Κινέζοι hackers με το όνομα APT10 φαίνεται πως κάνουν κατάχρηση λογισμικού ασφαλείας για να εγκαταστήσουν μια νέα έκδοση του malware LODEINFO σε συστήματα ιαπωνικών οργανισμών.
Οι στόχοι της ομάδας είναι κυρίως εταιρείες μέσων ενημέρωσης, διπλωματικές υπηρεσίες, κυβερνητικοί οργανισμοί και think tanks στην Ιαπωνία.
Η Kaspersky παρατηρεί τη δραστηριότητα της APT10 στην Ιαπωνία από το 2019 και δηλώνει ότι η hacking ομάδα αλλάζει συνεχώς τις μεθόδους μόλυνσης και ενημερώνει το custom backdoor της “LODEINFO”, για να κάνει πιο δύσκολο τον εντοπισμό.
Η εταιρεία κυβερνοασφάλειας δημοσίευσε δύο εκθέσεις: η μία δείχνει τις νέες τεχνικές μόλυνσης που χρησιμοποιεί η APT10 και η δεύτερη αναφέρεται στην εξέλιξη του LODEINFO malware.
Δείτε επίσης: Predator υποκλοπές: Η Intellexa συνεχίζει τις δουλειές της ανενόχλητη στην Ελλάδα
Κατάχρηση λογισμικού ασφαλείας
Από το Μάρτιο του 2022, η Kaspersky παρατήρησε ότι οι επιθέσεις της APT10 στην Ιαπωνία ξεκινούσαν είτε με ένα spear-phishing email, είτε με ένα self-extracting (SFX) RAR αρχείο είτε με την κατάχρηση ενός DLL side-loading σφάλματος σε λογισμικό ασφαλείας.
Το αρχείο RAR περιλαμβάνει το νόμιμο εκτελέσιμο αρχείο του λογισμικού K7Security Suite, NRTOLD.exe, και ένα κακόβουλο DLL με το όνομα K7SysMn1.dll. Όταν εκτελεστεί, το NRTOLD.exe θα προσπαθήσει να φορτώσει το γνήσιο αρχείο K7SysMn1.dll που υπάρχει κανονικά στη σουίτα λογισμικού.
Ωστόσο, το εκτελέσιμο αρχείο δεν αναζητά το DLL σε συγκεκριμένο φάκελο, γεγονός που δημιουργεί την ευκαιρία στους προγραμματιστές κακόβουλου λογισμικού να δημιουργήσουν ένα κακόβουλο DLL χρησιμοποιώντας το όνομα του K7SysMn1.dll.
Το κακόβουλο DLL αποθηκεύεται στον ίδιο φάκελο με τα νόμιμα εκτελέσιμα και όταν εκτελείται φορτώνει το κακόβουλο λογισμικό LODEINFO στη συσκευή σας.
Επειδή η εγκατάσταση του malware γίνεται με τη χρήση ενός λογισμικού ασφαλείας, άλλες λύσεις ασφαλείας μπορεί να μην εντοπίσουν την απειλή.
Σύμφωνα με την έκθεση της Kaspersky, “το K7SysMn1.dll περιέχει ένα BLOB με obfuscated routine που δεν έχει παρατηρηθεί σε προηγούμενες δραστηριότητες“.
“Το ενσωματωμένο BLOB χωρίζεται σε κομμάτια των τεσσάρων byte και κάθε μέρος αποθηκεύεται σε ένα από τα 50 τυχαία ονομασμένα export functions του DLL binary“.
“Αυτά τα export functions ανακατασκευάζουν το BLOB σε ένα διατιθέμενο buffer και στη συνέχεια αποκωδικοποιούν το LODEINFO shellcode χρησιμοποιώντας ένα one-byte XOR key“.
Δείτε επίσης: Οι χάκερ Cranefly χρησιμοποιούν μια νέα τεχνική hacking
Το θύμα βλέπει ένα έγγραφο-δόλωμα, ενώ το αρχείο εξάγεται στο παρασκήνιο. Έτσι μειώνεται η πιθανότητα να αντιληφθεί το θύμα τη μόλυνση.
Η Kaspersky ανακάλυψε και μια άλλη διαδικασία μόλυνσης που χρησιμοποιούσε η APT10 τον Ιούνιο του 2022, η οποία χρησιμοποιούσε file-less downloader shellcode που παραδιδόταν μέσω ενός εγγράφου του Microsoft Office προστατευμένου με κωδικό πρόσβασης. Αυτό το έγγραφο περιείχε κακόβουλο κώδικα VBA.
Νέα έκδοση του LODEINFO malware
Οι δημιουργοί του κακόβουλου λογισμικού κυκλοφόρησαν έξι νέες εκδόσεις του LODEINFO το 2022, με την v0.6.7 να είναι η πιο πρόσφατη (κυκλοφόρησε το Σεπτέμβριο του 2022).
Στα τέλη του 2021, η APT10 κυκλοφόρησε το LODEINFO v0.5.6, το οποίο πρόσθεσε πολλαπλά επίπεδα κρυπτογράφησης στις επικοινωνίες χρησιμοποιώντας το κλειδί κρυπτογράφησης Vigenere σε συνδυασμό με τυχαία παραγόμενα junk data.
Επιπλέον, το LODEINFO v0.5.6 χρησιμοποίησε XOR obfuscation για τις 21 εντολές που υποστηρίζει backdoor, ενώ στην έκδοση 0.5.9, εισήχθη ένας νέος hash calculation αλγόριθμος για API function names.
Η υποστήριξη για πλατφόρμες 64-bit προστέθηκε στην έκδοση 0.6.2, διευρύνοντας ουσιαστικά το πεδίο στόχευσης του κακόβουλου λογισμικού.
Δείτε επίσης: S3crets Scanner: Δωρεάν εργαλείο για τη σάρωση εκτεθειμένων Amazon S3 buckets
Η έκδοση LOADEINFO v0.6.3 τον Ιούνιο του 2022 περιείχε δέκα λιγότερες εντολές από την προηγούμενη έκδοση. Ουσιαστικά, αφαιρέθηκαν δέκα περιττές εντολές, ώστε να αυξηθεί η αποτελεσματικότητα του malware και να γίνει το backdoor πιο λιτό.
Οι εντολές που υπάρχουν ακόμα στις τρέχουσες εκδόσεις είναι:
- Δείχνει το ενσωματωμένο backdoor command list
- Λήψη αρχείου από C2
- Μεταφόρτωση αρχείου στο C2
- Εισαγωγή shellcode στη μνήμη
- Διακοπή μιας διαδικασίας με τη χρήση ενός process ID
- Αλλαγή directory
- Αποστολή malware και πληροφοριών συστήματος
- Λήψη screenshot
- Κρυπτογράφηση αρχείων
- Εκτέλεση εντολών μέσω WM I
- Config (δεν είναι ολοκληρωμένο)
Η Kaspersky αναφέρει ότι τα LODEINFO v0.6.6 και v0.6.7 έχουν ήδη διανεμηθεί χρησιμοποιώντας νέα TTPs, οπότε η απειλή αλλάζει συνεχώς, καθιστώντας πολύ δύσκολο για τους αναλυτές να την παρακολουθήσουν.
Λίγα λόγια για την APT10
Όπως είπαμε και παραπάνω, πρόκειται για μια κινεζική hacking ομάδα. Χρηματοδοτείται από την κινεζική κυβέρνηση και δραστηριοποιείται τουλάχιστον από το 2009. Οι hackers της APT10 έχουν συνδεθεί με διάφορες επιθέσεις στον κυβερνοχώρο. Για παράδειγμα, είχε εντοπιστεί μια εκστρατεία που χρησιμοποιoύσε steganography για να στοχεύσει κυβερνήσεις της Μέσης Ανατολής και της Αφρικής, και μια άλλη που έκανε κατάχρηση του VLC για να μολύνει συστήματα με custom backdoors.
Οι hackers αυτοί θεωρούνται επικίνδυνοι για πολλούς λόγους. Πρώτα απ’ όλα, υποστηρίζονται από την κινεζική κυβέρνηση, πράγμα που σημαίνει ότι έχουν σχεδόν απεριόριστους πόρους στη διάθεσή τους. Επιπλέον, έχουν μεγάλη εμπειρία – υπάρχουν εδώ και πάνω από 10 χρόνια και έχουν πραγματοποιήσει μερικές από τις πιο εξελιγμένες επιθέσεις σε αυτό το διάστημα. Τέλος, τείνουν να στοχεύουν επιχειρήσεις σε ένα ευρύ φάσμα κλάδων, γεγονός που καθιστά δύσκολη την προστασία των οργανισμών.
Πηγή: www.bleepingcomputer.com