С декабря 2019 года компания Mandiant отмечает, что APT увеличивают инвестиции в инструменты для массового сбора электронной почты из среды жертв, особенно в связи с поддержкой предполагаемых целей шпионажа. Сообщения электронной почты и их вложения представляют собой богатый источник информации об организации, хранящийся в централизованном месте, которое могут собирать APT. Большинство систем электронной почты, как локальных, так и облачных, предлагают программные методы поиска и доступа к данным электронной почты по всей организации, такие как eDiscovery и Graph API. По наблюдениям Mandiant, APT используют эти же инструменты для поддержки своих собственных требований к сбору данных и нацеливаются на почтовые ящики отдельных лиц в организациях-жертвах.
UNC3524
После получения первоначального доступа неизвестными средствами, UNC3524 развернула новый бэкдор, отслеживаемый Mandiant как QUIETEXIT, который основан на клиент-серверном ПО Dropbear SSH с открытым исходным кодом. Для удаленного доступа UNC3524 решила установить QUIETEXIT на непрозрачных сетевых устройствах в среде жертвы; подумайте о бэкдорах на массивах SAN, балансировщиках нагрузки и контроллерах беспроводных точек доступа. Такие устройства не поддерживают антивирусы или средства обнаружения и EDR, в результате чего поставщики оставляют управление базовыми операционными системами. Эти устройства часто работают под управлением старых версий BSD или CentOS. Нацеливаясь на доверенные системы в средах жертв, которые не поддерживают никаких средств защиты, UNC3524 смог оставаться незамеченным в средах жертв в течение как минимум 18 месяцев.
QUIETEXIT работает так, как будто традиционные роли клиента и сервера в SSH-соединении поменялись местами. Как только клиент, работающий на взломанной системе, устанавливает TCP-соединение с сервером, он выполняет роль SSH-сервера. Компонент QUIETEXIT, работающий в инфраструктуре угрожающего субъекта, инициирует SSH-соединение и отправляет пароль. Как только бэкдор устанавливает соединение, угрожающий субъект может использовать любые опции, доступные SSH-клиенту, включая проксирование трафика через SOCKS. QUIETEXIT не имеет механизма сохранения; однако мы наблюдали, как UNC3524 устанавливал команду запуска (rc), а также перехватывал сценарии запуска легитимных приложений, чтобы бэкдор мог выполняться при запуске системы.
При запуске QUIETEXIT пытается изменить свое имя на cron. В ходе расследования инцидентов Mandiant обнаружили образцы QUIETEXIT, которые были переименованы, чтобы слиться с другими легитимными файлами в файловой системе. В одном случае с зараженным узлом массива сетевых хранилищ UNC3524 назвал двоичный файл так, чтобы он сливался с набором скриптов, используемых для монтирования различных файловых систем на сетевом хранилище.
При запуске с аргументами командной строки -X -p <port> вредоносная программа подключается к жестко заданному адресу управления (C2) на определенном порту. Если это не удается, программа попытается подключиться ко второму жестко закодированному адресу C2, если он настроен. Пользователь также может указать имя хоста или IP-адрес в командной строке в аргументе -p, например, -X -p <хост>:<порт>. Аргумент -X командной строки чувствителен к регистру. Если используется параметр x в нижнем регистре, то вредоносная программа будет пытаться подключиться к серверу C2 только один раз. Если используется параметр X в верхнем регистре, то вредоносная программа будет спать в течение случайного количества минут между жестко заданным диапазоном времени и вилкой для повторной попытки соединения. Он повторно пытается установить соединение независимо от того, было ли оно уже установлено. В ходе наших исследований мы наблюдали, как UNC3524 использует домены C2, которые предназначены для смешивания с легитимным трафиком, исходящим от зараженных устройств. На примере зараженного балансировщика нагрузки домены C2 содержали строки, которые могли быть связаны с поставщиком устройства и названием фирменной операционной системы. Такой уровень планирования показывает, что UNC3524 понимает процессы реагирования на инциденты и пытается сделать так, чтобы их трафик C2 выглядел как легитимный для всех, кто просматривает журналы DNS или сеансов.
Все C2-домены QUIETEXIT, которые наблюдала Mandiant, использовали провайдеров Dynamic DNS. Динамический DNS позволяет субъектам угроз обновлять записи DNS для доменов практически беспрепятственно. Когда C2 были неактивны, APT резолвили домены на 127.0.0.1. Однако иногда номера портов менялись или использовалась инфраструктура VPS, а не скомпрометированная ботнет-камера. Mandiant подозревает, что когда у APT возникали проблемы с доступом к жертве, они устраняли неполадки, используя новую инфраструктуру или другие порты.
В некоторых случаях APT устанавливал вторичный бэкдор в качестве средства альтернативного доступа к среде жертвы. Таким альтернативным доступом была веб-оболочка REGEORG, ранее размещенная на веб-сервере DMZ. REGEORG - это веб-оболочка, создающая SOCKS-прокси, что соответствует предпочтениям UNC3524 в отношении туннелирования вредоносного ПО. Попав в среду жертвы, угрожающий агент потратил время на идентификацию веб-серверов в среде жертвы и убедился, что нашел один из них с доступом в Интернет, прежде чем скопировать на него REGEORG. Они также позаботились о том, чтобы назвать файл так, чтобы он сливался с приложением, запущенным на взломанном сервере. Mandiant также обнаружила случаи, когда UNC3542 использовал временную привязку для изменения временных меток стандартной информации веб-оболочки REGEORG, чтобы они совпадали с другими файлами в том же каталоге.
UNC3542 использовал эти веб-оболочки только тогда, когда их бэкдоры QUIETEXIT переставали работать, и только для восстановления QUIETEXIT на другой системе в сети. Вместо того чтобы использовать публичную версию REGEORG, опубликованную Sensepost, UNC3542 использовал все еще публичную, но малоизвестную версию веб-оболочки, которая сильно обфусцирована. Это позволило им обойти обычные сигнатурные методы обнаружения REGEORG.
Indicator of Compromise
Domains
- cloudns.asia
- dynu.net
- mywire.org
- webredirect.org
MD5
- ba22992ce835dadcd06bff4ab7b162f9
SHA1
- 3d4dcc859c6ca7e5b36483ad84c9ceef34973f9a
SHA256
7b5e3c1c06d82b3e7309C258dfbd4bfcd476c8ffcb4cebda76146145502a5997