Operación Fantasma: los duques no han vuelto, nunca se fueron


Los investigadores de ESET describen la actividad reciente del infame grupo de espionaje, los Dukes, que incluye tres nuevas familias de malware

Los Dukes (también conocidos como APT29 y Cozy Bear) han estado en el centro de atención después de su presunta participación en la violación del Comité Nacional Demócrata en el período previo a las elecciones estadounidenses de 2016. Desde entonces, a excepción de un regreso sospechoso y único en noviembre de 2018, con una campaña de phishing dirigida a varias organizaciones con sede en los EE. UU., Ninguna actividad se ha atribuido con confianza a los Dukes. Esto nos dejó pensando que el grupo había detenido sus actividades.

Esto se mantuvo hasta los últimos meses, cuando descubrimos tres nuevas familias de malware que atribuimos a los Dukes: PolyglotDuke, RegDuke y FatDuke. Estos nuevos implantes se usaron hasta hace muy poco, y la última muestra observada se implementó en junio de 2019. Esto significa que los Dukes han estado bastante activos desde 2016, desarrollando nuevos implantes y comprometiendo objetivos de alto valor. Llamamos a estas actividades de Dukes recientemente descubiertas, colectivamente, Operación fantasma.

Cronología y victimología

Creemos Operación fantasma comenzó en 2013 y todavía está en curso a partir de este escrito. Nuestra investigación muestra que los ministerios de Asuntos Exteriores en al menos tres países diferentes de Europa se ven afectados por esta campaña. También hemos descubierto una infiltración de los duques en la embajada de Washington, DC de un país de la Unión Europea.

Uno de los primeros rastros públicos de esta campaña se encuentra en Reddit en julio de 2014. La Figura 1 muestra un mensaje publicado por los atacantes. La cadena extraña que usa un juego de caracteres inusual es la URL codificada de un servidor de C&C utilizado por PolyglotDuke.

Figura 1. Publicación de Reddit que contiene una URL de comando y control codificada

La Figura 2 presenta la línea de tiempo de Operación fantasma. Como se basa en la telemetría de ESET, podría ser solo una vista parcial de una campaña más amplia.

Figura 2. Cronología de la Operación Fantasma

Atribución a los duques

Por un lado, notamos numerosas similitudes en las tácticas de esta campaña con las de las previamente documentadas, como el uso de:

  • Twitter (y otros sitios web sociales como Reddit) para alojar URL de C&C
  • esteganografía en imágenes para ocultar cargas útiles o comunicaciones C&C
  • Instrumental de administración de Windows (WMI) para persistencia

También notamos importantes similitudes en la orientación:

  • Todos los objetivos conocidos son Ministerios de Asuntos Exteriores.
  • Las organizaciones objetivo conocidas estaban anteriormente comprometidas por otro malware de Dukes como CozyDuke, OnionDuke o MiniDuke.
  • En algunas máquinas comprometidas con PolyglotDuke y MiniDuke, notamos que CozyDuke se instaló solo unos meses antes.

Sin embargo, una atribución basada solo en la presencia de herramientas Dukes conocidas en las mismas máquinas debe tomarse con un grano de sal. También encontramos otros dos actores de amenazas APT: Turla y Sednit – en algunas de las mismas computadoras.

Por otro lado, encontramos fuertes similitudes de código entre muestras ya documentadas y muestras de Operación fantasma. No podemos descartar la posibilidad de una operación de bandera falsa, sin embargo, esta campaña comenzó mientras solo se conocía una pequeña porción del arsenal de los Dukes. En 2013, en la primera fecha de compilación conocida de PolyglotDuke, solo MiniDuke había sido documentado y los analistas de amenazas aún no eran conscientes de la importancia de este actor de amenazas. Por lo tanto, creemos Operación fantasma se ejecutó simultáneamente con las otras campañas y ha pasado desapercibido hasta ahora.

PolyglotDuke (SHA-1: D09C4E7B641F8CB7CC86190FD9A778C6955FEA28) utiliza un algoritmo de cifrado personalizado para descifrar las cadenas utilizadas por el malware. Encontramos código funcionalmente equivalente en una muestra de OnionDuke (SHA-1: A75995F94854DEA8799650A2F4A97980B71199D2) que fue documentado por F-Secure en 2014. Es interesante observar que el valor utilizado para sembrar el srand La función es la marca de tiempo de compilación del ejecutable. Por ejemplo, 0x5289f207 corresponde al lunes 18 de noviembre de 2013 10:55:03 UTC.

Las capturas de pantalla de IDA en la Figura 3 muestran las dos funciones similares.

Figura 3. Comparación de una función de cifrado de cadena personalizada que se encuentra en PolyglotDuke (a la izquierda) y en OnionDuke (a la derecha) muestras de 2013

Además, las muestras recientes de la puerta trasera MiniDuke tienen similitudes con muestras documentadas hace más de cinco años. La Figura 4 es la comparación de una función en una puerta trasera MiniDuke listada por Kaspersky en 2014 (SHA-1: 86EC70C27E5346700714DBAE2F10E168A08210E4) y una puerta trasera MiniDuke (SHA-1: B05CABA461000C6EBD8B237F318577E9BCCD6047) compilado en agosto de 2018.

Figura 4. Comparación de la misma función en MiniDuke de 2014 (en la parte superior) y en MiniDuke de 2018 (en la parte inferior)

Dadas las numerosas similitudes entre otras campañas conocidas de Dukes y Operación fantasma, especialmente las fuertes similitudes del código y la superposición en el tiempo con las campañas anteriores, evaluamos con gran confianza que esta operación está a cargo de los Dukes.

Herramientas y técnicas actualizadas.

En Operación fantasma, los Dukes han usado un número limitado de herramientas, pero han confiado en numerosas tácticas interesantes para evitar ser detectados.

Primero, son muy persistentes. Roban credenciales y las usan sistemáticamente para moverse lateralmente en la red. Los hemos visto usando credenciales administrativas para comprometer o volver a comprometer máquinas en la misma red local. Por lo tanto, al responder a un compromiso de Dukes, es importante asegurarse de retirar cada implante en un corto período de tiempo. De lo contrario, los atacantes usarán cualquier implante restante para comprometer nuevamente los sistemas limpios.

En segundo lugar, tienen una plataforma de malware sofisticada dividida en cuatro etapas:

  • PolyglotDuke, que usa Twitter u otros sitios web como Reddit e Imgur para obtener su URL de C&C. También se basa en la esteganografía en imágenes para su comunicación C&C.
  • RegDuke, una primera etapa de recuperación, que usa Dropbox como su servidor C&C. La carga principal se cifra en el disco y la clave de cifrado se almacena en el registro de Windows. También se basa en la esteganografía como se indicó anteriormente.
  • Puerta trasera MiniDuke, la segunda etapa. Esta puerta trasera simple está escrita en ensamblador. Es muy similar a las puertas traseras MiniDuke más antiguas.
  • FatDuke, la tercera etapa. Esta sofisticada puerta trasera implementa muchas funcionalidades y tiene una configuración muy flexible. Su código también está bien ofuscado usando muchos predicados opacos. Lo vuelven a compilar y modifican la ofuscación con frecuencia para evitar detecciones de productos de seguridad.

La Figura 5 es un resumen de la plataforma de malware de Operación fantasma.

Figura 5. Resumen de la plataforma de malware Operation Ghost

En tercer lugar, también notamos que los operadores evitan usar la misma infraestructura de red de C&C entre diferentes organizaciones de víctimas. Este tipo de compartimentación generalmente solo es visto por los atacantes más meticulosos. Evita que se queme toda la operación cuando una sola víctima descubre la infestación y comparte las IoC de la red relacionadas con la comunidad de seguridad.

Conclusión

Nuestra nueva investigación muestra que incluso si un grupo de espionaje desaparece de los informes públicos durante muchos años, es posible que no haya dejado de espiar. Los duques pudieron volar por debajo del radar durante muchos años, al tiempo que comprometían objetivos de alto valor, como antes.

Puede encontrar una lista completa de Indicadores de compromiso (IoC) y muestras en el libro blanco completo y en GitHub.

Para un análisis detallado de la puerta trasera, consulte nuestro papel blanco. Para cualquier consulta, o para realizar presentaciones de muestras relacionadas con el tema, contáctenos en hazardintel@eset.com.

Técnicas MITRE ATT y CK

Táctica CARNÉ DE IDENTIDAD Nombre Descripción
Acceso inicial T1193 Accesorio de pesca submarina Los duques probablemente usaron correos electrónicos de spearphishing para comprometer al objetivo.
T1078 Cuentas Validas Los operadores usan las credenciales de cuenta robadas anteriormente para volver a la red de la víctima.
Ejecución T1106 Ejecución a través de API Utilizan las API de Windows CreateProcess o LoadLibrary para ejecutar binarios.
T1129 Ejecución a través de carga de módulo Algunos de sus malware cargan DLL utilizando la API de Windows LoadLibrary.
T1086 Potencia Shell FatDuke puede ejecutar scripts de PowerShell.
T1085 Rundll32 El cargador FatDuke usa rundll32 para ejecutar la DLL principal.
T1064 Scripting FatDuke puede ejecutar scripts de PowerShell.
T1035 Servicio de ejecución Los Dukes usan PsExec para ejecutar binarios en hosts remotos.
Persistencia T1060 Claves de ejecución del registro / Carpeta de inicio Los Dukes usan la clave de registro CurrentVersion Run para establecer la persistencia en las computadoras comprometidas.
T1053 Tarea programada Los Dukes usan la Tarea Programada para lanzar malware al inicio.
T1078 Cuentas Validas Los Dukes usan las credenciales de cuenta robadas anteriormente para volver a la red de la víctima.
T1084 Suscripción de eventos de instrumentación de administración de Windows Los duques usaron WMI para establecer la persistencia de RegDuke.
Evasión de defensa T1140 Desobuscar / decodificar archivos o información Los goteros para PolyglotDuke y LiteDuke incorporan cargas encriptadas.
T1107 Eliminación de archivos El malware Dukes puede eliminar archivos y directorios.
T1112 Modificar registro Las claves utilizadas para descifrar las cargas útiles de RegDuke se almacenan en el registro de Windows.
T1027 Archivos o información ofuscados Dukes cifra las cargas útiles de PolyglotDuke y LiteDuke con algoritmos personalizados. También se basan en técnicas conocidas de ofuscación, como predicados opacos y control del aplanamiento del flujo para ofuscar RegDuke, MiniDuke y FatDuke.
T1085 Rundll32 El cargador FatDuke usa rundll32 para ejecutar la DLL principal.
T1064 Scripting FatDuke puede ejecutar scripts de PowerShell.
T1045 Embalaje de software Los Dukes usan un empacador personalizado para ofuscar los binarios MiniDuke y FatDuke. También usan el empacador comercial .NET Reactor para ofuscar a RegDuke.
T1078 Cuentas Validas Los Dukes usan las credenciales de cuenta robadas anteriormente para volver a la red de la víctima.
T1102 Servicio web PolyglotDuke busca páginas web públicas (Twitter, Reddit, Imgur, etc.) para obtener cadenas encriptadas que conducen a nuevos C&C. servidor. Para RegDuke, también usan Dropbox como servidor C&C.
Descubrimiento T1083 Descubrimiento de archivos y directorios Los Dukes pueden interactuar con archivos y directorios en la computadora de la víctima.
T1135 Descubrimiento de redes compartidas Los duques pueden enumerar los recursos compartidos de la red.
T1057 Descubrimiento de procesos Los duques pueden enumerar los procesos en ejecución.
T1049 Descubrimiento de conexiones de red del sistema Los duques pueden ejecutar comandos como uso neto para recopilar información sobre las conexiones de red.
Movimiento lateral T1077 Recursos compartidos de administrador de Windows Los Dukes usan PsExec para ejecutar binarios en un host remoto.
Colección T1005 Datos del sistema local Los Dukes pueden recolectar archivos en las máquinas comprometidas
T1039 Datos de la unidad compartida de red Los Dukes pueden recopilar archivos en unidades compartidas.
T1025 Datos de medios extraíbles Los Dukes pueden recopilar archivos en unidades extraíbles.
Comando y control T1090 Proxy de conexión Los Dukes pueden comunicarse con el servidor de C&C a través de un proxy. También usan canalizaciones con nombre como servidores proxy cuando una máquina está aislada dentro de una red y no tiene acceso directo a Internet.
T1001 Ofuscación de datos Los Dukes usan esteganografía para ocultar cargas útiles y comandos dentro de imágenes válidas.
T1008 Canales de reserva Los Dukes tienen múltiples servidores C&C en caso de que uno de ellos esté caído.
T1071 Protocolo de capa de aplicación estándar Los Dukes están utilizando los protocolos HTTP y HTTPS para comunicarse con el servidor C&C.
T1102 Servicio web PolyglotDuke busca páginas web públicas (Twitter, Reddit, Imgur, etc.) para obtener cadenas encriptadas que conducen al nuevo servidor de C&C. Para RegDuke, también usan Dropbox como servidor C&C.
Exfiltración T1041 Exfiltración sobre el canal de comando y control Los Dukes usan el canal C&C para filtrar datos robados.








Enlace a la noticia original