Operación (노스 스타) North Star ¿Una oferta de trabajo que es demasiado buena para ser verdad?


Resumen Ejecutivo

Estamos en medio de una depresión económica (1), con más candidatos que puestos de trabajo, algo que ha sido aprovechado por actores maliciosos para atraer a víctimas involuntarias a abrir documentos cargados de malware. Si bien la prevalencia de ataques durante este período sin precedentes ha sido en gran parte llevada a cabo por estafadores de bajo nivel, los actores de amenazas más capaces también han utilizado esta crisis como una oportunidad para esconderse a plena vista.

Un ejemplo es una campaña que McAfee Advanced Threat Research (ATR) observó como un aumento en la actividad cibernética maliciosa dirigida a la industria aeroespacial y de defensa. En esta campaña de 2020, McAfee ATR descubrió una serie de documentos maliciosos que contenían ofertas de trabajo tomadas de los principales contratistas de defensa para usarse como señuelos, de una manera muy específica. Estos documentos maliciosos estaban destinados a enviarse a las víctimas para instalar un implante de recopilación de datos. La victimología de estas campañas no está clara en este momento; sin embargo, según las descripciones de los puestos, parecen estar dirigidas a personas con habilidades y experiencia relacionadas con el contenido de los documentos del señuelo. La campaña parece ser similar a la actividad informada en otros lugares por la industria, sin embargo, después de un análisis más detallado, los documentos de implantes y señuelos en esta campaña son claramente diferentes (2), por lo que podemos concluir que esta investigación es parte de un conjunto de actividades diferente. Esta campaña utiliza infraestructura comprometida de varios países europeos para albergar su infraestructura de comando y control y distribuir implantes a las víctimas a las que apunta.

Este tipo de campaña ha aparecido antes en 2017 y 2019 utilizando métodos similares con el objetivo de recopilar inteligencia sobre tecnologías militares y de defensa clave (3). La campaña de 2017 también utilizó documentos atractivos con ofertas de trabajo de los principales contratistas de defensa; esta operación estaba dirigida a individuos empleados por contratistas de defensa utilizados en los señuelos. Con base en algunos de los conocimientos adquiridos con los correos electrónicos de spear phishing, la misión de esa campaña era recopilar datos sobre ciertos proyectos que estaban desarrollando sus empleadores.

Las Técnicas, Tácticas y Procedimientos (TTP) de la actividad de 2020 son muy similares a las campañas anteriores que operan bajo el mismo modus operandi que observamos en 2017 y 2019. De nuestro análisis, esto parece una continuación de la campaña de 2019, dadas las numerosas similitudes observado. Estas similitudes están presentes tanto en el código de Visual Basic utilizado para ejecutar el implante como en algunas de las funciones básicas que existen entre los implantes de 2019 y 2020.

Así, los indicadores de la campaña 2020 apuntan a la actividad previa de 2017 y 2019 que anteriormente se atribuía al grupo de actores de amenazas conocido como Hidden Cobra (4). Hidden Cobra es un término general que se utiliza para referirse a los grupos de amenazas atribuidos a Corea del Norte por el gobierno de EE. UU. (1). Hidden Cobra consiste en la actividad de amenazas de grupos que la industria etiqueta como Lazarus, Kimsuky, KONNI y APT37. Los programas ofensivos cibernéticos atribuidos a estos grupos, dirigidos a organizaciones de todo el mundo, se han documentado durante años. Sus objetivos van desde la recopilación de datos sobre tecnologías militares hasta el robo de criptomonedas de los principales intercambios.

Nuestro análisis indica que uno de los propósitos de la actividad en 2020 fue instalar implantes de recolección de datos en las máquinas de las víctimas. Estos implantes DLL estaban destinados a recopilar información básica de las máquinas de las víctimas con el fin de identificar a las víctimas. Los datos recopilados de la máquina objetivo podrían ser útiles para clasificar el valor del objetivo. McAfee ATR notó que el adversario utilizó varios tipos diferentes de implantes en las campañas de 2020.

Estas campañas impactan la seguridad de Corea del Sur y las naciones extranjeras con campañas cibernéticas maliciosas. En este blog McAfee ATR analiza múltiples campañas realizadas en la primera parte de 2020.

Finalmente, vemos al adversario expandiendo la campaña de contratación de empleos falsos a otros sectores fuera de la defensa y el aeroespacial, como un documento disfrazado de puesto financiero para un estudio de animación líder.

En este blog cubriremos:

Objetivo de interés: campaña de defensa y aeroespacial

Esta no es la primera vez que observamos a los actores de amenazas que utilizan la industria aeroespacial y de defensa como señuelos en documentos maliciosos. En 2017 y 2019, se realizaron esfuerzos para enviar documentos maliciosos a objetivos que contenían ofertas de trabajo para puestos en los principales contratistas de defensa.3

El objetivo de estas campañas fue recopilar información sobre programas y tecnologías específicos. Al igual que la campaña de 2017, la campaña de 2020 también utilizó ofertas de trabajo legítimas de varias organizaciones líderes de defensa y aeroespaciales. En la campaña de 2020 que observó McAfee ATR, algunos de los mismos contratistas de defensa de la operación de 2017 se utilizaron nuevamente como señuelos en documentos maliciosos.

Esta nueva actividad observada en 2020 utiliza técnicas, tácticas y procedimientos (TTP) similares a los observados en una campaña de 2017 que se dirigió a personas en la Base Industrial de Defensa. (DIB). La actividad de 2017 fue incluida en una acusación del gobierno de los EE. UU. Y atribuida al grupo de amenazas Hidden Cobra.4

Resumen del ataque

Fase uno: contacto inicial

Esta campaña reciente utilizó documentos maliciosos para instalar malware en el sistema objetivo mediante un ataque de inyección de plantilla. Esta técnica permite que un documento armado descargue una plantilla de Word externa que contiene macros que se ejecutarán. Este es un truco conocido que se utiliza para eludir el análisis estático de documentos maliciosos, así como la detección, ya que las macros están integradas en la plantilla descargada.

Además, estos documentos de Word maliciosos incluían contenido relacionado con trabajos legítimos en estos contratistas de defensa líderes. Las tres organizaciones tienen contratos de defensa activos de diferente tamaño y alcance con el gobierno de los Estados Unidos.

El cronograma de estos documentos, que se enviaron a un número indeterminado de objetivos, se extendió entre el 31 de marzo y el 18 de mayo de 2020.

Cronograma de creación de documentos

Los documentos maliciosos fueron el principal punto de entrada para introducir código malicioso en el entorno de la víctima. Estos documentos contenían descripciones de puestos de defensa, aeroespacial y otros sectores como atractivo. El objetivo sería enviar estos documentos al correo electrónico de la víctima con la intención de que abran, vean y finalmente ejecuten la carga útil.

Como mencionamos, el adversario utilizó una técnica llamada inyección de plantilla. Cuando un documento contiene la extensión .docx, en nuestro caso, significa que estamos tratando con el estándar XML de Open Office. Un archivo .docx es un archivo zip que contiene varias partes. Usando la técnica de inyección de plantilla, el adversario coloca un enlace hacia el archivo de plantilla en uno de los archivos .XML, por ejemplo, el enlace está en settings.xml.rels mientras que la carga de oleobject externo está en document.xml.rels. El enlace cargará un archivo de plantilla (DOTM) desde un servidor remoto. Esta es una técnica inteligente que observamos que es utilizada por múltiples adversarios (5) y está destinada a hacer que un documento parezca estar limpio inicialmente, solo para luego cargar malware. Algunos de estos archivos de plantilla se renombran como archivos JPEG cuando se alojan en un servidor remoto para evitar cualquier sospecha y evitar la detección. Estos archivos de plantilla contienen código de macro de Visual Basic, que cargará un implante DLL en el sistema de la víctima. Las tecnologías actuales de McAfee protegen actualmente contra esta amenaza.

Mencionamos anteriormente que los archivos docx (como xlsx y pptx) son parte del estándar OOXML. El documento que define este estándar (6), describe la sintaxis y los valores que se pueden utilizar como ejemplo. Un archivo interesante para mirar es el archivo "settings.xml" que se puede encontrar en el contenedor "Word" del archivo zip docx. Este archivo contiene configuraciones con respecto al idioma, marcado y más. Primero, extrajimos todos los datos de los archivos settings.xml y comenzamos a comparar. Todos los documentos a continuación contienen los mismos valores de idioma:

w: val = "en-US"
w: eastAsia = "ko-KR"

El archivo XML termina con un valor GUID que comienza con el valor "w15".

Ejemplo: w15: val = ”932E534D-8C12-4996-B261-816995D50C69” />

Según la documentación de Microsoft, w15 define la clase PersistentDocumentId. Cuando el objeto se serializa como xml, su nombre calificado es w15: docId. El GUID de 128 bits se establece como un atributo ST_Guid que, según la documentación de Microsoft, se refiere a un token único. La clase usada genera un GUID para usar como DocID y genera la clave asociada. El cliente almacena el GUID en esa estructura y persiste en el archivo doc. Si, por ejemplo, creáramos un documento y lo “Guardaríamos como”, el GUID w15: docId persistiría en el documento recién creado. ¿Qué significaría eso para nuestra lista anterior? Los documentos con el mismo valor GUID deben colocarse en orden cronológico y luego podemos indicar que el documento más antiguo es la raíz del resto, por ejemplo:

Lo que podemos decir de la tabla anterior es que "_IFG_536R.docx" fue el primer documento que observamos y que los documentos posteriores con el mismo valor de docID se crearon a partir del mismo documento base.

Para agregar a esta afirmación; en el archivo settings.xml se puede encontrar el valor “rsid” (Identificador de revisión para la definición de estilo). Según la documentación de Microsoft: “Este elemento especifica un número único de cuatro dígitos que se utilizará para determinar la sesión de edición en la que se modificó por última vez esta definición de estilo. Este valor seguirá la siguiente restricción: Todos los elementos del documento que especifiquen los mismos valores de rsid * corresponderán a los cambios realizados durante la misma sesión de edición. Una sesión de edición se define como el período de edición que tiene lugar entre dos acciones de guardado posteriores. "

Comencemos con los valores del elemento rsid de "* _IFG_536R.docx":

Y compárelo con los valores del elemento rsid de "* _PMS.docx":

Los elementos rsid son idénticos para las primeras cuatro sesiones de edición de ambos documentos. Esto indica que estos documentos, aunque ahora están separados, se originaron en el mismo documento.

Profundizando en más valores y metadatos (somos conscientes de que pueden manipularse), creamos la siguiente descripción general en orden cronológico según la fecha de creación:

Cuando hacemos zoom en el DocID “932E534d (..) leemos el valor de un archivo de plantilla en el código XML:“ .dotx de espacio simple (en blanco) ”- este nombre de plantilla parece ser utilizado por varios nombres de“ Autor ”. El número de revisión indica los posibles cambios en el documento.

Nota: los documentos de la tabla con "No DocID" eran los archivos "dotm" que contienen las macros / payload.

Todos los archivos se crearon con Word 2016 y tenían instalados los idiomas inglés y coreano. Este análisis de los metadatos indica que existe una gran confianza en que los documentos maliciosos se crearon a partir de un documento raíz común.

Plantillas de documentos

Durante nuestra investigación, se descubrieron varios documentos marcados como no maliciosos. A primera vista, no parecían importantes ni relacionados en absoluto, pero una investigación más profunda reveló cómo estaban conectados. Estos documentos jugaron un papel en la construcción de los documentos maliciosos finales que finalmente se enviaron a las víctimas. Un análisis más detallado de estos documentos, basado en información de metadatos, indicó que contenían relaciones con los documentos primarios creados por el adversario.

Se enviaron dos archivos PDF (*** _ SPE_LEOS y *** _ HPC_SE) con imágenes temáticas de la industria aeroespacial y de defensa, creados a través del servicio Microsoft Print to PDF, junto con *** _ ECS_EPM.docx. La convención de nomenclatura de estos archivos PDF era muy similar a la de los documentos maliciosos utilizados. El nombre incluye abreviaturas para puestos en el contratista de defensa, al igual que los documentos maliciosos. El servicio Microsoft Print to PDF permite que el contenido de un documento de Microsoft Word se imprima directamente en PDF. En este caso, estos dos archivos PDF se generaron a partir de un documento original de Microsoft Word con el autor "INICIO". El autor "HOME" apareció en varios documentos maliciosos que contienen descripciones de puestos relacionados con la industria aeroespacial, de defensa y del entretenimiento. Los PDF se descubrieron en un archivo de archivo que indica que LinkedIn puede haber sido un posible vector utilizado por los adversarios para apuntar a las víctimas. Este es un vector similar a lo que se ha observado en una campaña informada por la industria (7), sin embargo, como se mencionó anteriormente, la investigación cubierta en este blog es parte de un conjunto de actividades diferente.

Metadatos de archivo PDF enviado con *** _ ECS_EPM.docx en archivo con contexto falso LinkedIn

Código de macro de Visual Basic

Profundizar en los archivos de plantilla remotos revela información adicional sobre la estructura del código de macro. Los archivos de plantilla de documento remoto de la segunda etapa contienen código de macro de Visual Basic diseñado para extraer un implante de DLL codificado en base64 doble. Todo el contenido está codificado en UserForm1 en el archivo DOTM remoto que extrae el código de macro.

Código de macro (17.dotm) para extraer DLL incrustado

Además, el código también extraerá el documento señuelo incrustado (un documento limpio que contiene la descripción del trabajo) para mostrárselo a la víctima.

Código (17.dotm) para extraer un documento señuelo limpio

Código de macro (****** _ dds_log.jpg) ejecutado tras la ejecución automática

Fase dos: eliminación de archivos DLL maliciosos

El adversario usó archivos DLL maliciosos, entregados a través de documentos maliciosos de la etapa 2, para espiar a los objetivos. Esos documentos maliciosos fueron diseñados para colocar implantes DLL en la máquina de la víctima para recopilar inteligencia inicial. En esta campaña, el adversario estaba utilizando archivos DLL de SQL Lite parcheados para recopilar información básica de sus objetivos. Estas DLL se modificaron para incluir código malintencionado que se ejecutará en la máquina de la víctima cuando se invoca en determinadas circunstancias. El propósito de estas DLL es / era recopilar información de la máquina de las víctimas infectadas que podría usarse para identificar más objetivos más interesantes.

El documento de la primera etapa enviado a las víctimas objetivo contenía un enlace incrustado que descargaba la plantilla de documento remoto.

Enlace incrustado contenido en Word / _rels / settings.xml.rels

Los archivos DOTM (tipo de archivo de plantilla de Office) son responsables de cargar las DLL parcheadas en la máquina de la víctima para recopilar y recopilar datos. Estos archivos DOTM se crean con archivos DLL codificados directamente en la estructura del archivo. Estos archivos DOTM existen en servidores remotos comprometidos por el adversario; el documento de la primera etapa contiene un enlace incrustado que hace referencia a la ubicación de este archivo. Cuando la víctima abre el documento, se carga el archivo DOTM remoto que contiene un código de macro de Visual Basic para cargar archivos DLL maliciosos. Según nuestro análisis, estas DLL se vieron por primera vez el 20 de abril de 2020 y, hasta donde sabemos, según los datos de edad y prevalencia, estos implantes se han personalizado para este ataque.

El flujo de trabajo del ataque se puede representar con la siguiente imagen:

Para identificar las DLL maliciosas que cargarán o descargarán el implante final, extrajimos de los archivos de Office que se encuentran en la fase de clasificación, los siguientes archivos DLL:

SHA256 Nombre de archivo original Fecha de compilación
bff4d04caeaf8472283906765df34421d657bd631f5562c902e82a3a0177d114

wsuser.db 24/4/2020
b76b6bbda8703fa801898f843692ec1968e4b0c90dfae9764404c1a54abf650b

desconocido 24/4/2020
37a3c01bb5eaf7ecbcfbfde1aab848956d782bb84445384c961edebe8d0e9969

onenote.db 4/01/2020
48b8486979973656a15ca902b7bb973ee5cde9a59e2f3da53c86102d48d7dad8 onenote.db 4/01/2020
bff4d04caeaf8472283906765df34421d657bd631f5562c902e82a3a0177d114

wsuser.db 24/4/2020

Estos archivos DLL son versiones parcheadas de bibliotecas de buen software, como la biblioteca SQLITE que se encuentra en nuestro análisis, y se cargan a través de un VBScript contenido dentro de los archivos DOTM que carga una DLL codificada en Base64 doble como se describe en este análisis. La DLL está codificada en UserForm1 (incluida en la macro de Microsoft Word) y el código de la macro principal es responsable de extraer y decodificar el implante de DLL.

Estructura del documento DOTM

DLL de implantes codificados en UserForm1

A partir de nuestro análisis, pudimos verificar cómo las DLL utilizadas en la tercera etapa eran software legítimo con un implante malicioso en su interior que se habilitaría cada vez que se llamara a una función específica con un conjunto de parámetros.

Al analizar la muestra de forma estática, fue posible extraer el software legítimo utilizado para almacenar el implante, por ejemplo, uno de los archivos DLL extraídos de los archivos DOTM era una biblioteca SQLITE parcheada. Si comparamos la biblioteca original dentro de la DLL extraída, podemos detectar muchas similitudes entre las dos muestras:

Biblioteca legítima a la izquierda, biblioteca maliciosa a la derecha

Como se mencionó, la DLL parcheada y la biblioteca SQLITE original comparten una gran cantidad de código:

Ambas DLL comparten una gran cantidad de código internamente

La primera etapa de DLL necesita ciertos parámetros para poder habilitarse y ejecutarse en el sistema. El código de macro de los archivos de Office que analizamos contenía parte de estos parámetros:

Información encontrada en el pcode del documento

Los datos encontrados en la macro de VBA tenían los siguientes detalles:

  • Claves de 32 bits que imitan un SID de Windows
    • El primer parámetro pertenece a la clave de descifrado utilizada para iniciar la actividad maliciosa.
    • Esto podría ser elegido por el autor para hacer que el valor sea más realista.
  • ID de campaña

Flujo de trabajo DLL

El análisis de la DLL extraída de los archivos "docm" (la segunda etapa de la infección) reveló la existencia de dos tipos de operación para estas DLL:

Ejecución directa de DLL:

  • La DLL desempaqueta una nueva carga útil en el sistema.

DLL de drive-by:

  • La DLL descarga un nuevo implante de DLL desde un servidor remoto que entrega una carga útil adicional de DLL al sistema.

Para ambos métodos, el implante comienza a recopilar la información del objetivo y luego se comunica con el servidor de comando y control (C2)

Centramos nuestro análisis en los archivos DLL que se descomprimen en el sistema.

Análisis de implantes

El implante de DLL se ejecutará después de que el usuario interactúe abriendo el archivo de Office. Como explicamos, el código p de la macro VBA contiene partes de los parámetros necesarios para ejecutar el implante en el sistema.

El nuevo archivo de implante DLL se descomprimirá (según el ID de la campaña) dentro de una carpeta dentro de la carpeta AppData del usuario en ejecución:

C: Usuarios usuario AppData Local Microsoft Notice wsdts.db

El archivo DLL, debe ser lanzado con 5 parámetros diferentes si queremos observar la conexión maliciosa dentro del dominio C2; en nuestro análisis observamos cómo se lanzaba la DLL con la siguiente línea de comando:

C: Windows System32 rundll32.exe "C: Users user AppData Local Microsoft Notice wsdts.db", sqlite3_steps S-6-81-3811-75432205-060098-6872 0 0 61 1

Los parámetros necesarios para lanzar el implante malicioso son:

Número de parámetro Descripción
1 Clave de descifrado
2 Valor no utilizado, codificado en la DLL
3 Valor no utilizado, codificado en la DLL
4 Identificador de campaña
5 Valor no utilizado, codificado en la DLL

Como explicamos, los implantes son archivos SQLITE parcheados y por eso podríamos encontrar funciones adicionales que se utilizan para lanzar el implante malicioso, ejecutando el binario con ciertos parámetros. Es necesario utilizar una exportación específica "sqlite3_steps" más los parámetros mencionados anteriormente.

Analizando el código de forma estática pudimos observar que la carga útil solo verifica 2 de estos 5 parámetros pero todos deben estar presentes para poder ejecutar el implante:

función maliciosa sqlite

Fase tres: Técnicas de evasión de redes

Los atacantes siempre intentan pasar desapercibidos en sus intrusiones por lo que es común observar técnicas como la imitación del mismo Usuario-Agente que está presente en el sistema, para permanecer fuera del radar. El uso de la misma cadena de Usuario-Agente de las configuraciones del navegador web de la víctima, por ejemplo, ayudará a evitar que los sistemas de detección basados ​​en la red marquen el tráfico saliente como sospechoso. En este caso, observamos cómo, mediante el uso de la API de Windows ObtainUserAgentString, el atacante obtuvo el User-Agent y usó el valor para conectarse al servidor de comando y control:

Si el implante no puede detectar el User-Agent en el sistema, utilizará el User-Agent predeterminado de Mozilla en su lugar:

Al ejecutar la muestra dinámicamente e interceptar el tráfico TLS, pudimos ver la conexión al servidor de comando y control:

Desafortunadamente, durante nuestro análisis, el C2 no estaba activo, lo que limitó nuestra capacidad para realizar análisis adicionales.

Los datos enviados al canal C2 contienen la siguiente información:

Parámetro Descripción
C2 C2 configurado para esa campaña
ned Identificador de campaña
clave 1 Clave AES utilizada para comunicarse con el C2
clave 2 Clave AES utilizada para comunicarse con el C2
identificador de muestra Identificador de muestra enviado al servidor C2
gl Valor de tamaño enviado al servidor C2
hl Parámetro desconocido siempre establecido en 0

Podríamos encontrar al menos 5 ID de campaña diferentes en nuestro análisis, lo que sugiere que el análisis en este documento es simplemente la punta del iceberg:

Archivo dotx ID de campaña
61.dotm 0
17.dotm 17
43.dotm 43
83878C91171338902E0FE0FB97A8C47A.dotm 204
****** _ dds_log 100

Fase cuatro: persistencia

En nuestro análisis pudimos observar cómo el adversario asegura la persistencia al entregar un archivo LNK en la carpeta de inicio

El valor de este archivo LNK persistente está codificado dentro de cada muestra:

De forma dinámica, y a través de las API de Windows NtCreateFile y NtWriteFile, el LNK se escribe en la carpeta de inicio. El archivo LNK contiene la ruta para ejecutar el archivo DLL con los parámetros requeridos.

Señuelos adicionales: Relación con la campaña diplomática y política de 2020

Una mayor investigación sobre la actividad de la campaña de 2020 reveló vínculos adicionales que indicaban que el adversario estaba utilizando la política nacional de Corea del Sur como señuelos. El adversario creó varios documentos en idioma coreano utilizando las mismas técnicas que se ven en los señuelos de la industria de defensa. Un documento notable, con el título Relaciones entre EE. UU. Y la República de Corea y seguridad diplomática en coreano e inglés, apareció el 6 de abril de 2020 con el autor del documento JangSY.

Relación EE.UU.-República de Corea y Seguridad Diplomática

El documento estaba alojado en el sitio para compartir archivos. hxxps: //web.opendrive.com/api/v1/download/file.json/MzBfMjA1Njc0ODhf? inline = 0 y contenía un enlace incrustado que hacía referencia a un archivo DOTM remoto alojado en otro sitio para compartir archivos (od.lk). El valor codificado BASE64 MzBfMjA1Njc0ODhf es un identificador único para el usuario asociado con la plataforma de intercambio de archivos od.lk.

Un documento relacionado descubierto con el título. test.docx indicó que el adversario comenzó a probar estos documentos a principios de abril de 2020. Este documento tenía el mismo contenido que el anterior, pero fue diseñado para probar la descarga del archivo de plantilla remota alojándolo en una dirección IP privada. El documento que utilizó pubmaterial.dotm para su plantilla remota también realizó solicitudes a la URL hxxp: //saemaeul.mireene.com/skin/visit/basic/.

Este dominio (saemaeul.mireene.com) está conectado a muchos otros documentos maliciosos en coreano que también aparecieron en 2020, incluidos documentos relacionados con relaciones políticas o diplomáticas. Uno de esos documentos (81249fe1b8869241374966335fd912c3e0e64827) usaba el 21S t Elección de la Asamblea Nacional como parte del título, lo que podría indicar que aquellos interesados ​​en la política en Corea del Sur eran un objetivo. Por ejemplo, otro documento (16d421807502a0b2429160e0bd960fa57f37efc4) usó el nombre de un individuo, el director Jae-chun Lee. También compartió los mismos metadatos.

El autor original de estos documentos figuraba como Seong Jin Lee según la información de metadatos incrustada. Sin embargo, el autor de la última modificación (Robot Karll) utilizado por el adversario durante la creación de la plantilla de documento es exclusivo de este conjunto de documentos maliciosos. Además, estos documentos contienen señuelos políticos relacionados con la política interna de Corea del Sur que sugiere que los destinatarios de estos documentos también hablaban coreano.

Relación con la campaña de contratación laboral falsificada de 2019

Una campaña de corta duración de 2019 que utilizó la industria aeroespacial de la India como señuelo utilizó lo que parecen ser métodos muy similares a esta última campaña que utiliza la industria de defensa en 2020. Algunos de los TTP de la campaña de 2020 coinciden con los de la operación a finales de 2019. La actividad de 2019 también ha sido atribuida a Hidden Cobra por informes de la industria.

La campaña de octubre de 2019 también usó la industria aeroespacial y de defensa como señuelo, usando copias de trabajos legítimos tal como observamos con la campaña de 2020. Sin embargo, esta campaña se aisló del sector de defensa indio y, según nuestro conocimiento, no se expandió más allá de esto. Este documento también contenía un anuncio de trabajo para una empresa aeronáutica líder en la India; esta empresa se centra en los sistemas aeroespaciales y de defensa. Esta orientación se alinea con la operación de 2020 y nuestro análisis revela que las DLL utilizadas en esta campaña también fueron DLL de SQL Lite modificadas.

Según nuestro análisis, se crearon varias variantes del implante en el período de octubre de 2019, lo que indica la posibilidad de documentos maliciosos adicionales.

Sha1 Fecha de compilación Nombre del archivo
f3847f5de342632f8f9e2901f16b7127472493ae 12/10/2019 MFC_dll.DLL
659c854bbdefe692ee8c52761e7a8c7ee35aa56c 12/10/2019 MFC_dll.DLL
35577959f79966b01f520e2f0283969155b8f8d7 12/10/2019 MFC_dll.DLL
975ae81997e6cd8c8a3901308d33c868f23e638f 12/10/2019 MFC_dll.DLL

Una diferencia notable con la campaña de 2019 es que el principal documento malicioso contenía la carga útil del implante, a diferencia de la campaña de 2020 que se basó en la técnica de inyección de plantilla remota de Microsoft Office. Aunque la técnica es diferente, observamos similitudes cuando comenzamos a diseccionar el documento de plantilla remota. Hay algunas similitudes clave dentro del código VBA incrustado en los documentos. A continuación, vemos la comparación de 2019 (izquierda) y 2020 (derecha) lado a lado de dos funciones esenciales, que coinciden estrechamente entre sí, dentro del código VBA que extrae / suelta / ejecuta la carga útil.

Código VBA de 13c47e19182454efa60890656244ee11c76b4904 (izquierda) y acefc63a2ddbbf24157fc102c6a11d6f27cc777d (derecha)

La macro de VBA suelta la primera carga útil de thumbnail.db en la ruta de archivo, que se asemeja a la ruta de archivo utilizada en 2020.

El código VB también pasa la clave de descifrado a la carga útil DLL, thumbnail.db. A continuación puede ver el código dentro de thumbnail.db que acepta esos parámetros.

Thumbnail.db desempaquetado bff1d06b9ef381166de55959d73ff93b

Lo interesante es la estructura en la que se transmite esta información. Esta muestra de 2019 es idéntica a lo que documentamos dentro de la campaña 2020.

Otro parecido descubierto fue la posición del implante .dll existente en la misma ubicación exacta para las muestras de 2019 y 2020; Campo "o" debajo de "UserForms1".

Campo "o" de 13c47e19182454efa60890656244ee11c76b4904

Todos los IoC .dotm 2020 contienen el mismo implante .dll dentro del campo "o" debajo de "UserForms1"; sin embargo, para no abrumar este artículo con capturas de pantalla independientes, a continuación solo se muestra una muestra. Aquí puede ver el paralelo entre las secciones “o” de 2019 y 2020.

Campo "o" de acefc63a2ddbbf24157fc102c6a11d6f27cc777d

Otra similitud es la codificación de doble base64, aunque en el espíritu de hipótesis en competencia, queríamos señalar que otros adversarios también pueden usar este tipo de codificación. Sin embargo, cuando se combinan estas similitudes con el mismo señuelo de un contratista de defensa indio, el péndulo comienza a inclinarse más hacia un lado de un posible autor común entre ambas campañas. Esto puede indicar que se está agregando otra técnica al arsenal de vectores de ataque del adversario.

Un método para mantener la campaña dinámica y más difícil de detectar es alojar el código del implante de forma remota. Existe una desventaja de incrustar un implante dentro de un documento enviado a una víctima; el código del implante podría detectarse antes de que el documento llegue a la bandeja de entrada de la víctima. Alojarlo de forma remota permite cambiar fácilmente el implante con nuevas capacidades sin correr el riesgo de que el documento se clasifique como malicioso.

** – HAL-MANAGER.doc UserForm1 con DLL codificado en base64 doble

17.DOTM UserForm1 con doble DLL codificado en base64 de ****** _ DSS_SE.docx

Según un análisis de similitud de código, el implante incrustado en ** – HAL-Manager.doc contiene algunas similitudes con los implantes de la campaña 2020. Sin embargo, creemos que el implante utilizado en la campaña de 2019 asociada con ** – Hal-Manager.doc puede ser otro componente. Primero, además de las evidentes similitudes en el código macro de Visual Basic y el método de codificación (doble base64), existen algunas similitudes a nivel funcional. El archivo DLL se ejecuta de una manera con parámetros similares.

Código de ejecución de DLL ** – implante Hal-Manager.doc

Implante de código de ejecución DLL 2020

Contexto de la campaña: Victimología

La victimología no se conoce con exactitud debido a la falta de correos electrónicos de spear phishing descubiertos; sin embargo, podemos obtener información a partir del análisis de la información de telemetría y el contexto del documento de atracción. Los documentos del señuelo contenían descripciones de trabajo para puestos de ingeniería y gestión de proyectos en relación con los contratos de defensa activos. Es probable que las personas que reciben estos documentos en una campaña de spear phishing dirigida tengan interés en el contenido de estos documentos de señuelos, como hemos observado en campañas anteriores, así como algún conocimiento o relación con la industria de defensa.

Información sobre la infraestructura

Nuestro análisis de las campañas de 2019 y 2020 revela información interesante sobre la infraestructura de comando y control detrás de ellas, incluidos los dominios alojados en Italia y Estados Unidos. Durante nuestra investigación, observamos un patrón de uso de dominios legítimos para alojar código de comando y control. Esto es beneficioso para el adversario, ya que la mayoría de las organizaciones no bloquean los sitios web confiables, lo que permite eludir los controles de seguridad. El adversario hizo el esfuerzo de comprometer los dominios antes de lanzar la campaña real. Además, las campañas de contratación de empleo de 2019 y 2020 compartieron el mismo servidor de comando y control alojado en elite4print.com.

El dominio mireene.com con sus diversos subdominios ha sido utilizado por Hidden Cobra en 2020. Los dominios identificados para ser utilizados en varias operaciones en 2020 bajo el dominio mireene.com son:

  • saemaeul.mireene.com
  • orblog.mireene.com
  • sgmedia.mireene.com
  • vnext.mireene.com
  • nhpurumy.mireene.com
  • jmable.mireene.com
  • jmdesign.mireene.com
  • all200.mireene.com

Algunas de estas campañas utilizan métodos similares a los de la campaña de la industria de defensa de 2020:

  • Documento malicioso con el título Servicio Europeo de Acción Exterior (8)
  • Documento con título en coreano 비건 미 국무부 부장관 서신Doc (Correspondencia del Secretario de Estado del Departamento de Estado de EE. UU. 20200302.doc).

Técnicas, tácticas y procedimientos (TTPS)

Los TTP de esta campaña se alinean con los de operaciones anteriores de Hidden Cobra de 2017 utilizando los mismos contratistas de defensa como señuelos. The 2017 campaign also utilized malicious Microsoft Word documents containing job postings relating to certain technologies such as job descriptions for engineering and project management positions involving aerospace and military surveillance programs. These job descriptions are legitimate and taken directly from the defense contractor’s website. The exploitation method used in this campaign relies upon a remote Office template injection method, a technique that we have seen state actors use recently.

However, it is not uncommon to use tools such as EvilClippy to manipulate the behavior of Microsoft Office documents. For example, threat actors can use pre-built kits to manipulate clean documents and embed malicious elements; this saves time and effort. This method will generate a consistent format that can be used throughout campaigns. As a result, we have observed a consistency with how some of the malicious elements are embedded into the documents (i.e. double base64 encoded payload). Further mapping these techniques across the MITRE ATT&CK framework enables us to visualize different techniques the adversary used to exploit their victims.

MITRE ATT&CK mapping for malicious documents

These Microsoft Office templates are hosted on a command and control server and the downloaded link is embedded in the first stage malicious document.

The job postings from these lure documents are positions for work with specific US defense programs and groups:

  • F-22 Fighter Jet Program
  • Defense, Space and Security (DSS)
  • Photovoltaics for space solar cells
  • Aeronautics Integrated Fighter Group
  • Military aircraft modernization programs

Like previous operations, the adversary is using these lures to target individuals, likely posing as a recruiter or someone involved in recruitment. Some of the job postings we have observed:

  • Senior Design Engineer
  • System Engineer

Professional networks such as LinkedIn could be a place used to deliver these types of job descriptions.

Defensive Architecture Recommendations

Defeating the tactics, techniques and procedures utilized in this campaign requires a defense in depth security architecture that can prevent or detect the attack in the early stages. The key controls in this case would include the following:

  1. Threat Intelligence Research and Response Program. Its critical to keep up with the latest Adversary Campaigns targeting your specific vertical. A robust threat response process can then ensure that controls are adaptable to the TTPs and, in this case, create heightened awareness
  2. Security Awareness and Readiness Program. The attackers leveraged spear-phishing with well-crafted lures that would be very difficult to detect initially by protective technology. Well-trained and ready users, informed with the latest threat intelligence on adversary activity, are the first line of defense.
  3. End User Device Security. Adaptable endpoint security is critical to stopping this type of attack early, especially for users working from home and not behind the enterprise web proxy or other layered defensive capability. Stopping or detecting the first two stages of infection requires an endpoint security capability of identifying file-less malware, particularly malicious Office documents and persistence techniques that leverage start-up folder modification.
  4. Web Proxy. A secure web gateway is an essential part of enterprise security architecture and, in this scenario, can restrict access to malicious web sites and block access to the command and control sites.
  5. Sec Ops – Endpoint Detection and Response (EDR) can be used to detect techniques most likely in stages 1, 2 or 4. Additionally, EDR can be used to search for the initial documents and other indicators provided through threat analysis.

For further information on how McAfee Endpoint Protection and EDR can prevent or detect some of the techniques used in this campaign, especially use of malicious Office documents, please refer to these previous blogs and webinar:

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/ens-10-7-rolls-back-the-curtain-on-ransomware/
https://www.mcafee.com/blogs/other-blogs/mcafee-labs/how-to-use-mcafee-atp-to-protect-against-emotet-lemonduck-and-powerminer/
https://www.mcafee.com/enterprise/en-us/forms/gated-form.html?docID=video-6157567326001

Indicators of Compromise

SHA256 File Name
322aa22163954ff3ff017014e357b756942a2a762f1c55455c83fd594e844fdd ******_DSS_SE.docx

a3eca35d14b0e020444186a5faaba5997994a47af08580521f808b1bb83d6063 ******_PMS.docx

d1e2a9367338d185ef477acc4d91ad45f5e6a7d11936c3eb4be463ae0b119185 ***_JD_2020.docx
ecbe46ca324096fd5e35729f39fa3bda9226bbefd6286d53e61b1be56a36de5b ***_2020_JD_SDE.docx
40fbac7a241bea412734134394ca81c0090698cf0689f2b67c54aa66b7e04670 83878C91171338902E0FE0FB97A8C47A.dotm
6a3446b8a47f0ab4f536015218b22653fff8b18c595fbc5b0c09d857eba7c7a1 ******_AERO_GS.docx
df5536c254a5d9ac626dbff7525de8301729807433d377db807ce3d8bc7c3ffe **_IFG_536R.docx
1b0c82e71a53300c969da61b085c8ce623202722cf3fa2d79160dac16642303f 43.dotm
d7ef8935437d61c975feb2bd826d018373df099047c33ad7305585774a272625 17.dotm
49724ee7a6baf421ac5a2a3c93d32e796e2a33d7d75bbfc02239fc9f4e3a41e0 Senior_Design_Engineer.docx

66e5371c3da7dc9a80fb4c0fabfa23a30d82650c434eec86a95b6e239eccab88 61.dotm
7933716892e0d6053057f5f2df0ccadf5b06dc739fea79ee533dd0cec98ca971 ******_spectrolab.docx
43b6b0af744124da5147aba81a98bc7188718d5d205acf929affab016407d592 ***_ECS_EPM.docx
70f66e3131cfbda4d2b82ce9325fed79e1b3c7186bdbb5478f8cbd49b965a120 ******_dds_log.jpg
adcdbec0b92da0a39377f5ab95ffe9b6da9682faaa210abcaaa5bd51c827a9e1 21 국회의원 선거 관련.docx
dbbdcc944c4bf4baea92d1c1108e055a7ba119e97ed97f7459278f1491721d02 외교문서 관련(이재춘국장).docx
URLs
hxxps://www.anca-aste.it/uploads/form/02E319AF73A33547343B71D5CB1064BC.dotm
hxxp://www.elite4print.com/admin/order/batchPdfs.asp
hxxps://www.sanlorenzoyacht.com/newsl/uploads/docs/43.dotm
hxxps://www.astedams.it/uploads/template/17.dotm
hxxps://www.sanlorenzoyacht.com/newsl/uploads/docs/1.dotm
hxxps://www.anca-aste.it/uploads/form/******_jd_t034519.jpg
hxxp://saemaeul.mireene.com/skin/board/basic/bin
hxxp://saemaeul.mireene.com/skin/visit/basic/log
hxxps://web.opendrive.com/api/v1/download/file.json/MzBfMjA1Njc0ODhf?inline=0
hxxps://od.lk/d/MzBfMjA1Njc0ODdf/pubmaterial.dotm
hxxps://www.ne-ba.org/files/gallery/images/83878C91171338902E0FE0FB97A8C47A.dotm

Conclusión

In summary, ATR has been tracking a targeted campaign focusing on the aerospace and defense industries using false job descriptions. This campaign looks very similar, based on shared TTPs, with a campaign that occurred in 2017 that also targeted some of the same industry. This campaign began early April 2020 with the latest activity in mid-June. The campaign’s objective is to collect information from individuals connected to the industries in the job descriptions.

Additionally, our forensic research into the malicious documents show they were created by the same adversary, using Korean and English language systems. Further, discovery of legitimate template files used to build these documents also sheds light on some of the initial research put into the development of this campaign. While McAfee ATR has observed these techniques before, in previous campaigns in 2017 and 2019 using the same TTPs, we can conclude there has been an increase in activity in 2020.

McAfee detects these threats as

  • Trojan-FRVP!2373982CDABA
  • Generic Dropper.aou
  • Trojan-FSGY!3C6009D4D7B2
  • Trojan-FRVP!CEE70135CBB1
  • W97M/Downloader.cxu
  • Trojan-FRVP!63178C414AF9
  • Exploit-cve2017-0199.ch
  • Trojan-FRVP!AF83AD63D2E3
  • RDN/Generic Downloader.x
  • W97M/Downloader.bjp
  • W97M/MacroLess.y

NSP customers will have new signatures added to the “HTTP: Microsoft Office OLE Arbitrary Code Execution Vulnerability (CVE-2017-0199)” attack name. The updated attack is part of our latest NSP sigset release: sigset 10.8.11.9 released on 28th July 2020.The KB details can be found here: KB55446

(1) https://www.bbc.co.uk/news/business-53026175

(2) https://www.welivesecurity.com/2020/06/17/operation-interception-aerospace-military-companies-cyberspies/

(3) https://www.justice.gov/opa/pr/north-korean-regime-backed-programmer-charged-conspiracy-conduct-multiple-cyber-attacks-and

(4) https://www.justice.gov/opa/pr/north-korean-regime-backed-programmer-charged-conspiracy-conduct-multiple-cyber-attacks-and

5 https://www.us-cert.gov/northkorea

(5) https://www.virustotal.com/gui/file/4a08c391f91cc72de7a78b5fd5e7f74adfecd77075e191685311fa598e07d806/detection – Gamaredon Group

(6) https://docs.microsoft.com/en-us/openspecs/office_standards/ms-docx/550efe71-4f40-4438-ac89-23ec1c1d2182

(7) https://www.welivesecurity.com/2020/06/17/operation-interception-aerospace-military-companies-cyberspies/

(8) https://otx.alienvault.com/pulse/5e8619b52e480b485e58259a





Enlace a la noticia original