Deutsch
English
Français
Español
Italiano
Português
日本語
한국어
Русский
Heim
Oct 19, 2023
Erd-Preta-Speer
APT & Targeted Attacks Wir schlüsseln die Cyberspionageaktivitäten von Advanced auf
APT und gezielte Angriffe
Wir schlüsseln die Cyberspionageaktivitäten der Advanced Persistent Threat (APT)-Gruppe Earth Preta auf, die bei groß angelegten Angriffseinsätzen beobachtet wurden, die im März begannen. Wir zeigen auch die Infektionsroutinen der Malware-Familien, mit denen sie mehrere Sektoren weltweit infizieren: TONEINS, TONESHELL und PUBLOAD.
Von: Nick Dai, Vickie Su, Sunny Lu 18. November 2022 Lesezeit: (Wörter)
Im Folio speichern
Wir haben eine Welle von Spear-Phishing-Angriffen beobachtet, die sich gegen Regierungen, Hochschulen, Stiftungen und Forschungsbereiche auf der ganzen Welt richteten. Basierend auf den Lockdokumenten, die wir in freier Wildbahn beobachtet haben, handelt es sich um eine groß angelegte Cyberspionagekampagne, die etwa im März begann. Nach monatelanger Beobachtung umfasst der scheinbar weit verbreitete Ausbruch gezielter Angriffe unter anderem Myanmar, Australien, die Philippinen, Japan und Taiwan. Wir haben die in dieser Kampagne verwendeten Malware-Familien analysiert und die Vorfälle einer berüchtigten APT-Gruppe (Advanced Persistent Threat) namens Earth Preta (auch bekannt als Mustang Panda und Bronze President) zugeschrieben.
Bei unserer Beobachtung der Kampagnen stellten wir fest, dass Earth Preta gefälschte Google-Konten missbrauchte, um die Malware über Spear-Phishing-E-Mails zu verbreiten, die zunächst in einer Archivdatei (z. B. rar/zip/jar) gespeichert und über Google Drive-Links verbreitet wurden. Benutzer werden dann dazu verleitet, die Malware TONEINS, TONESHELL und PUBLOAD herunterzuladen und auszuführen. Über PUBLOAD wurde bereits berichtet, aber wir fügen in diesem Eintrag neue technische Erkenntnisse hinzu, die es mit TONEINS und TONESHELL in Verbindung bringen, neu entdeckten Malware-Familien, die die Gruppe für ihre Kampagnen verwendet.
Darüber hinaus nutzen die Akteure verschiedene Techniken, um der Erkennung und Analyse zu entgehen, etwa Code-Verschleierung und benutzerdefinierte Ausnahmehandler. Wir haben außerdem festgestellt, dass die Absender der Spear-Phishing-E-Mails und die Besitzer der Google Drive-Links identisch sind. Basierend auf den Beispieldokumenten, die zum Anlocken der Opfer verwendet wurden, glauben wir auch, dass die Angreifer in der Lage waren, Nachforschungen anzustellen und möglicherweise frühere Sicherheitsverletzungen bei den Zielorganisationen durchzuführen, die eine Vertrautheit ermöglichten, wie in den Abkürzungen der Namen von zuvor kompromittierten Konten angegeben .
In diesem Blogeintrag besprechen wir die neue Kampagne von Earth Preta und ihre Taktiken, Techniken und Verfahren (TTPs), einschließlich neuer Installer und Hintertüren. Abschließend teilen wir mit, wie Sicherheitsexperten Malware-Bedrohungen verfolgen können, die den von uns identifizierten ähneln.
Erste Kompromisse und Ziele
Basierend auf unserer Überwachung dieser Bedrohung sind die Täuschungsdokumente auf Burmesisch verfasst und der Inhalt lautet „လျှို့ဝှက်ချက်“ („Nur intern“). Die meisten Themen in den Dokumenten sind kontroverse Themen zwischen Ländern und enthalten Wörter wie „geheim“ oder „vertraulich“. Dies könnte darauf hindeuten, dass die Angreifer als ersten Einstiegspunkt Regierungsstellen in Myanmar ins Visier nehmen. Dies könnte auch bedeuten, dass die Angreifer bereits vor dem Angriff bestimmte politische Einheiten kompromittiert haben, was Talos Intelligence ebenfalls zuvor festgestellt hatte.
Die Angreifer nutzen die gestohlenen Dokumente als Lockvögel, um die Zielorganisationen, die mit Regierungsbüros in Myanmar zusammenarbeiten, dazu zu verleiten, die schädlichen Dateien herunterzuladen und auszuführen. Die Viktimologie deckt ein breites Spektrum von Organisationen und Branchen weltweit ab, mit einer höheren Konzentration im asiatisch-pazifischen Raum. Zu den späteren Opfern zählten neben den Regierungsstellen, die in Myanmar kooperierten, unter anderem auch die Bildungs- und Forschungsbranche. Zusätzlich zu den Lockthemen, die aktuelle internationale Ereignisse betreffend bestimmte Organisationen abdecken, locken die Angreifer Personen auch mit Schlagworten an, die sich auf pornografisches Material beziehen.
Analyse der Routinen
Earth Preta nutzt Spear-Phishing-E-Mails als ersten Schritt zum Eindringen. Wie bereits erwähnt, behandeln einige Betreffzeilen und Inhalte der E-Mails geopolitische Themen, während andere möglicherweise sensationelle Themen enthalten. Wir haben festgestellt, dass in allen von uns analysierten E-Mails die Google Drive-Links eingebettet waren, was darauf hindeutet, wie Benutzer möglicherweise dazu verleitet werden, die schädlichen Archive herunterzuladen. Zu den Dateitypen der Archive gehören komprimierte Dateien wie .rar, .zip und .jar, um nur einige zu nennen. Beim Zugriff auf die Links erfuhren wir, dass die Archive die Malware-Familien TONEINS, TONESHELL und PUBLOAD enthalten.
Spear-Phishing-E-Mails
Wir haben den Inhalt der E-Mails analysiert und festgestellt, dass ein Google Drive-Link als Lockmittel für die Opfer genutzt wird. Der Betreff der E-Mail ist möglicherweise leer oder hat denselben Namen wie das Schadarchiv. Anstatt die Adressen der Opfer in den „An“-Header der E-Mail einzufügen, verwendeten die Bedrohungsakteure gefälschte E-Mails. In der Zwischenzeit wurden die Adressen der tatsächlichen Opfer in den „CC“-Header geschrieben, was wahrscheinlich der Sicherheitsanalyse entging und die Ermittlungen verlangsamte. Mithilfe des Open-Source-Intelligence-Tools (OSINT) Ghunt, um diese Gmail-Adressen im Abschnitt „An“ zu untersuchen, haben wir diese gefälschten Konten mit wenigen Informationen gefunden.
Darüber hinaus haben wir festgestellt, dass es sich bei einigen Absendern möglicherweise um kompromittierte E-Mail-Konten einer bestimmten Organisation handelt. Opfer könnten davon überzeugt sein, dass diese E-Mails von vertrauenswürdigen Partnern gesendet wurden, was die Wahrscheinlichkeit erhöht, dass Empfänger die bösartigen Links auswählen.
Täuschungsdokumente
Wir haben auch einige Täuschungsdokumente gefunden, die mit den Organisationen verknüpft sind, die mit Regierungsstellen in Myanmar verbunden sind oder mit ihnen zusammenarbeiten. Der Dateiname des ersten Lockvogels lautet Assistance and Recovery(china).exe, während ein anderes Lockvogel-PDF-Dokument („Embassy of the Republic of Myanmar.pdf, was „Botschaft der Republik Myanmar“ bedeutet“) in einer komprimierten Datei namens Assistance beobachtet wurde und Recovery(china) .rar. Angeblich handelt es sich hierbei um ein Dokument, das den Bericht des Botschafters in groben Besprechungsplänen zwischen den Botschaften von Myanmar und China enthält.
Ein weiteres Dokument bezieht sich auf die Japan Society for the Promotion of Science (JSPS), eine Initiative, die Forschern die Möglichkeit bietet, Forschungsaustausche in Japan durchzuführen und zu absolvieren. Insbesondere handelt es sich bei den Dokumenten im komprimierten Dateianhang (EN).rar größtenteils um Bilddateien. Dazu gehören auch die schädliche DLL und die ausführbare Datei, die für die nächste Ebene des Seitenladens verwendet werden.
Es gibt auch andere Lockdokumente mit unterschiedlichen Inhaltsthemen, darunter regionale Angelegenheiten und Pornografie. Wenn das Opfer jedoch die gefälschte Dokumentdatei in diesem Ordner öffnet, wird kein entsprechender Inhalt angezeigt.
Ankunftsvektoren
Wir haben mindestens drei Arten von Ankunftsvektoren als Eintrittspunkte für Eindringlinge beobachtet, darunter über 30 Lockarchive auf der ganzen Welt, die über Google Drive-Links, Dropbox-Links oder andere IP-Adressen, auf denen die Dateien gehostet werden, verteilt werden. In den meisten der von uns gesammelten Archive befinden sich legitime ausführbare Dateien sowie die seitlich geladene DLL. Die Namen der Archive und der Scheindokumente variieren jeweils. In den folgenden Abschnitten nehmen wir einige davon als Beispiele und teilen die jeweiligen TTPs mit.
Typ A: DLL-Seitenladen
In diesem Fall befinden sich drei Dateien im Archiv: „~“, „Immerly sustainable US is baiting China.exe“ und libcef.dll. Insbesondere können die Namen der Lockdokumente und ausführbaren Dateien unterschiedlich sein, wie in den nächsten Abschnitten beschrieben.
Tabelle 1. Dateien im Archiv von Typ A
Im Archiv ist die Datei „~“ ein Lockdokument. Die ausführbare Datei China.exe ist eine legitime ausführbare Datei (ursprünglich adobe_licensing_wf_helper.exe genannt, der Adobe Licensing WF Helper). Diese ausführbare Datei lädt die schädliche libcef.dll von der Seite und löst die Exportfunktion cef_api_hash aus.
Bei der ersten Ausführung versucht die ausführbare Datei, die Malware zu installieren, indem sie die .exe-Datei kopiert und libcef.dll (von Trend Micro als Trojan.Win32.PUBLOAD erkannt) nach <%PUBLIC%> verschiebt. Sowohl .exe- als auch .dll-Dateien wird in C:\Users\Public\Pictures\adobe_wf.exe bzw. C:\Users\Public\Pictures\libcef.dll umbenannt. Außerdem wird „~“ in 05-09-2022.docx umbenannt und auf dem Desktop abgelegt.
Typ B: Verknüpfungslinks
Das Schadarchiv enthält drei Dateien: New Word Document.lnk, putty.exe und CefBrowser.dll. Insbesondere werden die DLL- und ausführbaren Dateien in mehreren Ordnerebenen mit dem Namen „_“ abgelegt.
Tabelle 2. Dateien im Archiv vom Typ B
Der Bedrohungsakteur nutzt die .lnk-Datei, um die schädlichen Dateien zu installieren, indem er die Archivdatei mit WinRAR dekomprimiert. Die vollständige Befehlszeile lautet wie folgt.
%ComSpec% /c "_\_\_\_\_\_\putty.exe||(forfiles /P %APPDATA%\..\..\ /S /M Desktop.rar /C "cmd /c (c:\progra~1\winrar\winrar.exe x -inul -o+ @path||c:\progra~2\winrar\winrar.exe x -inul -o+ @path)&&_\_\_\_\ _\_\putty.exe")"
Putty.exe gibt sich als normale ausführbare Datei aus; Der ursprüngliche Dateiname lautet AppXUpdate.exe. Wenn es ausgeführt wird, lädt es CefBrowser.dll von der Seite und führt die Hauptroutine in seiner Exportfunktion CCefInterface::SubProcessMain aus. Es missbraucht Schtasks auch zur Persistenz.
Typ C: Gefälschte Dateierweiterungen
In diesem Fall enthält China VS Taiwan.rar mehrere Dateien, darunter:
Tabelle 3. Dateien im Archiv vom Typ C
libcef.dll (von Trend Micro als Trojan.Win32.TONEINS erkannt) ist ein Installer für die Malware der nächsten Stufe. Es kopiert zwei Dateien mit Namen, die mit „~“ beginnen, in diesem Fall ~$20220817.docx und ~$20220617(1).docx nach <%USERPROFILE%\Pictures>. Beide Dateien haben gefälschte Dateierweiterungen und geben sich als temporäre Dateien aus, die beim Öffnen der Microsoft Office-Software generiert werden.
Schadsoftware
In dieser Kampagne haben wir die folgende Malware identifiziert, nämlich PUBLOAD, TONEINS und TONESHELL.
Trojan.Win32.PUBLOAD
PUBLOAD ist ein Stager, der die Nutzlast der nächsten Stufe von seinem Command-and-Control-Server (C&C) herunterladen kann. Diese Malware wurde erstmals im Mai 2022 von Cisco Talos veröffentlicht.
Sobald die DLL ausgeführt wird, prüft sie zunächst, ob derselbe Prozess bereits ausgeführt wird, indem sie OpenEventA aufruft. Laut dem von Barberousse geposteten Tweet werden einige bemerkenswerte Ereignisnamen als Benutzernamen anderer Cybersicherheitsforscher auf Twitter identifiziert, wie zum Beispiel „moto_sato“, „xaacrazyman_armyCIAx“ und „JohnHammondTeam“. Es ist wichtig anzumerken, dass diese Forscher nichts mit PUBLOAD zu tun haben, sondern von den Bedrohungsakteuren in den Binärdateien einfach und absichtlich erwähnt wurden.
Beharrlichkeit
PUBLOAD erstellt ein Verzeichnis in
1. Hinzufügen eines Registrierungslaufschlüssels
cmd.exe /C reg add HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run /v Graphics /t REG_SZ /d \"Rundll32.exe SHELL32.DLL,ShellExec_RunDLL \"C:\\Users\\ Öffentlich\\Bibliotheken\\Grafiken\\AdobeLicensing.exe\"\" /f
2. Erstellen einer Zeitplanaufgabe
schtasks.exe /F /Create /TN Microsoft_Licensing /sc minute /MO 1 /TR C:\\Users\\Public\\Libraries\\Graphics\\AdobeLicensing.exe
Anti-Antivirus: API mit Rückruf
PUBLOAD-Malware entschlüsselt den Shellcode im AES-Algorithmus im Speicher. Der Shellcode wird durch das Erstellen eines Threads oder die Verwendung verschiedener APIs aufgerufen. Die APIs können ein Argument einer Rückruffunktion akzeptieren und als Alternative zum Auslösen des Shellcodes dienen. Wir haben mehrere genutzte APIs beobachtet, darunter GrayStringW, EnumDateFormatsA und LineDDA, und können als Technik zur Umgehung der Antivirenüberwachung und -erkennung angesehen werden.
C&C-Protokoll
Der entschlüsselte PUBLOAD-Shellcode sammelt den Computernamen und den Benutzernamen als Nutzlast des ersten Beacons. Die Nutzlast wird dann mit dem vordefinierten RC4-Schlüssel (Rivest Cipher 4) verschlüsselt. Zum Zeitpunkt dieses Schreibens haben alle Stager, die wir bisher gesehen haben, denselben Schlüssel.
Nach der Verschlüsselung verwendet der Stager eine bestimmte Bytesequenz als Header seines Pakets. Es stellt den verschlüsselten Daten die magischen Bytes „17 03 03“ und die Nutzlastgröße voran.
Tabelle 4. Anforderungspaketformat in PUBLOAD
Der Stager prüft auch, ob das Antwortpaket denselben magischen Header hat, „17 03 03“. Wenn dies der Fall ist, wird die heruntergeladene Nutzlast im Speicher als Teil des Shellcodes behandelt und direkt ausgeführt.
Bemerkenswerte Debug-Strings
Anfang 2022 fanden wir einige Beispiele von PUBLOAD mit eingebetteten Debug-Strings. Sie werden verwendet, um Analysten von den Hauptinfektionsroutinen abzulenken.
Nach dem Besuch der Sprecherin des US-Repräsentantenhauses, Nancy Pelosi, in Taiwan im August fanden wir eine Archivdatei mit dem Namen „裴洛西訪台後民意匯總.rar“ (übersetzt als „Zusammenfassung der öffentlichen Meinung von Pelosis Besuch in Taiwan“) auf traditionellem Chinesisch, aber Wir konnten nur eine der schädlichen DLLs in der Archivdatei finden. Da das im Dateinamen angegebene Thema selbst als kontroverses Thema gilt, erscheint es für den Zielempfänger potenziell eingängig. Es stellte sich heraus, dass die DLL ein PUBLOAD-Staginger mit mehreren Ausgabe-Debug-Strings war.
Trojan.Win32.TONEINS
Trojan.Win32.TONEINS ist das Installationsprogramm für TONESHELL-Hintertüren. Das Installationsprogramm legt die TONESHELL-Malware im Ordner %PUBLIC% ab und stellt die Persistenz dafür her. TONEINS-Malware befindet sich normalerweise in den Lure-Archiven, und in den meisten Fällen lautet der Name der TONEINS-DLL libcef.dll. Die Schadroutine wird durch den Aufruf ihrer Exportfunktion cef_api_hash ausgelöst.
Die TONEINS-Malware ist verschleiert und verlangsamt wahrscheinlich die Malware-Analyse. Es enthält viele Junk-Codes in seinem Kontrollfluss und viele nutzlose XOR-Anweisungen, als ob sie andeuten würden, dass diese zum Dekodieren von Zeichenfolgen verwendet werden. Bei der Überprüfung stellten wir fest, dass diese verschleierten Codes aus einem Open-Source-Repository wiederverwendet wurden.
Das Installationsprogramm stellt die Persistenz für TONESHELL-Hintertüren mithilfe des folgenden schtasks-Befehls her:
schtasks /create /sc minute /mo 2 /tn "ServiceHub.TestWindowStoreHost" /tr "C:\Users\Public\Pictures\ServiceHub.TestWindowStoreHost.exe" /f
Basierend auf unseren Beobachtungen weichen die Dateinamen der abgelegten TONESHELL-Malware von Fall zu Fall ab, ebenso wie die Namen der geplanten Aufgaben. Nachdem die Persistenz hergestellt wurde, kopiert TONESHELL dann die legitime ausführbare Datei und die schädliche DLL in den Ordner %PUBLIC%, wobei beide Dateien im Lure-Archiv Namen haben, die mit „~“ beginnen. In diesem Beispiel ist ~$20220817.docx eine legitime ausführbare Datei, die für das Seitenladen von DLLs verwendet wird, und ~$20220617(1).docx ist die zu installierende TONESHELL-Backdoor-DLL.
Backdoor.Win32.TONESHELL
Die TONESHELL-Malware ist die wichtigste Hintertür, die in dieser Kampagne verwendet wird. Es handelt sich um einen Shellcode-Loader, der den Backdoor-Shellcode mit einem 32-Byte-Schlüssel in den Speicher lädt und dekodiert. In der früheren Version von TONESHELL verfügt es über die Fähigkeiten der TONEINS-Malware, einschließlich der Einrichtung von Persistenz und der Installation von Hintertüren. Allerdings ist die neuere Version von TONESHELL eine eigenständige Hintertür ohne Installationsfunktionen (wie die Datei ~$Talkpoints.docx). Die Verschleierung erfolgt auf ähnliche Weise wie die TONEINS-Malware, was darauf hindeutet, dass die Akteure das Arsenal weiterhin aktualisieren und die Tools trennen, um die Erkennung zu umgehen.
Anti-Analyse: Überprüfung des Prozessnamens
Um sicherzustellen, dass TONESHELL korrekt installiert ist, prüft Backdoor.Win32.TONESHELL zunächst, ob der Prozesspfad mit dem erwarteten übereinstimmt. In diesem Fall könnte der Schadcode durch den benutzerdefinierten Ausnahmehandler ausgelöst werden.
Anti-Analyse: Benutzerdefinierter Ausnahmehandler in C++
Interessanterweise verbirgt der Angreifer den tatsächlichen Codefluss durch die Implementierung benutzerdefinierter Ausnahmehandler. Basierend auf dem Ergebnis der Prozessnamenprüfung werden verschiedene Ausnahmehandler aufgerufen, die die Schadroutine fortsetzen, indem sie die Ausnahme mit dem Aufruf _CxxThrowException auslösen. Nach dem Aufruf findet die C++-Laufzeit den entsprechenden Ausnahmehandler von der ThrowInfo-Struktur bis hinunter zum CatchProc-Mitglied in der _msRttiDscr-Struktur, die die echten Schadcodes enthält. In diesem Beispiel befindet sich der Ausnahmehandler am Offset 0x10005300. Diese Technik verbirgt nicht nur den Ausführungsfluss, sondern stoppt auch die Ausführung des Debuggers des Analysten.
Anti-Analyse: ForegroundWindow-Prüfung
Bei der Betrachtung neuerer TONESHELL-Beispiele ist uns aufgefallen, dass im Vergleich zu den früheren Versionen eine neue Anti-Sandbox-Technik hinzugefügt wurde. Die neueren Versionen rufen die GetForegroundWindow-API zweimal auf und prüfen, ob ein Fensterschalter vorhanden ist. Wenn es sich bei der Umgebung um eine Sandbox handelt, erhalten beide Aufrufe dasselbe Fensterhandle, da in den meisten Sandboxes keine menschliche Interaktion erfolgt, was dazu führt, dass sich das Vordergrundfenster nicht ändert. Darüber hinaus kann die Schadroutine als Anti-Sandbox- und verzögerte Ausführungstechnik erst dann ausgelöst werden, wenn das Vordergrundfenster bereits zum fünften Mal gewechselt wurde.
Shellcode-Dekodierung
Nachdem der bösartige Ausnahmehandler ausgelöst wurde, beginnt er mit der Dekodierung des TONESHELL-Shellcodes der nächsten Stufe. Um den Shellcode zu dekodieren, wird zunächst ein 32-Byte-Schlüssel in XOR-Operationen mit 0x7D dekodiert, und der Schlüssel wird dann zum Dekodieren des Shellcode-Körpers verwendet.
Sich entwickelnde Varianten
Nach unserer Analyse und weiteren Bedrohungssuche haben wir mehrere Varianten des TONESHELL-Shellcodes gefunden:
Tabelle 5. Unterschiede zwischen TONESHELL-Varianten
Variante A
TONESHELL unterstützt konstruktionsbedingt bis zu 10 C&C-Server, aber in allen Beispielen, auf die wir gestoßen sind, wurde nur ein C&C-Server verwendet. Bevor eine Verbindung zum C&C-Server hergestellt wird, generiert er eine Opfer-ID (die Variable unique_id) mit der Volume-Seriennummer des Opfers und dem Computernamen oder mit einer zufällig generierten GUID.
Im ersten Beacon sammelt es die folgenden Daten vom Computer des Opfers und sendet sie an den C&C-Server:
TONESHELL kommuniziert über unformatiertes TCP, wobei der Anforderungsheader und der Antwortheader mit der spezifischen magischen Bytesequenz „17 03 03“ beginnen. Basierend auf unseren Untersuchungen wird dieser Magic Header in allen TONESHELL TCP-Varianten und der identifizierten PUBLOAD-Malware verwendet. Die Nutzlast im Paket wird im RC4-Algorithmus verschlüsselt. In dieser Variante ist das Format des Anforderungspakets wie folgt:
Tabelle 6. Anforderungspaketformat in TONESHELL-Variante A
Die Hintertür unterstützt verschiedene Funktionen, darunter Datei-Upload, Datei-Download, Dateiausführung und seitliche Bewegung. Uns ist auch aufgefallen, dass die internen Zeichenfolgen selbsterklärend sind. Tatsächlich heißt diese Malware TONESHELL, nach dem Tippfehler in ihrem Befehl „TOnePipeShell“. Die folgende Tabelle zeigt alle Befehle:
Tabelle 7. Befehlscodes in TONESHELL Variante A
Variante B
TONESHELL-Variante B unterscheidet sich geringfügig von Variante A, bei der die Opfer-ID stattdessen aus der Tick-Anzahl, dem Benutzernamen und dem Computernamen generiert wird.
Auch das Protokoll der Hintertür ist anders. Die Nutzlast im Paket wird mit einem zufälligen 32-Byte-Schlüssel verschlüsselt, und der Schlüssel unterscheidet sich von Paket zu Paket. Der neue Schlüssel wird bei jeder neuen Anfrage generiert.
Tabelle 8. Anforderungspaketformat in TONESHELL-Variante B
Die Befehlscodes in dieser Variante lauten wie folgt:
Tabelle 9. Befehlscodes in TONESHELL Variante B
Variante C
Während unserer Recherche haben wir einen ausgegebenen TONESHELL-Shellcode von VirusTotal aufgespürt (SHA256: 521662079c1473adb59f2d7134c8c1d76841f2a0f9b9e6e181aa54df25715a09). Unsere Analyse ergab, dass es ähnlich wie die beiden verschiedenen Varianten funktioniert, das verwendete C&C-Protokoll jedoch HTTP ist. Es scheint sich um die frühere Version von TONESHELL zu handeln, da das Beispiel im September 2021 hochgeladen wurde und die POST-Methode für den ersten Beacon verwendet. Die folgenden Daten werden vom Computer des Opfers erfasst:
Die ID des Opfers (angegeben durch den „Guid“-Header im ersten Beacon und später im „Cookie“-Header verwendet) wird ebenfalls aus einer zufälligen GUID generiert. Der Hauptteil ist auch in RC4 verschlüsselt und die Befehlscodes ähneln weitgehend Variante B wie folgt:
Tabelle 10. Befehlscodes in TONESHELL-Variante C
Wir haben festgestellt, dass in den letzten Monaten mehrere TONESHELL- und TONEINS-Malware-Beispiele auf VirusTotal hochgeladen wurden. Mithilfe dieser haben wir mehrere Google Drive-Links gesammelt, wie zum Beispiel 770d5b60d8dc0f32941a6b530c9598df92a7ec76b60309aa8648f9b3a3f3cca5.
Normalerweise sehen wir solche Download-Links als erste Ankunftsvektoren. Der direkte Download-Link von Google Drive wird im Format https[:]//drive.google.com/uc?id=gdrive_file_id&export=download dargestellt. Die gdrive_file_id ist eine eindeutige Kennung für diese bestimmte Datei. Wir können zum Web Viewer wechseln, um dessen Dateiinhalt und seinen Besitzer zu überprüfen, indem wir die URL ändern: https[:]//drive.google.com/file/d/gdrive_file_id/view.
Im Detailbereich können wir den Besitzer dieser Datei finden, und indem wir mit der Maus auf das Symbol fahren, können wir die E-Mail-Adresse abrufen.
Mit diesem speziellen E-Mail-Konto können wir weitere Recherchen durchführen. Nach unserer Untersuchung wissen wir beispielsweise, dass die Täter dieselbe E-Mail-Adresse missbraucht haben, um die Lockarchive in Google Drive zu speichern und die Phishing-E-Mail zuzustellen. Wenn wir in den Überwachungsprotokollen nach dieser spezifischen E-Mail-Adresse suchen, finden wir möglicherweise mehr verbreitete Malware.
Die beobachteten TTPs in dieser Kampagne ähneln der von Secureworks erwähnten Kampagne. Beide Kampagnen missbrauchten die .lnk-Dateien, um die Malware auszulösen. Im Vergleich zu den Beobachtungen des besagten Berichts weisen die Archive, die wir in dieser Kampagne gefunden haben, ähnliche Ordnerstrukturen auf.
Basierend auf demselben Bericht war bekannt, dass Bronze President APIs mit einem Callback-Funktionsargument nutzte, um den Shellcode wie EnumThreadWindows aufzurufen. Ähnliche Techniken werden auch in der Schadsoftware PUBLOAD eingesetzt.
Darüber hinaus haben wir auch einen Zusammenhang zwischen den beiden Kampagnen entdeckt: Einer der C&C-Server (98[.]142[.]251[.]29) kann mit einer Verknüpfungsdatei verknüpft werden. Diese Verknüpfungsdatei erscheint in einem Lock-Archiv „EU 31st session of the Commission on Crime Prevention and Criminal Justice United Nations on Drugs and Crime.rar“ (SHA256: 09fc8bf9e2980ebec1977a8023e8a2940e6adb5004f48d07ad34b71ebf35b877), das auch im Secureworks-Bericht erwähnt wird. Wir haben das Tool LECmd verwendet, um die Verknüpfungsdateien zu analysieren, wobei wir die spezifische C&C-Zeichenfolge in den Metadaten der .lnk-Datei gefunden haben. Es scheint, dass der Schauspieler die C&C-Zeichenfolge als Ordnernamen verwendet hat.
Drittens ähneln die von Cisco Talos erwähnten Infektionsketten auch dem, was wir kürzlich beobachtet haben:
Am wichtigsten ist, dass der im Bericht erwähnte Stager denselben Magic Header (17 03 03) verwendet wie TONESHELL im C&C-Kommunikationsprotokoll und damit die Verbindung dieser Malware-Familien zu Earth Preta festigt.
Earth Preta ist eine Cyberspionagegruppe, die dafür bekannt ist, ihre eigenen Loader in Kombination mit bestehenden Tools wie PlugX und Cobalt Strike zu entwickeln, um Kompromittierungen zu ermöglichen. Aktuelle Forschungsarbeiten zeigen, dass das Unternehmen seine Toolsets ständig aktualisiert und seine Fähigkeiten weiter ausbaut.
Basierend auf unserer Analyse können die gestohlenen sensiblen Dokumente, sobald die Gruppe die Systeme eines Zielopfers infiltriert hat, als Eintrittsvektoren für die nächste Welle von Einbrüchen missbraucht werden. Diese Strategie erweitert den Wirkungsbereich in der betroffenen Region erheblich. Für die Ziele der Gruppe scheinen die Länder Asiens das Zielgebiet zu sein.
Im Rahmen organisatorischer Eindämmungspläne empfehlen wir die Durchführung kontinuierlicher Phishing-Sensibilisierungsschulungen für Partner und Mitarbeiter. Wir empfehlen, den Absender und den Betreff immer zweimal zu überprüfen, bevor Sie eine E-Mail öffnen, insbesondere bei einem nicht identifizierbaren Absender oder einem unbekannten Betreff. Wir empfehlen außerdem eine mehrschichtige Schutzlösung, um Bedrohungen so weit wie möglich in der Malware-Infektionskette zu erkennen und zu blockieren.
MITRE ATT&CK
Die vollständige Liste der IOCs finden Sie hier.
Nick Dai
Leitender Bedrohungsforscher
Vickie Su
Bedrohungsanalyst
Sunny Lu
Bedrohungsanalyst