Компания Check Point Research недавно отследила кластер вредоносной активности, продолжающийся в течение последних нескольких лет. Наблюдаемая активность имеет тесные связи с кластером Tropic Trooper, задокументированным Trend Micro, на основе общей инфраструктуры, инструментов и методов кодирования. Ранее Tropic Trooper был замечен на Филиппинах, Гонконге и Тайване, а два последних случая - в китайскоязычных странах.
Tropic Trooper APT
- Цепочка заражения включает ранее не описанный загрузчик (получивший название "Nimbda"), написанный на языке Nim.
- Загрузчик был замечен в комплекте с китайскоязычным серым ПО "SMS Bomber", которое, скорее всего, незаконно распространяется в китайскоязычной сети.
- Новый вариант троянца 'Yahoyah', ориентированный на сбор информации о локальных беспроводных сетях.
- Тщательно модифицированный шифр AES свидетельствует о криптографическом ноу-хау злоумышленников.
Эта активность особенно заинтересовала Check Point Research из-за необычных технических особенностей и целевой направленности, а также из-за использования нового сетевого штамма ранее задокументированной вредоносной программы.
Авторы вредоносных программ, суеверные и избегающие риска люди, обычно держатся в стороне от первобытного супа языков программирования, пытающихся "пробиться" в индустрии. Не часто встречаются банковские трояны на языке Haskell или двоичные файлы Prolog Ransomware, то же самое относится и к бэкдорам Nim. Тем не менее, даже в этом правиле есть странные исключения, такие как этот загрузчик, используемый Zebrocy, или загрузчик Nimar, используемый Trickbot Group.
Nimbda содержит встроенный исполняемый файл, SMS Bomber, который он забрасывает в папку temp жертвы и затем выполняет. После этого Nimbda отдельно внедряет другую часть кода в запущенный процесс notepad.exe.
Исполняемый файл - это китайский инструмент с графическим интерфейсом под названием "SMS Bomber". Он должен принять номер телефона в качестве входных данных, а затем наложить его на очень длинный список заранее подготовленных HTTP-запросов, запрашивающих одноразовые коды, проверочные сообщения, восстановление пароля и тому подобное. В результате телефон жертвы оказывается завален сообщениями и, предположительно, становится непригодным для использования. SMS Bomber предупреждает пользователей не использовать свой собственный номер телефона для тестирования, зарегистрирован на "A Pot of Sake All rights reserved" и написан на EPL, языке, популярном в Китае благодаря поддержке китайских строк.
Этот инструмент, за неимением лучшего слова, является теневым. Многие решения по безопасности однозначно классифицируют его как вредоносное ПО, даже если они не могут указать конкретную причину. EPL настолько непропорционально популярен среди разработчиков вредоносных программ по сравнению с обычным населением, что иногда на него навешивают ярлык "вредоносного ПО", независимо от того, что на самом деле делает скрипт EPL. Сама DLL интерпретатора EPL хранится в памяти, упаковывается в UPX и загружается в реальном времени, что также не очень хорошо. В любом случае, инструмент делает то, что заявляет, и автор чувствовал себя достаточно комфортно, чтобы оставить свой номер QQ (китайский мессенджер) в пункте меню "Связаться с автором", так что, возможно, нам не стоит так быстро судить по первому впечатлению.
Помимо запуска встроенного исполняемого файла (SMS Bomber в данной конкретной цепочке), Nimbda внедряет часть кода в запущенный процесс notepad.exe, что в данной конкретной цепочке запускает трехуровневый поток выполнения.
Сначала в файл notepad.exe внедряется и запускается начальный шеллкод. Этот шеллкод связывается с контролируемым злоумышленником репозиторием GitHub или Gitee и загружает файл EULA.md, содержащий обфусцированный IP-адрес.
Затем начальный шеллкод запрашивает https://<IP-адрес>/index.htm, который является обфусцированным исполняемым файлом следующего этапа, который запускается через процесс hollowing запущенного процесса dllhost.exe.
Эта деобфусцированная полезная нагрузка представляет собой улучшенную версию бэкдора/загрузчика TROJ_YAHOYAH, использовавшегося Tropic Trooper. Эта версия собирает информацию о SSID локальных беспроводных сетей в непосредственной близости от компьютера жертвы, в дополнение к информации, собранной оригинальным Yahoyah (такой как имя компьютера, MAC-адрес, версия ОС, установленные AV-продукты, наличие файлов WeChat и Tencent).
Собранная информация форматируется и отправляется на C&C-сервер.
Далее вредоносная программа действует аналогично известным версиям Yahoyah, устанавливая DLL для обеспечения постоянства - она либо зарегистрирована как служба, либо на нее ссылается ключ реестра Run или Winlogon. Эта DLL загружает изображение с C&C-сервера, которое на самом деле содержит стеганографически закодированную конечную полезную нагрузку. DLL извлекает PE и запускает экспортируемую функцию StartWork.
Помимо этого варианта Yahoyah активно используются другие пользовательские варианты Yahoyah (некоторые из них не являются новыми и появились раньше вышеупомянутой активности). Хотя эти пользовательские варианты имеют много общих черт - например, методы стеганографии, самодельная хэш-функция для выполнения обфусцированного поиска имен процессов и модифицированное шифрование - есть также набор функций, которые появляются в одних вариантах, но не в других. Все эти функции представляют собой обычные бэкдоры, такие как анти-аналитические проверки или мьютекс для предотвращения одновременного выполнения (в некоторых примерах реализовано через запись в INI-файл, в других - через прямое использование API windows). В одном конкретном примере Check Point Research увидели использование Windows Transactional NTFS API для загрузки и выполнения встроенного PE внутри, казалось бы, легитимного процесса (печально известная техника Process Doppelganging).
Indicators of Compromise
IPv4
- 101.32.36.76
- 106.53.120.204
- 118.195.161.141
- 132.232.92.218
- 134.175.197.144
- 150.109.114.190
- 155.138.155.181
- 159.75.144.13
- 159.75.155.13
- 159.75.81.151
- 159.75.83.212
- 212.182.121.97
- 43.129.177.152
- 43.134.194.237
- 43.154.74.7
- 43.154.85.5
- 43.154.88.192
- 45.76.218.247
- 45.77.178.47
- 49.232.142.8
- 82.156.178.135
- 82.157.51.214
- 82.157.62.199
Domains
- ak.buycheap.cn
- api.cnicchina.com
MD5
- 0cbca21300763c6059ccdf8f0fd46319
- 17c87aba7eccc2148672d9e61e509906
- 1e7df4685b1d4a6886215d2b0a8d9370
- 223e675ddbdf74c560886f90fc114297
- 2a68a55b226abc4e7aa940471088ceab
- 2e8a8e03e82649d46c5deee2f54ce470
- 3de8c5952bf1147839399dde1eb05ce4
- 4207445f6cddc36d4a22151db7432158
- 4949147393b623d3f99b858bc6467c06
- 560545cddf3cba248702d0edb7fabff3
- 64b9cf63f03eaab3959e20a2cd23b704
- 68a3198fd77a063f46a1d3cddb266f02
- 760a41f6d3cac656d72d8f3d198ab9dd
- 7c4cd57219d560084075beecc81532d7
- 7f8b4a962edea1dd9d552fbc907f76bb
- 87b97be92584f86dc58bf444dfe85f9d
- 87f62453c5b8d5bd8cc6d599f1326c43
- 88c92306a190bcf1fd1f54fb327ce124
- 8b7b602e05604f61685a2cbfc16313af
- 8d4e128b6701f70f7337e2a479a7ec5e
- 8ee94c4d4e13bf59524e1d3eb9c8c846
- 916e8b1a9d91f3649b33dd8bc0f09a8d
- 93f06130c7c17502bcc1a7900057898c
- a517859ee63713fa364e960def411433
- ca88c5d5f4409179b3820db7ce6b68fb
- f58f23c9478ca8d1bbdc7be78e7e42e0
- fa9b9fbaf58ad3a1b83c6f98e67446c7
- fc7b582befae6a03830c47fa2a5a8a27