Los investigadores de ESET describen la actividad reciente del infame grupo de espionaje, los Dukes, que incluye tres nuevas familias de malware
Los Dukes (también conocidos como APT29 y Cozy Bear) han estado en el centro de atención después de su presunta participación en la violación del Comité Nacional Demócrata en el período previo a las elecciones estadounidenses de 2016. Desde entonces, a excepción de un regreso sospechoso y único en noviembre de 2018, con una campaña de phishing dirigida a varias organizaciones con sede en los EE. UU., Ninguna actividad se ha atribuido con confianza a los Dukes. Esto nos dejó pensando que el grupo había detenido sus actividades.
Esto se mantuvo hasta los últimos meses, cuando descubrimos tres nuevas familias de malware que atribuimos a los Dukes: PolyglotDuke, RegDuke y FatDuke. Estos nuevos implantes se usaron hasta hace muy poco, y la última muestra observada se implementó en junio de 2019. Esto significa que los Dukes han estado bastante activos desde 2016, desarrollando nuevos implantes y comprometiendo objetivos de alto valor. Llamamos a estas actividades de Dukes recientemente descubiertas, colectivamente, Operación fantasma.
Cronología y victimología
Creemos Operación fantasma comenzó en 2013 y todavía está en curso a partir de este escrito. Nuestra investigación muestra que los ministerios de Asuntos Exteriores en al menos tres países diferentes de Europa se ven afectados por esta campaña. También hemos descubierto una infiltración de los duques en la embajada de Washington, DC de un país de la Unión Europea.
Uno de los primeros rastros públicos de esta campaña se encuentra en Reddit en julio de 2014. La Figura 1 muestra un mensaje publicado por los atacantes. La cadena extraña que usa un juego de caracteres inusual es la URL codificada de un servidor de C&C utilizado por PolyglotDuke.
Figura 1. Publicación de Reddit que contiene una URL de comando y control codificada
La Figura 2 presenta la línea de tiempo de Operación fantasma. Como se basa en la telemetría de ESET, podría ser solo una vista parcial de una campaña más amplia.
Figura 2. Cronología de la Operación Fantasma
Atribución a los duques
Por un lado, notamos numerosas similitudes en las tácticas de esta campaña con las de las previamente documentadas, como el uso de:
- Twitter (y otros sitios web sociales como Reddit) para alojar URL de C&C
- esteganografía en imágenes para ocultar cargas útiles o comunicaciones C&C
- Instrumental de administración de Windows (WMI) para persistencia
También notamos importantes similitudes en la orientación:
- Todos los objetivos conocidos son Ministerios de Asuntos Exteriores.
- Las organizaciones objetivo conocidas estaban anteriormente comprometidas por otro malware de Dukes como CozyDuke, OnionDuke o MiniDuke.
- En algunas máquinas comprometidas con PolyglotDuke y MiniDuke, notamos que CozyDuke se instaló solo unos meses antes.
Sin embargo, una atribución basada solo en la presencia de herramientas Dukes conocidas en las mismas máquinas debe tomarse con un grano de sal. También encontramos otros dos actores de amenazas APT: Turla y Sednit – en algunas de las mismas computadoras.
Por otro lado, encontramos fuertes similitudes de código entre muestras ya documentadas y muestras de Operación fantasma. No podemos descartar la posibilidad de una operación de bandera falsa, sin embargo, esta campaña comenzó mientras solo se conocía una pequeña porción del arsenal de los Dukes. En 2013, en la primera fecha de compilación conocida de PolyglotDuke, solo MiniDuke había sido documentado y los analistas de amenazas aún no eran conscientes de la importancia de este actor de amenazas. Por lo tanto, creemos Operación fantasma se ejecutó simultáneamente con las otras campañas y ha pasado desapercibido hasta ahora.
PolyglotDuke (SHA-1: D09C4E7B641F8CB7CC86190FD9A778C6955FEA28) utiliza un algoritmo de cifrado personalizado para descifrar las cadenas utilizadas por el malware. Encontramos código funcionalmente equivalente en una muestra de OnionDuke (SHA-1: A75995F94854DEA8799650A2F4A97980B71199D2) que fue documentado por F-Secure en 2014. Es interesante observar que el valor utilizado para sembrar el srand La función es la marca de tiempo de compilación del ejecutable. Por ejemplo, 0x5289f207 corresponde al lunes 18 de noviembre de 2013 10:55:03 UTC.
Las capturas de pantalla de IDA en la Figura 3 muestran las dos funciones similares.
Figura 3. Comparación de una función de cifrado de cadena personalizada que se encuentra en PolyglotDuke (a la izquierda) y en OnionDuke (a la derecha) muestras de 2013
Además, las muestras recientes de la puerta trasera MiniDuke tienen similitudes con muestras documentadas hace más de cinco años. La Figura 4 es la comparación de una función en una puerta trasera MiniDuke listada por Kaspersky en 2014 (SHA-1: 86EC70C27E5346700714DBAE2F10E168A08210E4) y una puerta trasera MiniDuke (SHA-1: B05CABA461000C6EBD8B237F318577E9BCCD6047) compilado en agosto de 2018.
Figura 4. Comparación de la misma función en MiniDuke de 2014 (en la parte superior) y en MiniDuke de 2018 (en la parte inferior)
Dadas las numerosas similitudes entre otras campañas conocidas de Dukes y Operación fantasma, especialmente las fuertes similitudes del código y la superposición en el tiempo con las campañas anteriores, evaluamos con gran confianza que esta operación está a cargo de los Dukes.
Herramientas y técnicas actualizadas.
En Operación fantasma, los Dukes han usado un número limitado de herramientas, pero han confiado en numerosas tácticas interesantes para evitar ser detectados.
Primero, son muy persistentes. Roban credenciales y las usan sistemáticamente para moverse lateralmente en la red. Los hemos visto usando credenciales administrativas para comprometer o volver a comprometer máquinas en la misma red local. Por lo tanto, al responder a un compromiso de Dukes, es importante asegurarse de retirar cada implante en un corto período de tiempo. De lo contrario, los atacantes usarán cualquier implante restante para comprometer nuevamente los sistemas limpios.
En segundo lugar, tienen una plataforma de malware sofisticada dividida en cuatro etapas:
- PolyglotDuke, que usa Twitter u otros sitios web como Reddit e Imgur para obtener su URL de C&C. También se basa en la esteganografía en imágenes para su comunicación C&C.
- RegDuke, una primera etapa de recuperación, que usa Dropbox como su servidor C&C. La carga principal se cifra en el disco y la clave de cifrado se almacena en el registro de Windows. También se basa en la esteganografía como se indicó anteriormente.
- Puerta trasera MiniDuke, la segunda etapa. Esta puerta trasera simple está escrita en ensamblador. Es muy similar a las puertas traseras MiniDuke más antiguas.
- FatDuke, la tercera etapa. Esta sofisticada puerta trasera implementa muchas funcionalidades y tiene una configuración muy flexible. Su código también está bien ofuscado usando muchos predicados opacos. Lo vuelven a compilar y modifican la ofuscación con frecuencia para evitar detecciones de productos de seguridad.
La Figura 5 es un resumen de la plataforma de malware de Operación fantasma.
Figura 5. Resumen de la plataforma de malware Operation Ghost
En tercer lugar, también notamos que los operadores evitan usar la misma infraestructura de red de C&C entre diferentes organizaciones de víctimas. Este tipo de compartimentación generalmente solo es visto por los atacantes más meticulosos. Evita que se queme toda la operación cuando una sola víctima descubre la infestación y comparte las IoC de la red relacionadas con la comunidad de seguridad.
Conclusión
Nuestra nueva investigación muestra que incluso si un grupo de espionaje desaparece de los informes públicos durante muchos años, es posible que no haya dejado de espiar. Los duques pudieron volar por debajo del radar durante muchos años, al tiempo que comprometían objetivos de alto valor, como antes.
Puede encontrar una lista completa de Indicadores de compromiso (IoC) y muestras en el libro blanco completo y en GitHub.
Para un análisis detallado de la puerta trasera, consulte nuestro papel blanco. Para cualquier consulta, o para realizar presentaciones de muestras relacionadas con el tema, contáctenos en hazardintel@eset.com.
Técnicas MITRE ATT y CK
| Táctica | CARNÉ DE IDENTIDAD | Nombre | Descripción |
|---|---|---|---|
| Acceso inicial | T1193 | Accesorio de pesca submarina | Los duques probablemente usaron correos electrónicos de spearphishing para comprometer al objetivo. |
| T1078 | Cuentas Validas | Los operadores usan las credenciales de cuenta robadas anteriormente para volver a la red de la víctima. | |
| Ejecución | T1106 | Ejecución a través de API | Utilizan las API de Windows CreateProcess o LoadLibrary para ejecutar binarios. |
| T1129 | Ejecución a través de carga de módulo | Algunos de sus malware cargan DLL utilizando la API de Windows LoadLibrary. | |
| T1086 | Potencia Shell | FatDuke puede ejecutar scripts de PowerShell. | |
| T1085 | Rundll32 | El cargador FatDuke usa rundll32 para ejecutar la DLL principal. | |
| T1064 | Scripting | FatDuke puede ejecutar scripts de PowerShell. | |
| T1035 | Servicio de ejecución | Los Dukes usan PsExec para ejecutar binarios en hosts remotos. | |
| Persistencia | T1060 | Claves de ejecución del registro / Carpeta de inicio | Los Dukes usan la clave de registro CurrentVersion Run para establecer la persistencia en las computadoras comprometidas. |
| T1053 | Tarea programada | Los Dukes usan la Tarea Programada para lanzar malware al inicio. | |
| T1078 | Cuentas Validas | Los Dukes usan las credenciales de cuenta robadas anteriormente para volver a la red de la víctima. | |
| T1084 | Suscripción de eventos de instrumentación de administración de Windows | Los duques usaron WMI para establecer la persistencia de RegDuke. | |
| Evasión de defensa | T1140 | Desobuscar / decodificar archivos o información | Los goteros para PolyglotDuke y LiteDuke incorporan cargas encriptadas. |
| T1107 | Eliminación de archivos | El malware Dukes puede eliminar archivos y directorios. | |
| T1112 | Modificar registro | Las claves utilizadas para descifrar las cargas útiles de RegDuke se almacenan en el registro de Windows. | |
| T1027 | Archivos o información ofuscados | Dukes cifra las cargas útiles de PolyglotDuke y LiteDuke con algoritmos personalizados. También se basan en técnicas conocidas de ofuscación, como predicados opacos y control del aplanamiento del flujo para ofuscar RegDuke, MiniDuke y FatDuke. | |
| T1085 | Rundll32 | El cargador FatDuke usa rundll32 para ejecutar la DLL principal. | |
| T1064 | Scripting | FatDuke puede ejecutar scripts de PowerShell. | |
| T1045 | Embalaje de software | Los Dukes usan un empacador personalizado para ofuscar los binarios MiniDuke y FatDuke. También usan el empacador comercial .NET Reactor para ofuscar a RegDuke. | |
| T1078 | Cuentas Validas | Los Dukes usan las credenciales de cuenta robadas anteriormente para volver a la red de la víctima. | |
| T1102 | Servicio web | PolyglotDuke busca páginas web públicas (Twitter, Reddit, Imgur, etc.) para obtener cadenas encriptadas que conducen a nuevos C&C. servidor. Para RegDuke, también usan Dropbox como servidor C&C. | |
| Descubrimiento | T1083 | Descubrimiento de archivos y directorios | Los Dukes pueden interactuar con archivos y directorios en la computadora de la víctima. |
| T1135 | Descubrimiento de redes compartidas | Los duques pueden enumerar los recursos compartidos de la red. | |
| T1057 | Descubrimiento de procesos | Los duques pueden enumerar los procesos en ejecución. | |
| T1049 | Descubrimiento de conexiones de red del sistema | Los duques pueden ejecutar comandos como uso neto para recopilar información sobre las conexiones de red. | |
| Movimiento lateral | T1077 | Recursos compartidos de administrador de Windows | Los Dukes usan PsExec para ejecutar binarios en un host remoto. |
| Colección | T1005 | Datos del sistema local | Los Dukes pueden recolectar archivos en las máquinas comprometidas |
| T1039 | Datos de la unidad compartida de red | Los Dukes pueden recopilar archivos en unidades compartidas. | |
| T1025 | Datos de medios extraíbles | Los Dukes pueden recopilar archivos en unidades extraíbles. | |
| Comando y control | T1090 | Proxy de conexión | Los Dukes pueden comunicarse con el servidor de C&C a través de un proxy. También usan canalizaciones con nombre como servidores proxy cuando una máquina está aislada dentro de una red y no tiene acceso directo a Internet. |
| T1001 | Ofuscación de datos | Los Dukes usan esteganografía para ocultar cargas útiles y comandos dentro de imágenes válidas. | |
| T1008 | Canales de reserva | Los Dukes tienen múltiples servidores C&C en caso de que uno de ellos esté caído. | |
| T1071 | Protocolo de capa de aplicación estándar | Los Dukes están utilizando los protocolos HTTP y HTTPS para comunicarse con el servidor C&C. | |
| T1102 | Servicio web | PolyglotDuke busca páginas web públicas (Twitter, Reddit, Imgur, etc.) para obtener cadenas encriptadas que conducen al nuevo servidor de C&C. Para RegDuke, también usan Dropbox como servidor C&C. | |
| Exfiltración | T1041 | Exfiltración sobre el canal de comando y control | Los Dukes usan el canal C&C para filtrar datos robados. |