Sursa originală: Microsoft Security Threat Intelligence
În ultimii câțiva ani, piața criptomonedelor s-a extins considerabil, câștigând interesul investitorilor și al actorilor amenințări. Criptomoneda în sine a fost folosită de infractorii cibernetici pentru operațiunile lor, în special pentru plata răscumpărării în atacurile ransomware, dar am observat, de asemenea, actori de amenințări care vizează direct organizațiile din industria criptomonedei pentru câștiguri financiare. Atacurile care vizează această piață au luat multe forme, inclusiv fraudă, exploatarea vulnerabilităților, aplicații false și utilizarea furtorilor de informații, deoarece atacatorii încearcă să pună mâna pe fondurile criptomonede.
De asemenea, vedem atacuri mai complexe, în care actorul amenințării dă dovadă de cunoștințe și pregătire deosebită, luând măsuri pentru a câștiga încrederea țintei înainte de a implementa încărcături utile. De exemplu, Microsoft a investigat recent un atac în care actorul amenințării, urmărit ca DEV-0139, a profitat de grupurile de chat Telegram pentru a viza companiile de investiții în criptomonede. DEV-0139 s-a alăturat grupurilor Telegram utilizate pentru a facilita comunicarea între clienții VIP și platformele de schimb de criptomonede și și-a identificat ținta dintre membri. Actorul amenințării s-a prezentat ca reprezentanți ai unei alte companii de investiții în criptomonede, iar în octombrie 2022 a invitat ținta la un alt grup de chat și s-a prefăcut că solicită feedback cu privire la structura taxelor utilizată de platformele de schimb de criptomonede. Actorul amenințării avea cunoștințe mai ample despre această parte specifică a industriei, ceea ce indică faptul că erau bine pregătiți și conștienți de provocarea actuală pe care o pot avea companiile vizate.
După ce a câștigat încrederea țintei, DEV-0139 a trimis apoi un fișier Excel armat cu numele OKX Binance & Huobi VIP fee comparision.xls, care conținea mai multe tabele despre structurile taxelor în rândul companiilor de schimb de criptomonede. Datele din document au fost probabil exacte pentru a le spori credibilitatea. Acest fișier Excel armat inițiază următoarea serie de activități:
O macrocomandă rău intenționată din fișierul Excel armat abuzează de UserForm din VBA pentru a înfunda codul și a prelua unele date.
Macro-ul rău intenționat aruncă o altă foaie Excel încorporată în formular și o execută în modul invizibil. Foaia Excel menționată este codificată în base64 și introdusă în C:\ProgramData\Microsoft Media\ cu numele VSDB688.tmp
Fișierul VSDB688.tmp descarcă un fișier PNG care conține trei executabile: un fișier Windows legitim denumit logagent.exe, o versiune rău intenționată a DLL wsock32.dll și un backdoor codificat XOR.
Fișierul logagent.exe este folosit pentru a încărca lateral wsock32.dll rău intenționat, care acționează ca un proxy DLL pentru wsock32.dll legitim. Fișierul DLL rău intenționat este utilizat pentru a încărca și a decripta ușa din spate codificată XOR care permite actorului amenințării să acceseze de la distanță sistemul infectat.
Figura 1. Privire de ansamblu asupra atacului
Investigații ulterioare prin telemetria noastră au dus la descoperirea unui alt fișier care utilizează aceeași tehnică de proxy DLL. Dar în loc de un fișier Excel rău intenționat, acesta este livrat într-un pachet MSI pentru o aplicație CryptoDashboardV2, datată iunie 2022. Acest lucru poate sugera că alte campanii conexe sunt, de asemenea, conduse de același actor de amenințare, folosind aceleași tehnici.
În această postare pe blog, vom prezenta detaliile descoperite în urma investigației noastre privind atacul împotriva unei companii de investiții în criptomonede, precum și analiza fișierelor conexe, pentru a ajuta organizațiile similare să înțeleagă acest tip de amenințare și să se pregătească pentru posibile atacuri. Cercetătorii de la Volexity și-au publicat recent concluziile și asupra acestui atac.
Ca și în cazul oricărei activități observate de un actor de stat național, Microsoft notifică direct clienții care au fost vizați sau compromisi, oferindu-le informațiile de care au nevoie pentru a-și securiza conturile. Microsoft folosește desemnările DEV-#### ca un nume temporar dat unei activități de amenințări necunoscute, emergente sau în curs de dezvoltare, permițând Microsoft Threat Intelligence Center (MSTIC) să o urmărească ca un set unic de informații până când ajungem la un nivel ridicat. încrederea în originea sau identitatea actorului din spatele activității. Odată ce îndeplinește criteriile, un DEV este convertit într-un actor numit.
Compromis inițial
Pentru a identifica țintele, actorul amenințării a căutat membri ai grupurilor de investiții în criptomonede pe Telegram. În atacul specific, DEV-0139 a luat legătura cu ținta lor pe 19 octombrie 2022 prin crearea unui grup Telegram secundar cu numele <NameOfTheTargetedCompany> <> OKX Fee Adjustment și invitând trei angajați. Actorul amenințării a creat profiluri false folosind detalii de la angajații companiei OKX. Captura de ecran de mai jos arată conturile reale și cele rău intenționate pentru doi dintre utilizatorii prezenți în grup.
Figura 2. Profiluri legitime ale angajaților schimbului de criptomonede (stânga) și profiluri false create de actorul amenințării (dreapta)
Este demn de remarcat faptul că actorul amenințării pare să aibă cunoștințe ample despre industria criptomonedei și provocările cu care se poate confrunta compania vizată. Actorul amenințării a pus întrebări despre structurile taxelor, care sunt taxele utilizate de platformele de schimb criptografic pentru tranzacționare. Comisioanele reprezintă o mare provocare pentru fondurile de investiții, deoarece reprezintă un cost și trebuie optimizate pentru a minimiza impactul asupra marjei și profiturilor. La fel ca multe alte companii din această industrie, cele mai mari costuri provin din comisioanele percepute de burse. Acesta este un subiect foarte specific care demonstrează modul în care actorul amenințării a fost avansat și bine pregătit înainte de a-și contacta ținta.
După ce a câștigat încrederea țintei, actorul amenințării a trimis țintei un document Excel cu arme care conținea detalii suplimentare despre taxele care urmează să pară legitime. Actorul amenințării a folosit discuția cu privire la structura taxelor ca o oportunitate pentru a cere țintei să deschidă fișierul Excel cu arme și să completeze informațiile lor.
Analiza fișierelor Excel cu arme
Fișierul Excel armat, care are numele de fișier OKX Binance & Huobi VIP fee comparision.xls (Sha256: abca3253c003af67113f83df2242a7078d5224870b619489015e4fde060acad0), conține unele informații legitime despre schimburile criptografice bine utilizate de către curentul criptografic. Metadatele extrase au arătat că fișierul a fost creat de utilizatorul Wolf:
Figura 3. Informațiile din fișierul Excel rău intenționat
Macrocomanda este obscusată și abuzează de UserForm (o caracteristică folosită pentru a crea ferestre) pentru a stoca date și variabile. În acest caz, numele UserForm este IFUZYDTTOP, iar macro-ul preia informațiile cu următorul cod IFUZYDTTOP.MgQnQVGb.Caption unde MgQnQVGb este numele etichetei din UserForm și .caption permite preluarea informațiilor stocate în UserForm .
Tabelul de mai jos arată datele preluate din UserForm:
Macro-ul preia câțiva parametri din UserForm, precum și un alt fișier XLS stocat în base64. Fișierul XLS este aruncat în directorul C:\ProgramData\Microsoft Media ca VSDB688.tmp și rulează în modul invizibil.
Figura 4. Codul deobfuscat pentru a încărca foaia de lucru extrasă în modul invizibil.
În plus, foaia principală din fișierul Excel este protejată cu dragonul de parolă pentru a încuraja ținta să activeze macrocomenzi. Foaia este apoi neprotejată după instalarea și rularea celuilalt fișier Excel stocat în Base64. Acesta este probabil folosit pentru a păcăli utilizatorul să activeze macrocomenzi și să nu ridice suspiciuni.
Fișă de lucru extrasă
Cel de-al doilea fișier Excel, VSDB688.tmp (Sha256: a2d3c41e6812044573a939a51a22d659ec32aea00c26c1a2fdf7466f5c7e1ee9), este folosit pentru a prelua un fișier executabil de către fișierele PNG extrase sau criptate în două macro-uri extrase sau criptate. Mai jos sunt metadatele pentru a doua foaie de lucru:
Figura 5. Al doilea fișier este complet gol, dar conține aceeași tehnică de abuz UserForm ca și prima etapă.
Tabelul de mai jos arată datele deobfuscate preluate din UserForm:
Macro-ul preia câțiva parametri din UserForm apoi descarcă un fișier PNG de la hxxps://od.lk/d/d021d412be456a6f78a0052a1f0e3557dcfa14bf25f9d0f1d0d2d7dcdac86c73.Background. Fișierul nu mai era disponibil la momentul analizei, ceea ce indică faptul că actorul amenințării probabil l-a desfășurat doar pentru acest atac specific.
Figura 6. Cod deobfuscat care arată descărcarea fișierului Background.png
PNG-ul este apoi împărțit în trei părți și scris în trei fișiere diferite: fișierul legitim logagent.exe, o versiune rău intenționată a wsock32.dll și backdoor criptat XOR cu GUID (56762eb9-411c-4842-9530-9922c46ba2da). Cele trei fișiere sunt folosite pentru a încărca sarcina utilă principală în sistemul țintă.
Figura 7. Cele trei fișiere sunt scrise în C:\\ProgramData\SoftwareCache\ și rulează folosind API-ul CreateProcess
Analiza incarcatorului
Două dintre cele trei fișiere extrase din fișierul PNG, logagent.exe și wsock32.dll, sunt folosite pentru a încărca backdoor-ul criptat XOR. Următoarele secțiuni prezintă analiza noastră aprofundată a ambelor fișiere.
Logagent.exe
Logagent.exe (Hash: 8400f2674892cdfff27b0dfe98a2a77673ce5e76b06438ac6110f0d768459942) este o aplicație de sistem legitimă folosită pentru a înregistra erorile din Windows Media Player și pentru a trimite informații pentru depanare.
Fișierul conține următoarele metadate, dar nu este semnat:
Funcția de import logagent.exe din wsock32.dll este abuzată de actorul amenințării pentru a încărca cod rău intenționat în sistemul vizat. Pentru a declanșa și a rula wsock32.dll rău intenționat, logagent.exe este rulat cu următoarele argumente preluate anterior de macrocomandă: 56762eb9-411c-4842-9530-9922c46ba2da /shadow. Ambele argumente sunt apoi preluate de wsock32.dll. GUID-ul 56762eb9-411c-4842-9530-9922c46ba2da este numele fișierului pe care să se încarce wsock32.dll rău intenționat, iar /shadow este folosit ca o cheie XOR pentru a-l decripta. Ambii parametri sunt necesari pentru ca malware-ul să funcționeze, ceea ce poate împiedica analiza izolată.
Figura 8. Execuția liniei de comandă din procesul care rulează logagent.exe
Wsock32.dll
Wsock32.dll legitim este API-ul Windows Socket utilizat de aplicații pentru a gestiona conexiunile de rețea. În acest atac, actorul amenințării a folosit o versiune rău intenționată a wsock32.dll pentru a evita detectarea. Wsock32.dll rău intenționat este încărcat de logagent.exe prin încărcare secundară DLL și folosește proxy DLL pentru a apela funcțiile legitime din wsock32.dll real și pentru a evita detectarea. Proxy DLL este o tehnică de deturnare în care un DLL rău intenționat se află între aplicația care apelează funcția exportată și un DLL legitim care implementează acea funcție exportată. În acest atac, wsock32.dll rău intenționat acționează ca un proxy între logagent.exe și wsock32.dll legitim.
Este posibil să observați că DLL-ul redirecționează apelul către funcțiile legitime, analizând tabelul cu adrese de import:
Figura 9. Import Tabel de Adrese din
Figura 10. Preluarea datelor cu PeStudio a dezvăluit numele original al fișierului pentru wsock32.dll rău intenționat.
Când este încărcat wsock32.dll rău intenționat, mai întâi preia linia de comandă și verifică dacă fișierul cu GUID ca nume de fișier este prezent în același director folosind API-ul CreateFile pentru a prelua un handle de fișier.
Figura 11. Verificarea prezenței fișierului 56762eb9-411c-4842-9530-9922c46ba2da pentru decriptare
Wsock32.dll rău intenționat încarcă și decodifică implantul final în memorie cu numele GUID care este folosit pentru a accesa de la distanță mașina infectată.
Odată ce fișierul este încărcat în memorie, acesta oferă acces de la distanță actorului amenințării. La momentul analizei, nu am putut prelua sarcina utilă finală. Cu toate acestea, am identificat o altă variantă a acestui atac și am recuperat sarcina utilă, despre care se discută în secțiunea următoare. Implanturile identificate se conectează înapoi la același server de comandă și control (C2).
Atacul înrudit
Am identificat un alt fișier utilizând un mecanism similar ca logagent.exe și livrând aceeași sarcină utilă. Încărcătorul este împachetat ca un pachet MSI și așa cum a prezentat o aplicație numită CryptoDashboardV2 (Hash: e5980e18319027f0c28cd2f581e75e755a0dace72f10748852ba5f63a0c99487). După instalarea MSI, acesta folosește o aplicație legitimă numită tplink.exe pentru a încărca DLL rău intenționat numit DUser.dll și folosește, de asemenea, proxy DLL.
Figura 12. Detalii de instalare ale fișierului MSI
Odată ce pachetul este instalat, rulează și încarcă DLL-ul lateral folosind următoarea comandă: C:\Users\user\AppData\Roaming\Dashboard_v2\TPLink.exe” 27E57D84-4310-4825-AB22-743C78B8F3AA /sven, unde este folosește în mod vizibil un GUID diferit.
O analiză ulterioară a DUser.dll rău intenționat a arătat că numele său original este și HijackingLib.dll, la fel ca și wsock32.dll rău intenționat. Acest lucru ar putea indica utilizarea aceluiași instrument pentru a crea aceste proxy DLL rău intenționate. Mai jos sunt detaliile fișierului DUser.dll:
Odată ce DLL rulează, încarcă și decodifică implantul în memorie și începe să semnalizeze același domeniu. În acest caz, implantul folosește numele GUID 27E57D84-4310-4825-AB22-743C78B8F3AA și cheia XOR /sven.
Analiza implantului
Sarcina utilă decodificată în memorie de DLL rău intenționat este un implant folosit de actorul amenințării pentru a accesa de la distanță mașina compromisă. Am reușit să-l luăm pe cel din a doua variantă pe care am descoperit-o. Mai jos sunt detaliile încărcăturii utile:
Detalii de detectare
Microsoft Defender Antivirus
Microsoft Defender Antivirus detectează componentele amenințărilor ca următoarele programe malware:
TrojanDownloader:O97M/Wolfic.A
TrojanDownloader:O97M/Wolfic.B
TrojanDownloader:O97M/Wolfic.C
TrojanDownloader:Win32/Wolfic.D
TrojanDownloader:Win32/Wolfic.E
Comportament:Win32/WolficDownloader.A
Comportament:Win32/WolficDownloader.B
Microsoft Defender pentru Endpoint
Alertele cu următoarele titluri în centrul de securitate pot indica activitate de amenințare în rețeaua dvs.:
Un executabil a încărcat un dll neașteptat
Deturnarea comenzii de căutare DLL
Programul malware „Wolfic” a fost împiedicat
