Субъекты, спонсируемые государством, взломали центр выдачи цифровых сертификатов в одной из азиатских стран в ходе кампании, объектами которой также были многочисленные правительственные учреждения.
Billbug APT
Symantec смогла связать эту деятельность с группой, которую мы отслеживаем как Billbug, благодаря использованию в этой кампании инструментов, ранее приписываемых этой группе. Billbug (она же Lotus Blossom, Thrip) - это давно известная группа постоянных угроз (APT), которая, как считается, действует по меньшей мере с 2009 года. Symantec ранее публиковала информацию об активности этой группы в 2018 и 2019 годах под именем Thrip, но после нашего расследования в 2019 году мы определили, что Thrip и Billbug, скорее всего, были одной и той же группой, поэтому теперь отслеживает всю активность под именем Billbug.
В деятельности, документированной Symantec в 2019 году, подробно описали, как группа использовала бэкдор, известный как Hannotog (Backdoor.Hannotog), и другой бэкдор, известный как Sagerunex (Backdoor.Sagerunex). Оба этих инструмента также были замечены в этой недавней активности.
Жертвами этой кампании стали центр сертификации, а также правительственные и оборонные агентства. Все жертвы находились в различных странах Азии. Известно, что Billbug ориентируется на цели в азиатских странах. По крайней мере в одной из правительственных жертв злоумышленники скомпрометировали большое количество машин в сети.
Атака на центр сертификации примечательна тем, что если бы злоумышленники смогли успешно скомпрометировать его, чтобы получить доступ к сертификатам, они могли бы потенциально использовать их для подписи вредоносного ПО действительным сертификатом и помочь ему избежать обнаружения на машинах жертв. Также потенциально можно было бы использовать скомпрометированные сертификаты для перехвата HTTPS-трафика. Однако, хотя это и является возможной мотивацией для атаки на центр сертификации, Symantec не обнаружила никаких доказательств того, что злоумышленникам удалось скомпрометировать цифровые сертификаты. Symantec уведомила соответствующий центр сертификации об этой деятельности.
Эта деятельность продолжается как минимум с марта 2022 года.
Цепочка атак
Есть некоторые признаки того, что злоумышленники используют общедоступные приложения для получения первоначального доступа к сетям жертв.
В этой атакующей кампании злоумышленники используют множество инструментов двойного назначения, а также собственные вредоносные программы. Широкое использование Billbug инструментов двойного назначения и "живых" инструментов было заметно и в предыдущих кампаниях. Среди инструментов двойного назначения, использовавшихся в этой недавней активности, следующие:
- AdFind - общедоступный инструмент, который используется для запроса Active Directory. Он имеет законное применение, но широко используется злоумышленниками для создания карты сети.
- Winmail - может открывать файлы winmail.dat.
- WinRAR - менеджер архивов, который можно использовать для архивации или zip-архивирования файлов - например, перед эксфильтрацией.
- Ping - свободно распространяемый в Интернете инструмент, позволяющий определить, отвечает ли определенное место в сети.
- Tracert - сетевой инструмент, который можно использовать для определения "пути" пакетов от одного IP-адреса к другому. Он предоставляет имя хоста, IP-адрес и время ответа на запрос ping.
- Route - путь для отправки пакетов через интернет-сеть на адрес в другой сети.
- NBTscan - сканер NetBIOS с открытым исходным кодом.
- Certutil - Утилита Microsoft Windows, которая может быть использована для различных вредоносных целей, например, для декодирования информации, загрузки файлов и установки корневых сертификатов браузера.
- Port Scanner - позволяет злоумышленнику определить, какие порты открыты в сети и могут потенциально использоваться для отправки и получения данных.
На машинах жертв было обнаружено несколько файлов, которые, предположительно, являются загрузчиками для бэкдора Hannotog. Затем бэкдор был развернут на скомпрометированной системе. Этот бэкдор имеет множество функций:
Он выполняет команду netsh для обновления настроек брандмауэра:
1 2 3 | netsh advfirewall firewall add rule name="Core Networking - Router Solicitation (ICMP-In)" dir=in action=allow program="%s" enable=yes netsh firewall add portopening UDP 5900 @xpsp2res.dll,-22006 ENABLE ALL',0 netsh firewall add allowedprogram name="SNMP Trap Service" program="%s" mode=enable |
- Слушает порт 5900
- Может создать службу для постоянства
- Может также останавливать службы
- Может загружать зашифрованные данные
- Может выполнять команду cmd.exe /c %s для сбора информации о системе
- Может загружать файлы на машину
Инструмент под названием Stowaway Proxy Tool также был загружен на компьютеры жертв. Stowaway - это многоуровневый прокси-инструмент, написанный на языке Go и предназначенный для использования тестерами на проникновение. Пользователи могут использовать эту программу для проксирования внешнего трафика в интрасеть через несколько узлов, преодоления ограничений доступа в интрасеть, построения древовидной сети узлов и простой реализации функций управления. Нередко инструменты тестирования на проникновение используются субъектами угроз не по назначению. Cobalt Strike, который представляет собой фреймворк для тестирования на проникновение, многие считают товарным вредоносным ПО из-за того, как часто он используется злоумышленниками.
Мотивация
Хотя в этой кампании мы не видим утечки данных, Billbug широко известен как шпионский агент, что указывает на то, что наиболее вероятным мотивом этой кампании является кража данных. Жертвы этой кампании - государственные учреждения и центр сертификации - также указывают на мотив шпионажа и кражи данных. Нацеливание на правительственных жертв, скорее всего, обусловлено мотивами шпионажа, а центр сертификации, вероятно, нацелен на кражу законных цифровых сертификатов, как упоминалось во введении.
Это потенциально очень опасно, так как если Billbug сможет подписать свою вредоносную программу действительным цифровым сертификатом, он сможет обойти обнаружение системы безопасности на машинах жертв. Способность этого агента компрометировать сразу несколько жертв указывает на то, что эта угрожающая группа остается опытным и хорошо обеспеченным ресурсами оператором, способным проводить устойчивые и широкомасштабные кампании. Похоже, что Billbug также не останавливает возможность приписывания ей этой деятельности, поскольку она использует инструменты, которые были связаны с этой группой в прошлом.
Indicators of Compromise
SHA256
- 072022b54085690001ff9ec546051b2f60564ffbf5b917ac1f5a0e3abe7254a5
- 0cc6285d4bfcb5de4ebe58a7eab9b8d25dfcfeb12676b0c084e8705e69f6f281
- 148145b9a2e3f3abdc6c2d3de340eabc82457be67fb44cfa400a5e7bd2f88760
- 2a4302e61015fdf5f65fbd456249bafe96455cd5cc8aefe075782365b9ae3076
- 3585a5cbbf1b8b3206d7280355194d5442ed997f61e061fd6938a93163c79507
- 37fe8efe828893042e4f1db7386d20fec55518a3587643f54d4c3ec82c35df6d
- 3c35514b27c57a46a5593dbbbfceddbc49979b20fddc14b68bf4f0ee965a7c59
- 3dd7b684024941d5ab26df6730d23087037535783e342ee98a3934cccddb8c3e
- 64c546439b6b2d930f5aced409844535cf13f5c6d24e0870ba9bc0cf354d8c11
- 79f9f25b15e88c47ce035f15dd88f18ecc11e1319ff6f88568fdd0d327ad7cc1
- 7fe67567a5de33166168357d663b85bd452d64a4340bdad29fe71588ad95bf6f
- 80a8a9a2e91ead0ae5884e823dca73ef9fce59ff96111c632902d6c04401a4fe
- 861d1307913d1c2dbf9c6db246f896c0238837c47e1e1132a44ece5498206ec2
- 8f7c74a9e1d04ff116e785f3234f80119d68ae0334fb6a5498f6d40eee189cf7
- a462085549f9a1fdeff81ea8190a1f89351a83cf8f6d01ecb5f238541785d4b3
- adb61560363fcda109ea077a6aaf66da530fcbbb5dbde9c5923a59385021a498
- b631abbfbbc38dac7c59f2b0dd55623b5caa1eaead2fa62dc7e4f01b30184308
- bcc99bc9c02e1e2068188e63bc1d7ebe308d0d12ce53632baa31ce992f06c34a
- c4a7a9ff4380f6b4730e3126fdaf450c624c0b7f5e9158063a92529fa133eaf2
- e4a460db653c8df4223ec466a0237943be5de0da92b04a3bf76053fa1401b19e
- f7ea532becda13a1dcef37b4a7ca140c56796d1868867e82500e672a68d029e4
- f969578a0e7fe90041d2275d59532f46dee63c6c193f723a13f4ded9d1525c6b
- fea2f48f4471af9014f92026f3c1b203825bb95590e2a0985a3b57d6b598c3ff