Turla Crutch: mantener abierta la "puerta trasera"


Investigadores de ESET descubren una nueva puerta trasera utilizada por Turla para exfiltrar documentos robados a Dropbox

Los investigadores de ESET encontraron una puerta trasera y un ladrón de documentos previamente indocumentados. Apodado Muleta por sus desarrolladores, pudimos atribuirlo al infame grupo Turla APT. Según nuestra investigación, se utilizó desde 2015 hasta, al menos, principios de 2020. Hemos visto a Crutch en la red de un Ministerio de Asuntos Exteriores en un país de la Unión Europea, lo que sugiere que esta familia de malware solo se utiliza contra muy específicos objetivos como es común para muchas herramientas Turla.

Turla es un grupo de ciberespionaje activo desde hace más de diez años. Ha comprometido a muchos gobiernos, especialmente a entidades diplomáticas, en todo el mundo, operando un gran arsenal de malware que nosotros tener descrito en los último años.

Atribución a Turla

Durante nuestra investigación, pudimos identificar fuertes vínculos entre un cuentagotas Crutch de 2016 y Mirador. Este último, también conocido como WhiteBear, fue una puerta trasera de segunda etapa utilizada por Turla en 2016-2017. Nuestro análisis se basa en el cuentagotas Crutch con SHA-1 A010D5449D29A1916827FDB443E3C84C405CB2A5 y el gotero Gazer con SHA-1 1AE4775EFF21FB59708E8C2B55967CD24840C8D9. Identificamos las siguientes similitudes:

  • Ambas muestras se dejaron caer en C: Intel ~ intel_upd.exe en la misma máquina con un intervalo de cinco días en septiembre de 2017
  • Ambas muestras sueltan archivos CAB que contienen los diversos componentes de malware
  • Los cargadores, abandonados por las muestras mencionadas anteriormente, comparten rutas de PDB claramente relacionadas:
    C: Usuarios usuario Documentos Visual Studio 2012 Proyectos MemoryStarter Release Extractor.pdb y
    C: Users user Documents Visual Studio 2012 Projects MemoryStarter x64 Release Extractor.pdb
  • Los cargadores descifran sus cargas útiles utilizando la misma clave RC4:
    E8 8E 77 7E C7 80 8E E7 CE CE CE C6 C6 CE C6 68

Dados estos elementos y que no se sabe que las familias de malware de Turla se compartan entre diferentes grupos, creemos que Crutch es una familia de malware que forma parte del arsenal de Turla.

Otra observación interesante es la presencia de FatDuke y Crutch al mismo tiempo en una máquina. La primera es una puerta trasera de la tercera etapa que atribuimos a Dukes / APT29 en nuestro Informe Operación Fantasma. Sin embargo, no tenemos ninguna evidencia de interacción entre estas dos familias de malware. Es posible que ambos grupos comprometieran independientemente la misma máquina.

Actividad de espionaje

Según los datos de ESET LiveGrid®, Turla utilizó el juego de herramientas Crutch contra varias máquinas del Ministerio de Asuntos Exteriores en un país de la Unión Europea. Estas herramientas fueron diseñadas para filtrar documentos confidenciales y otros archivos a las cuentas de Dropbox controladas por los operadores de Turla.

Pudimos capturar algunos de los comandos enviados por los operadores a varias instancias de Crutch v3, lo que es útil para comprender el objetivo de la operación. Los operadores estaban principalmente haciendo reconocimiento, movimiento lateral y espionaje.

La principal actividad maliciosa es la puesta en escena, la compresión y la exfiltración de documentos y varios archivos, como se muestra en la Figura 1. Estos son comandos ejecutados manualmente por los operadores, por lo que no muestran la recopilación automatizada de documentos por el componente del monitor de la unidad que se describe en una sección posterior. . La exfiltración se realiza mediante otro comando de puerta trasera y, por lo tanto, no se muestra en los ejemplos siguientes.

Figura 1. Comandos manuales ejecutados por los operadores durante la fase de espionaje

Finalmente, los operadores tienen cierto sentido del humor. En algún momento, ejecutaron el siguiente comando:

Horas de trabajo de los operadores

Para tener una idea aproximada de las horas de trabajo de los operadores, exportamos las horas en las que cargaron archivos ZIP a las cuentas de Dropbox que operan. Estos archivos ZIP contienen comandos para la puerta trasera y los operadores los cargan en Dropbox, de forma asincrónica desde el momento en que la puerta trasera lee y ejecuta su contenido. Por lo tanto, esto debería mostrar cuando los operadores están trabajando y no cuando las máquinas de la víctima están activas.

Recopilamos 506 marcas de tiempo diferentes y van desde octubre de 2018 a julio de 2019. Se representan en la Figura 2.

Figura 2. Horas de trabajo de los operadores de Crutch según las cargas a Dropbox

Dado el gráfico, es probable que los operadores operen en la zona horaria UTC + 3.

Compromiso / Entrega de malware

Creemos que Crutch no es una puerta trasera de primera etapa y se implementa después de que los operadores han comprometido por primera vez la red de una organización.

El primer método consiste en utilizar un implante de primera etapa como Patrón. En 2017, vimos la implementación de Crutch unos meses después de que Skipper comprometiera la computadora. Luego, los operadores de malware también comprometieron otras máquinas en la red local moviéndose lateralmente.

El segundo método que hemos presenciado es el uso de Imperio de PowerShell. No pudimos descubrir cómo llegó el script malicioso a la máquina, pero creemos que fue a través de otro implante, aunque no se puede excluir un documento de phishing. Cabe señalar que los scripts de PowerShell Empire usaban OneDrive y Dropbox.

Muleta versión 1 a 3

Desde 2015 hasta mediados de 2019, la arquitectura de malware utilizó una puerta trasera que se comunicaba con Dropbox y un monitor de unidad sin capacidades de red.

La Figura 3 describe la arquitectura de Crutch versión 3. Incluye una puerta trasera que se comunica con una cuenta de Dropbox codificada mediante la API HTTP oficial. Puede ejecutar comandos básicos como leer y escribir archivos o ejecutar procesos adicionales. Persiste mediante el secuestro de DLL en Chrome, Firefox o OneDrive. En algunas variantes, notamos la presencia de canales C&C de recuperación usando GitHub o un dominio regular.

El segundo binario principal es un monitor de unidad extraíble que busca archivos que tienen una extensión interesante (.pdf, .rtf, .doc, .docx). Entonces etapas los archivos en un archivo cifrado.

Figura 3. Arquitectura de Crutch v3

Muleta versión 4

En julio de 2019, encontramos una nueva versión de Crutch. Si bien no tenemos el número de versión del desarrollador, creemos que ha evolucionado lo suficiente como para calificar como la versión 4. Esta nueva versión es una versión actualizada del monitor de unidad extraíble con capacidades de red.

La Figura 4 muestra la arquitectura de Crutch v4. La principal diferencia es que ya no admite comandos de puerta trasera. Por otro lado, puede cargar automáticamente los archivos que se encuentran en unidades locales y extraíbles al almacenamiento de Dropbox mediante la versión de Windows de la utilidad Wget.

Figura 4. Arquitectura de Crutch v4

El directorio de trabajo de esta v4 es C: Intel donde se encuentran los siguientes componentes:

  • outllib.dll: El DLL de muleta
  • finder.exe: El buscador de elementos de Outlook original de Microsoft Outlook (SHA-1: 830EE9E6A1BB7588AA8526D94D2D9A2B491A49FA)
  • resources.dll: DLL genuino que es una dependencia de finder.exe (SHA-1: 31D82C554ABAB3DD8917D058C2A46509272668C3)
  • outlook.dat: Archivo de configuración de Crutch. Contiene el token de la API de Dropbox.
  • ihlp.exe: La utilidad RAR genuina (SHA-1: A92C801F491485F6E27B7EF6E52E02B461DBCFAA)
  • msget.exe: Una versión limpia de la utilidad Wget para Windows (SHA-1: 457B1CD985ED07BAFFD8C66FF40E9C1B6DA93753)

Como Crutch v3, persiste usando el secuestro de DLL. Sin embargo, en este caso, la aplicación host es un antiguo componente de Microsoft Outlook que los operadores dejan caer en el sistema comprometido.

Conclusión

En los últimos años, hemos documentado públicamente varias familias de malware operadas por Turla. Crutch muestra que al grupo no le faltan puertas traseras nuevas o actualmente indocumentadas. Este descubrimiento refuerza aún más la percepción de que el grupo Turla tiene recursos considerables para operar un arsenal tan grande y diverso.

Crutch puede eludir algunas capas de seguridad al abusar de la infraestructura legítima, en este caso Dropbox, para integrarse en el tráfico normal de la red mientras filtra documentos robados y recibe comandos de sus operadores.

Los indicadores de compromiso también se pueden encontrar en GitHub. Para cualquier consulta o para hacer presentaciones de muestra relacionadas con el tema, contáctenos en: amenazaintel@eset.com.

Indicadores de compromiso

Hashes

SHA-1 Descripción Nombre de detección de ESET
A010D5449D29A1916827FDB443E3C84C405CB2A5 Cuentagotas de muleta similar a Gazer Win64 / Agent.VX
2FABCF0FCE7F733F45E73B432F413E564B92D651 Puerta trasera Crutch v3 (empaquetada) Win32 / Agent.TQL
A4AFF23B9A58B598524A71F09AA67994083A9C83 Puerta trasera de Crutch v3 (sin embalaje) Win32 / Agent.TQL
778AA3A58F5C76E537B5FE287912CC53469A6078 Muleta v4 Win32 / Agent.SVE

Caminos

Directorios de trabajo de muletas

Nombres de archivo

  • C: Intel outllib.dll
  • C: Intel lang.nls
  • C: Intel ~ intel_upd.exe
  • C: Intel ~ csrss.exe
  • C: Archivos de programa (x86) Google Chrome Application dwmapi.dll
  • C: Archivos de programa (x86) Mozilla Firefox rasadhlp.dll
  • % LOCALAPPDATA% Microsoft OneDrive dwmapi.dll

Red

  • hotspot.accesscam (.) org
  • highcolumn.webredirect (.) org
  • ethdns.mywire (.) org
  • theguardian.webredirect (.) org
  • https: //raw.githubusercontent (.) com / ksRD18pro / ksRD18 / master / ntk.tmp

Técnicas MITRE ATT & CK

Nota: esta tabla fue construida usando versión 7 del marco MITRE ATT & CK.

Táctica CARNÉ DE IDENTIDAD Nombre Descripción
Acceso inicial T1078.003 Cuentas válidas: cuentas locales Los operadores de Crutch abusaron de las cuentas locales que tienen la misma contraseña en la red de la víctima. Esto se usó cuando se comprometieron máquinas adicionales en la red, se desconoce la brecha inicial.
Persistencia T1053.005 Tarea / Trabajo programado: Tarea programada Crutch v4 persiste usando una tarea programada de Windows.
T1574.001 Flujo de ejecución de secuestro: secuestro de órdenes de búsqueda de DLL Crutch v3 persiste mediante el secuestro de órdenes de búsqueda de DLL en Google Chrome, Mozilla Firefox o Microsoft OneDrive.
Evasión de defensa T1036.004 Enmascaramiento: tarea o servicio de enmascaramiento Crutch v4 sigue usando una tarea programada que se hace pasar por el buscador de elementos de Outlook.
T1120 Descubrimiento de dispositivos periféricos Crutch monitorea cuando se conecta una unidad extraíble a la máquina comprometida.
T1025 Datos de medios extraíbles Crutch supervisa las unidades extraíbles y extrae archivos que coinciden con una lista de extensiones determinada.
T1074.001 Datos escalonados: estadificación de datos locales El monitor de disco extraíble Crutch v3 coloca los archivos robados en el C: AMD Temp directorio.
T1119 Colección automatizada Crutch supervisa automáticamente las unidades extraíbles en un bucle y copia archivos interesantes.
T1560.001 Archivar datos recopilados: archivar a través de la utilidad Crutch usa la utilidad WinRAR para comprimir y cifrar archivos robados.
T1008 Canales de respaldo Crutch v3 usa un repositorio de GitHub codificado como canal de respaldo.
T1071.001 Protocolo de capa de aplicación: protocolos web El protocolo de red de Crutch utiliza la API oficial de Dropbox a través de HTTP.
T1102.002 Servicio web: comunicación bidireccional Crutch usa Dropbox para descargar comandos y cargar datos robados.
Exfiltración T1020 Exfiltración automatizada Crutch v4 filtra automáticamente los archivos robados a Dropbox.
T1041 Exfiltración sobre canal C2 Crutch extrae datos mediante el canal principal de C&C (API HTTP de Dropbox).
T1567.002 Exfiltración a través del servicio web: Exfiltración al almacenamiento en la nube Crutch exfiltra los datos robados a Dropbox.





Enlace a la noticia original