Gopuram Backdoor IOCs

security IOC
Опубликовано

29 марта компания Crowdstrike опубликовала отчет об атаке на цепочку поставок, проведенной через 3CXDesktopApp, популярную программу VoIP. С тех пор сообщество специалистов по безопасности начало анализировать атаку и делиться своими выводами.

Gopuram Backdoor

На данный момент обнаружено следующее:

  • Инфекция распространяется через MSI-установщики 3CXDesktopApp. Установщик для macOS также был троянским.
  • Вредоносный установочный пакет содержит зараженную библиотеку dll, которая расшифровывает шеллкод из оверлея библиотеки d3dcompiler_47.dll и выполняет его.
  • Расшифрованная полезная нагрузка извлекает URL-адреса C2-серверов из иконок, хранящихся в репозитории GitHub (репозиторий удален).
    Полезная нагрузка подключается к одному из C2-серверов, загружает инфопрограмму infostealer и запускает ее.
  • Инфокража собирает системную информацию и историю браузера, а затем отправляет ее на сервер C2.

Изучив доступные отчеты об атаке 3CX, Kaspersky Lab задались вопросом, закончилась ли компрометация на инфокраже или за ней последовали дальнейшие имплантаты. Чтобы ответить на этот вопрос, мы решили проанализировать имеющуюся у нас телеметрию по этой кампании. На одной из машин Kaspersky Lab обнаружили DLL с именем guard64.dll, которая была загружена в зараженный процесс 3CXDesktopApp.exe. Интересно, что Kaspersky Lab начали расследование дела, связанного с этой DLL, 21 марта, примерно за неделю до обнаружения атаки на цепочки поставок. DLL с таким именем использовалась в недавних развертываниях бэкдора, который Kaspersky Lab окрестили "Gopuram" и отслеживали внутри компании с 2020 года. Три года назад Kaspersky Lab расследовали заражение криптовалютной компании, расположенной в Юго-Восточной Азии. В ходе расследования мы обнаружили, что Gopuram сосуществовал на машинах жертв с AppleJeus, бэкдором, приписываемым корейскому угрожающему актеру Lazarus.

В течение нескольких лет Kaspersky Lab наблюдали мало жертв, зараженных Gopuram, но в марте 2023 года количество заражений начало расти. Как выяснилось, это увеличение было напрямую связано с атакой на цепочку поставок 3CX. Kaspersky Lab  выяснили, что объект угрозы специально нацеливался на криптовалютные компании, сбрасывая на зараженные машины следующие файлы:

  • C:\Windows\system32\wlbsctrl.dll, вредоносная библиотека (MD5: 9f85a07d4b4abff82ca18d990f062a84);
  • C:\Windows\System32\config\TxR\<GUID аппаратного профиля машины>.TxR.0.regtrans-ms, зашифрованный шеллкод.

После загрузки wlbsctrl.dll становится загружаемым при каждом запуске службой IKEEXT через перехват DLL. Далее мы увидели, что DLL с именами ualapi.dll и ncobjapi.dll загружаются в spoolsv.exe и WmiPrvSE.exe, соответственно.

Библиотека wlbsctrl.dll отвечает за расшифровку и выполнение шеллкода, хранящегося в каталоге C:\Windows\System32\config\TxR. Расшифровка выполняется с помощью API-функции CryptUnprotectData, которая на каждой машине использует свой ключ шифрования. Это затрудняет исследователям расшифровку полезной нагрузки из файла без физического доступа к машинам-жертвам.

Компонент, загружаемый библиотекой, является главным модулем Gopuram. Как упоминалось выше, его имя в каталоге экспорта - guard64.dll. Работа главного модуля заключается в подключении к серверу C2 и запросе команд. Бэкдор реализует команды, которые позволяют злоумышленникам взаимодействовать с файловой системой жертвы и создавать процессы на зараженной машине. Кроме того, было замечено, что Gopuram запускает модули в памяти. Подобно имплантатам, использованным в кампании 3CX, модули Gopuram представляют собой DLL-файлы, включающие экспортную функцию DllGetClassObject.

Обнаружение новых инфекций Gopuram позволило  со средней или высокой степенью уверенности приписать кампанию 3CX агенту угрозы Lazarus. Атрибуция основана на следующих фактах:

  • В ходе расследования атаки на криптовалютную компанию из Юго-Восточной Азии в 2020 году Kaspersky Lab обнаружили Gopuram, сосуществующий на одной машине с бэкдором AppleJeus, который приписывается Lazarus.
  • Бэкдор Gopuram был замечен в атаках на криптовалютные компании, что соответствует интересам угрожающего агента Lazarus.
  • При поиске дополнительных имплантатов, использующих тот же шеллкод загрузчика, что и имплантаты 3CX, Kaspersky Lab обнаружили образец на сервисе мультисканера (MD5: 933508a9832da1150fcfdbc1ca9bc84c), загружающий полезную нагрузку, которая использует сервер C2 wirexpro[.]com. Этот же сервер указан Malwarebytes в качестве IoC для кампании AppleJeus.

Следует отметить, что шеллкод основан на открытом коде, который использовался другими участниками угроз, например, SilentBreak. Тем не менее, использование этого шеллкода вместе с константой 0xF558F4DA (которая является хэшем ROR13 для строки DllGetClassObject) является более уникальным шаблоном.

При исследовании вредоносного MSI-файла (MD5: ec3f99dd7d9dbce8d704d407b086e84f), который был загружен в службу мультисканера, Kaspersky Lab наблюдали следующие два события:

  • Библиотека dll, загруженная из MSI, запускает в памяти полезную нагрузку, которая обращается к домену oilycargo[.]com. Это доменное имя ранее приписывалось Lazarus многими исследователями.
  • В  телеметрии Kaspersky Lab наблюдали, что AvBugReport.exe, исполняемый файл, размещающий dll, содержит основную полезную нагрузку модуля Gopuram, guard64.dll.

Эти четыре факта позволяют  сделать вывод, что Lazarus, скорее всего, является субъектом угрозы, развертывающим бэкдор Gopuram.

Что касается жертв в телеметрии Kaspersky Lab, то установки зараженного программного обеспечения 3CX расположены по всему миру, причем самые высокие показатели заражения наблюдаются в Бразилии, Германии, Италии и Франции.

Поскольку бэкдор Gopuram был развернут менее чем на десяти зараженных машинах, это указывает на то, что злоумышленники использовали Gopuram с хирургической точностью. Кроме того, Kaspersky Lab заметили, что злоумышленники проявляют особый интерес к криптовалютным компаниям.

Как выяснилось, инфопохититель - не единственная вредоносная полезная нагрузка, развернутая во время атаки на цепочку поставок 3CX. Угрожающий агент, стоящий за Gopuram, дополнительно заражает целевые машины полноценным модульным бэкдором Gopuram. Kaspersky Lab считают, что Gopuram является основным имплантатом и конечной полезной нагрузкой в цепочке атак.

Indicators of Compromise

MD5

  • 96d3bbf4d2cf6bc452b53c67b3f2516a
  • 9f85a07d4b4abff82ca18d990f062a84
Похожие записи:
  1. DTrack Backdoor IOCs
  2. 3CXDesktopApp Backdoor IOCs
  3. XCore Backdoor IOCs
  4. SessionManager Backdoor IOCs
  5. WinorDLL64 (Wslink) Downloader IOCs
3CXDesktopApp Backdoor Gopuram Kaspersky Lab Lazarus
Добавить комментарий