XDSpy: Robando secretos gubernamentales desde 2011


Los investigadores de ESET descubren un nuevo grupo de APT que ha estado robando documentos confidenciales de varios gobiernos de Europa del Este y los Balcanes desde 2011

Raro es el grupo APT que pasa desapercibido durante nueve años, pero XDSpy es solo eso; un grupo de espionaje previamente indocumentado que ha estado activo desde 2011. Ha atraído muy poca atención pública, con la excepción de un consultivo del CERT bielorruso en febrero de 2020. Mientras tanto, el grupo ha comprometido a muchas agencias gubernamentales y empresas privadas en Europa del Este y los Balcanes.

Esta entrada de blog es un resumen, con información actualizada sobre los vectores de compromiso y los indicadores de compromiso, de la investigación que presentamos en la conferencia Virus Bulletin 2020 (ver el papel completo y el presentación).

Objetivos

Los objetivos del grupo XDSpy se encuentran en Europa del Este y los Balcanes y son principalmente entidades gubernamentales, incluidos los militares y los Ministerios de Relaciones Exteriores, y empresas privadas. La Figura 1 muestra la ubicación de las víctimas conocidas según la telemetría de ESET.

Figura 1. Mapa de víctimas de XDSpy según la telemetría de ESET (Bielorrusia, Moldavia, Rusia, Serbia y Ucrania)

Atribución

Después de una investigación cuidadosa, no pudimos vincular XDSpy a ningún grupo APT conocido públicamente:

  • No encontramos ninguna similitud de código con otras familias de malware.
  • No observamos ninguna superposición en la infraestructura de la red.
  • No tenemos conocimiento de otro grupo de APT dirigido a estos países y verticales específicos.

Además, el grupo ha estado activo durante más de nueve años. Entonces, si hubiera existido tal superposición, creemos que se habría notado, y el grupo se habría descubierto, hace mucho tiempo.

Creemos que los desarrolladores podrían estar trabajando en la zona horaria UTC + 2 o UTC + 3, que también es la zona horaria de la mayoría de los objetivos. También notamos que solo trabajaban de lunes a viernes, lo que sugiere una actividad profesional.

Vectores de compromiso

Los operadores de XDSpy parecen utilizar principalmente correos electrónicos de spearphishing para comprometer sus objetivos. De hecho, este es el único vector de compromiso que hemos observado. Sin embargo, los correos electrónicos tienden a variar un poco: algunos contienen un archivo adjunto mientras que otros contienen un enlace a un archivo malicioso. La primera capa del archivo o adjunto malicioso es generalmente un archivo ZIP o RAR.

La Figura 2 es un ejemplo de un correo electrónico de spearphishing de XDSpy enviado en febrero de 2020.

Figura 2. Correo electrónico de phishing enviado por los operadores de XDSpy en febrero de 2020

Aproximadamente traducido, el cuerpo del correo electrónico dice:

¡Buenas tardes!
Le envío una copia de la carta y los materiales fotográficos basados ​​en los resultados del trabajo. Haga clic en el enlace para descargar: material fotográfico_11.02.2020.zip
Estamos esperando respuesta hasta el final de la jornada laboral.

El enlace apunta a un archivo ZIP que contiene un archivo LNK, sin ningún documento señuelo. Cuando la víctima hace doble clic en él, el LNK descarga un script adicional que instala XDDown, el principal componente de malware.

Después de que nuestro artículo se envió a Virus Bulletin, continuamos rastreando al grupo y, después de una pausa entre marzo y junio de 2020, regresaron. A fines de junio de 2020, los operadores intensificaron su juego al usar una vulnerabilidad en Internet Explorer, CVE-2020-0968, que había sido parcheada en abril de 2020. En lugar de entregar un archivo con un archivo LNK, el servidor de C&C estaba entregando un archivo RTF que, una vez abierto, descargó un archivo HTML aprovechando la vulnerabilidad antes mencionada.

CVE-2020-0968 es parte de un conjunto de vulnerabilidades similares en el motor de JavaScript heredado de IE revelado en los últimos dos años. En el momento en que fue explotado por XDSpy, no había ninguna prueba de concepto y había muy poca información disponible en línea sobre esta vulnerabilidad específica. Creemos que XDSpy compró este exploit de un corredor o desarrolló un exploit de 1 día por sí mismo buscando inspiración en exploits anteriores.

Es interesante notar que este exploit tiene similitudes con exploits previamente utilizados en Campañas de DarkHotel, como se muestra en la Figura 3. También es casi idéntico al exploit utilizado en Operación Domino en septiembre de 2020, que se cargó en VirusTotal desde Bielorrusia.

Dado que no creemos que XDSpy esté vinculado a DarkHotel y que Operation Domino se ve muy diferente de XDSpy, es probable que los tres grupos compartan el mismo broker de exploits.

Figura 3. Partes del código de explotación, incluido el principio, son similares a las utilizadas en una campaña de DarkHotel descrita por JPCERT

Finalmente, el grupo se subió al vagón COVID-19 al menos dos veces en 2020. Primero utilizó este tema en una campaña de phishing contra instituciones bielorrusas en febrero de 2020. Luego, en septiembre de 2020, reutilizaron este tema contra objetivos de habla rusa. El archivo contenía un Windows Script File (WSF) malicioso que descarga XDDown, como se muestra en la Figura 4, y usaron el sitio web oficial rospotrebnadzor.ru como señuelo, como se muestra en la Figura 5.

Figura 4. Parte del script que descarga XDDown

Figura 5. Parte del script que abre la URL del señuelo

Componentes de malware

La Figura 4 muestra la arquitectura de malware en un escenario donde el compromiso ocurre a través de un archivo LNK, como fue el caso en febrero de 2020.

Figura 6. Arquitectura de malware de XDSpy. XDLoc y XDPass se eliminan sin ningún orden en particular

XDDown es el principal componente de malware y es estrictamente un descargador. Persiste en el sistema usando la tecla Ejecutar tradicional. Descarga complementos adicionales desde el servidor C&C codificado mediante el protocolo HTTP. Las respuestas HTTP contienen binarios PE cifrados con una clave XOR codificada de dos bytes.

Durante nuestra investigación, descubrimos los siguientes complementos:

  • XDRecon: recopila información básica sobre la máquina víctima (el nombre de la computadora, el nombre de usuario actual y el número de serie del volumen de la unidad principal).
  • XDList: rastrea la unidad C: en busca de archivos interesantes (.accdb, .Doc, .docm, .docx, .mdb, .xls, .xlm, .xlsx, .xlsm, .odt, .ost, .ppt, .pptm, .ppsm, .pptx, .sldm, .pst, .msg, .pdf, .eml, .wab) y filtra las rutas de estos archivos. También puede realizar capturas de pantalla.
  • XDMonitor: similar a XDList. También supervisa las unidades extraíbles para filtrar los archivos que coinciden con una extensión interesante.
  • XDUpload: Exfiltra una lista codificada de archivos del sistema de archivos al servidor C&C, como se muestra en la Figura 5. Las rutas fueron enviadas a los servidores C&C por XDList y XDMonitor.

Figura 7. Carga en bucle de una lista codificada de archivos en el servidor C&C (parcialmente redactado)

  • XDLoc: recopila SSID cercanos (como puntos de acceso Wi-Fi), probablemente para ubicar geográficamente las máquinas víctimas.
  • XDPass: toma las contraseñas guardadas de varias aplicaciones, como navegadores web y programas de correo electrónico.

Se pueden encontrar más detalles sobre los diversos componentes de malware en el papel blanco.

Conclusión

XDSpy es un grupo de ciberespionaje que en su mayoría no ha sido detectado durante más de nueve años y ha estado muy ocupado durante los últimos meses. Está más interesado en robar documentos de entidades gubernamentales en Europa del Este y los Balcanes. Esta focalización es bastante inusual y lo convierte en un grupo interesante a seguir.

La competencia técnica del grupo tiende a variar un poco. Ha utilizado la misma arquitectura básica de malware durante nueve años, pero también ha aprovechado recientemente una vulnerabilidad parcheada por el proveedor pero para la que no existe una prueba de concepto pública, el llamado exploit de 1 día.

Para cualquier consulta o para realizar presentaciones de muestra relacionadas con el tema, contáctenos en amenazaintel@eset.com.

Un agradecimiento especial a Francis Labelle por su trabajo en esta investigación.

Indicadores de compromiso

La lista completa de indicadores de compromiso (IoC) y ejemplos se pueden encontrar en nuestro Repositorio de GitHub.

Componentes de malware

SHA-1 Nombre de detección de ESET Descripción
C125A05CC87EA45BB5D5D07D62946DAEE1160F73 JS / TrojanDropper.Agent.OAZ Correo electrónico de spearphishing (2015)
99729AC323FC8A812FA2C8BE9AE82DF0F9B502CA LNK / TrojanDownloader.Agent.YJ Descargador de LNK malicioso
63B988D0869C6A099C7A57AAFEA612A90E30C10F Win64 / Agent.VB XDDown
BB7A10F816D6FFFECB297D0BAE3BC2C0F2F2FFC6 Win32 / Agent.ABQB XDDown (muestra conocida más antigua)
844A3854F67F4F524992BCD90F8752404DF1DA11 Win64 / Spy.Agent.CC XDRecon
B333043B47ABE49156195CC66C97B9F488E83442 Win64 / Spy.Agent.CC XDUpload
83EF84052AD9E7954ECE216A1479ABA9D403C36D Win64 / Spy.Agent.CC XDUpload
88410D6EB663FBA2FD2826083A3999C3D3BD07C9 Win32 / Agent.ABYL XDLoc
CFD43C7A993EC2F203B17A9E6B8B392E9A296243 Win32 / PSW.Agent.OJS XDPass
3B8445AA70D01DEA553A7B198A767798F52BB68A DOC / Anormal.V Archivo RTF malicioso que descarga el exploit CVE-2020-0968
AE34BEDBD39DA813E094E974A9E181A686D66069 Win64 / Agent.ACG XDDown
5FE5EE492DE157AA745F3DE7AE8AA095E0AFB994 VBS / TrojanDropper.Agent.OLJ Secuencia de comandos maliciosa (septiembre de 2020)
B807756E9CD7D131BD42C2F681878C7855063FE2 Win64 / Agent.AEJ XDDown (más reciente en el momento de la escritura)

Nombres de archivo / rutas

% APPDATA% Temp.NET archset.dat
% APPDATA% Temp.NET hdir.dat
% APPDATA% Temp.NET list.dat
% TEMP% tmp% YEAR %% MONTH %% DAY% _% TICK_COUNT% .s
% TEMP% fl637136486220077590.data
wgl.dat
Windows Broker Manager.dat
% TEMP% Usermode COM Manager.dat
% TEMP% Usermode COM Manager.exe
% APPDATA% WINinit WINlogon.exe
% APPDATA% msprotectexp mswinexp.exe
% APPDATA% msvdemo msbrowsmc.exe
% APPDATA% Explorer msdmcm6.exe
% APPDATA% Explorer browsms.exe

Red

Utilizado en 2019-2020

descargasprimary (.) com
filedownload (.) correo electrónico
archivo-descarga (.) org
minisnowhair (.) com
descargar-365 (.) com
365downloading.com
officeupdtcentr (.) com
dropsklad (.) com
getthatupdate (.) com
boborux (.) com
easytosay (.) org
daftsync (.) com
documentsklad (.) com
wildboarcontest (.) com
nomatterwhat (.) info
maiwegwurst (.) com
migración-info (.) com
jerseygameengine (.) com
seatwowave (.) com
cracratutu (.) com
chtcc (.) net
ferrariframework (.) com

Infraestructura de red antigua

62.213.213 (.) 170
93.63.198 (.) 40
95.215.60 (.) 53
forgeron (.) tk
jahre999 (.) tk
omgtech.000space (.) com
podzim (.) tk
porfavor876 (.) tk
replacec.000space (.) com
settimana987 (.) tk

Técnicas MITRE ATT & CK

Nota: esta tabla fue construida usando versión 7 del marco MITRE ATT & CK.

Táctica CARNÉ DE IDENTIDAD Nombre Descripción
Acceso inicial T1566.001 Phishing: archivo adjunto de spearphishing XDSpy ha enviado correos electrónicos de spearphishing con un archivo adjunto malicioso.
T1566.002 Phishing: enlace de spearphishing XDSpy ha enviado correos electrónicos de phishing con un enlace a un archivo malicioso.
Ejecución T1203 Explotación para la ejecución del cliente XDSpy ha aprovechado una vulnerabilidad (CVE-2020-0968) en Internet Explorer (provocada por un archivo RTF malicioso).
T1204.001 Ejecución del usuario: enlace malicioso XDSpy ha atraído a los objetivos para que descarguen archivos maliciosos que contienen archivos maliciosos como LNK.
T1204.002 Ejecución del usuario: archivo malicioso XDSpy ha atraído a los objetivos para que ejecuten archivos maliciosos como LNK o RTF.
Persistencia T1547.001 Ejecución de inicio automático de inicio o inicio de sesión: claves de ejecución del registro / carpeta de inicio XDDownload persiste usando la tecla Ejecutar.
Descubrimiento T1033 Descubrimiento de propietario / usuario del sistema XDRecon envía el nombre de usuario al servidor C&C.
T1082 Descubrimiento de información del sistema XDRecon envía el nombre de la computadora y el número de serie del volumen de la unidad principal al servidor C&C.
T1083 Descubrimiento de archivos y directorios XDList y XDMonitor monitorean el sistema local y la unidad extraíble. Se envía una lista de rutas interesantes, que coincide con una lista de extensiones codificadas, al servidor C&C.
Colección T1005 Datos del sistema local XDUpload extrae archivos de la unidad local. Las rutas de los archivos que se van a cargar están codificadas en las muestras de malware.
T1025 Datos de medios extraíbles XDMonitor extrae archivos de unidades extraíbles.
T1113 La captura de pantalla XDList, XDMonitor y XDUpload toman capturas de pantalla y las envían al servidor C&C.
T1119 Colección automatizada XDMonitor extrae archivos de unidades extraíbles que coinciden con extensiones específicas.
XDUpload extrae archivos locales que se encuentran en una de las rutas codificadas en las muestras de malware.
Comando y control T1071.001 Protocolo de capa de aplicación: protocolos web XDSpy usa HTTP para comando y control.
T1573.001 Canal cifrado: criptografía simétrica XDDownload descarga componentes adicionales cifrados con una clave XOR estática de 2 bytes.
Exfiltración T1020 Exfiltración automatizada XDMonitor y XDUpload extraen automáticamente los archivos recopilados.
T1041 Exfiltración sobre canal C2 XDSpy extrae los datos robados mediante el canal C&C.





Enlace a la noticia original