Μια ομάδα κατασκοπείας στον κυβερνοχώρο, η οποία δραστηριοποιείται τουλάχιστον από το 2012, χρησιμοποίησε ένα νόμιμο εργαλείο για να προστατεύσει το backdoor από προσπάθειες ανάλυσης για να αποφύγει την ανίχνευση. Στην προσπάθειά τους, οι hackers χρησιμοποίησαν επίσης ένα ψεύτικο header.
Το backdoor αναφέρεται με τα ονόματα Spark και EnigmaSpark και αναπτύχθηκε σε μια πρόσφατη καμπάνια phishing που φαίνεται να ήταν το έργο του ομίλου MoleRATs, του χαμηλού προϋπολογισμού τμήματος Gaza Cybergang. Αυτός είναι ο υπεύθυνος για τη λειτουργία SneakyPastes, ο οποίος αναλύεται λεπτομερώς από τον Kaspersky, ο οποίος βασίστηκε σε malware που φιλοξενούνται σε δωρεάν υπηρεσίες κοινής χρήσης, όπως το GitHub και το Pastebin.
Υπάρχουν ισχυρές ενδείξεις ότι η ομάδα χρησιμοποιούσε αυτό το backdoor από τον Μάρτιο του 2017, αναπτύσσοντας δεκάδες παραλλαγές που ήλθαν σε επαφή με τουλάχιστον 15 command and control domains.
Οι ερευνητές από την πολλαπλή ασφάλεια στον κυβερνοχώρο παρακολούθησαν τις εκστρατείες αυτού του φορέα απειλής και ανέλυσαν τα κακόβουλα προγράμματα, τις τακτικές και την υποδομή που χρησιμοποιήθηκαν στις επιθέσεις.
Τακτική αποτροπής
Ο δράστης απειλής προσπάθησε να αποκρύψει του compromise χρησιμοποιώντας το software Enigma Protector – ένα νόμιμο εργαλείο για την “προστασία εκτελέσιμων αρχείων από παράνομη αντιγραφή, hacking, τροποποίηση και ανάλυση”.
Με βάση τους στόχους που έχουν παρατηρηθεί και το θέμα των εγγράφων που χρησιμοποιούνται για τα δολώματα, αυτό μοιάζει με μια πολιτική επίθεση που απευθύνεται σε αραβικούς ομιλητές που ενδιαφέρονται για την πιθανή αποδοχή του ειρηνευτικού σχεδίου από την Παλαιστίνη.
Η αλυσίδα μόλυνσης που οδήγησε στην εγκατάσταση του backdoor EnigmaSpark ξεκίνησε με την παράδοση ενός κακόβουλου εγγράφου Microsoft Word. Το αρχείο είναι γραμμένο στα αραβικά και προτρέπει τον παραλήπτη να επιτρέψει την επεξεργασία για να προβάλει το περιεχόμενο.
Οι ερευνητές διαπίστωσαν ότι το έγγραφο αποκτά από ένα Google Drive link ένα κακόβουλο Word ενσωματωμένο με μια μακροεντολή για την παράδοση του τελικού payload “runawy.exe”.
Για να προστατεύσουν τη λειτουργία, οι hackers πρόσθεσαν ορισμένες δυνατότητες προστασίας, όπως προστασία της μακροεντολής με κωδικό πρόσβασης και εφαρμογή συστήματος κωδικοποίησης base64 στο backdoor, το οποίο επίσης αποθηκεύτηκε στο Google Drive.
Επιπλέον, το δυαδικό malware πρόγραμμα ήταν «συσκευασμένο» με Enigma Protector που προσθέτει κάποια αντίσταση στις προσπάθειες hacking και cracking.
Μια άλλη προφύλαξη από τους hackers είναι η χρήση ενός ψεύτικου header στο αίτημα HTTP POST που παρέχει πληροφορίες για το θύμα στον command and control (C2) server, που ήταν nysura. [Com. ‘Ωστόσο, το header δείχνει’ cnet ] [com ‘ως προορισμό.
Κοινός παρονομαστής
Μια έρευνα X-Force (IRIS) αποκάλυψε ότι ο εισβολέας χρησιμοποίησε αυτή την τεχνική με άλλα δυαδικά αρχεία. Μετά την “αποσυσκευασία” του ‘runawy.exe’, παρατήρησαν ότι το αρχείο που προέκυψε ήταν το ίδιο με το ‘blaster.exe’, ένα δυαδικό αρχείο που παραδόθηκε από ένα εκτελέσιμο από το Themida, ένα άλλο νόμιμο εργαλείο που προσθέτει προστασία για την επιθεώρηση ή την τροποποίηση μιας επεξεργασμένης εφαρμογής.
Πολλαπλά αρχεία ανακαλύφθηκαν επειδή είχαν ως κοινό στοιχείο το μοναδικό string “S4.4P” και τον υπογράφοντα κρυπτογραφικό πιστοποιητικό “tg1678A4”: Wordeditor.exe, Blaster.exe (η αποσυσκευασμένη έκδοση του runawy.exe και soundcloud.exe), το HelpPane.exe , και taskmanager.exe.
Στην περίπτωση του Blaster, χρησιμοποιήθηκε το ίδιο κόλπο με το header του ψεύτικου κεντρικού υπολογιστή, όπως στην περίπτωση του ‘runawy’, αλλά ο πραγματικός destination server ήταν διαφορετικός (‘webtutorialz [.] Com’).
Προηγούμενη έρευνα
Το δυαδικό αρχείο “runawy.exe”, ο C2 server του και το μοναδικό string έχουν τεκμηριωθεί προηγουμένως από ερευνητές σε άλλες εταιρείες ασφάλειας στον κυβερνοχώρο.
Η ομάδα Nocturnus της Cybereason, στις 12 Φεβρουαρίου, δημοσίευσε μια τεχνική ανάλυση του Backdoor backdoor, που περιγράφει τις δυνατότητες του κακόβουλου λογισμικού:
- Συλλέξτε πληροφορίες σχετικά με το θύμα υποδοχής
- Κρυπτογραφήστε τα δεδομένα που συλλέγονται και τα αποστείλετε στους εισβολείς μέσω του πρωτοκόλλου HTTP
- Λήψη άλλων payloads
- Καταχώριση πλήκτρων Εγγραφή ήχου χρησιμοποιώντας το ενσωματωμένο μικρόφωνο του συστήματος
- Εκτελέστε εντολές στο μολυσμένο μηχάνημα
Στις αρχές του μήνα, το Palo Alto Networks αναφέρει λεπτομερώς το ίδιο payload που περιβάλλεται από Enigma που παραδόθηκε με τη βοήθεια ενός εγγράφου Word στις 31 Οκτωβρίου και 2 Νοεμβρίου 2019.
Το Backdoor backdoor τεκμηριώθηκε αρχικά από ερευνητές στην εταιρεία Qi An Xin Cyber Security με έδρα το Πεκίνο, με την αγγλική έκδοση της έρευνας που δημοσιεύθηκε στις 14 Φεβρουαρίου 2019.
Ερευνητές από όλες αυτές τις εταιρείες αποδίδουν το backdoor Spark στην ομάδα MoleRATs, γνωστή για τη χρήση malware που διατίθεται σε φόρουμ hacker. Ωστόσο, αναπτύσσουν επίσης προσαρμοσμένα εργαλεία, όπως το Spark.
