShadowPad. Podsumowanie przechwyconego oprogramowania przedstawia poniższa tabela:
Produkt | Ścieżka |
Symantec SNAC | C:\Windows\AppPatch, C:\ProgramData\SymantecSNAC, C:\ProgramData\Symantec\SNAC, C:\Windows\Temp |
TrendMicro Platinum Watch Dog | C:\Windows\AppPatch |
Narzędzie BitDefender SSL Proxy | C:\ProgramData\Microsoft\Windows, C:\ProgramData\Microsoft\Windows\LfSvc, C:\ProgramData\Microsoft\Windows\WinMSIPC, C:\ProgramData\Microsoft\Windows\ClipSVC, C:\ProgramData\Microsoft\Wlansvc , C:\ProgramData\Microsoft\Windows\Ringtones |
Agent McAfee | C:\ProgramData\McAfee, C:\ProgramData\Microsoft\WwanSvc, C:\ProgramData\Microsoft\WinMSIPC |
Kaspersky Anti-Virus Launcher | C:\ProgramData\Microsoft\XboxLive, C:\programdata\GoogleUpdate |
Imppacket to zbiór klas Pythona do pracy z protokołami sieciowymi, powszechnie używanymi przez cyberprzestępców do ruchu bocznego. Jednym z ulubionych narzędzi w arsenale Imppacket jest wmiexec, który umożliwia zdalne wykonywanie kodu za pośrednictwem WMI. Skutecznym sposobem identyfikacji wykonania wmiexec jest wyszukiwanie tworzonego przez nie unikalnego wzorca wiersza poleceń. Działania Moshen Dragon są zgodne z tym wzorcem.
Zidentyfikowany przez agenta SentinelOne ruch boczny za pomocą Imppacket
Na kontrolerach domeny Moshen Dragon upuścił filtr haseł i załadował go do procesu lsass za pośrednictwem pakietów powiadomień LSA. Imppacket jest używany w następujący sposób:
cmd.exe /Q /c REG ADD „HKLM\SYSTEM\CurrentControlSet\Control\Lsa” /v „Pakiety powiadomień” /t REG_MULTI_SZ /d „rassfm\0scecli\0SecureFilter” /f 1 > \\ 127.0 . 0 . 1 \ADMIN$\_ _ [ZMIENIONO] 2 >& 1
Wdrożona biblioteka DLL jest lokowana w ścieżce C:\Windows\System32\SecureFilter.dll, aby umożliwić ładowanie przy użyciu funkcji pakietu powiadomień. Biblioteka DLL wydaje się opierać na projekcie typu open source o nazwie DLLPasswordFilterImplant, skutecznie zapisując w pliku zmienione hasła użytkowników C:\Windows\Temp\Filter.log.
Fragment SecureFilter.dll
Podczas analizy działań Moshen Dragona, SentinelOne natknął się na pasywnego loadera, nazywanego przez Avast „GUNTERS”. Ten backdoor sprawdza, czy jest wykonywany na właściwej maszynie. Przed uruchomieniem złośliwe oprogramowanie oblicza skrót nazwy hosta maszyny i porównuje go z zakodowaną na stałe wartością, co sugeruje, że podmiot atakujący generuje inną bibliotekę DLL dla każdej maszyny docelowej. Moduł ładujący wykorzystał WinDivert do przechwytywania ruchu przychodzącego, szukając ciągu znaków w celu zainicjowania procesu odszyfrowywania przy użyciu niestandardowego protokołu. Po zakończeniu procesu deszyfrowania złośliwe oprogramowanie próbuje załadować plik PE z wyeksportowaną funkcją o nazwie SetNtApiFunctions, którą wywołuje w celu uruchomienia złośliwego kodu.
Wyeksportowane funkcje wewnętrznego zasobu GUNTERS wykorzystywanego w procesie ładowania
SentinelLabs natrafił na dodatkowe powiązane artefakty nakładające się na ten klaster zagrożeń. Możliwe, że niektóre z nich zostały wykorzystane przez Moshen Dragona lub pokrewną grupę.
Nazwa pliku | SHA1 | C&C |
SNAC.log | e9e8c2e720f5179ff1c0ac30ce017224ac0b2f1b | freewula.strangled.net szuunet.strangled.net |
SNAC.log | b6c6c292cbd35298a5f055448177bcfd5d0b23bf | final.staticd.dynamic-dns.net |
SNAC.log | 2294ecbbb065c517bd0e01f3f01aabd0a0402f5a | dhsg123.jkub.com |
bdch.tmp | 7021a62b68751b7a3a2984b2996139aca8d19fec | greenhugeman.dns04.com |
Po przeanalizowaniu tych ładunków okazało się, że są to dodatkowe warianty PlugX i ShadowPad. SNAC.log ładunki zostały zidentyfikowane przez innych badaczy jako Talisman, który znany jest jako kolejny wariant PlugX . Ponadto bdch.tmp ładunek został wygenerowany przez komendę w Windows shell, o strukturze podobnej do szkodliwego oprogramowania ShadowPad, ale bez początkowej logiki zaciemniania i deszyfrowania kodu, którą zwykle można znaleźć w ShadowPad.
PlugX i Shadowpad mają ugruntowaną historię wykorzystywania wśród chińskojęzycznych cyberprzestępców, głównie do działalności szpiegowskiej. Narzędzia te mają elastyczną, modułową funkcjonalność i są kompilowane za pomocą kodu shell, aby łatwo ominąć tradycyjne produkty ochrony punktów końcowych. Zaobserwowane wzorce działań TTP Moshen Dragon, które zmusiło cyberprzestępcę do przeprowadzenia wielu faz prób i błędów, aby spróbować wdrożyć swoje złośliwe oprogramowanie. Gdy atakujący zdobędą przyczółek w organizacji, przystępują do ruchu bocznego, wykorzystując Imppacket w sieci, umieszczając pasywne tylne drzwi w środowisku ofiary, przechwytując jak najwięcej danych uwierzytelniających, aby zapewnić sobie nieograniczony dostęp i koncentrować się na eksfiltracji danych. SentinelLabs nadal monitoruje aktywność smoka Moshen w miarę jej rozwoju.
Przejęte biblioteki DLL
Ładunki
Filtr haseł
GUNTERS
Infrastruktura