Operation StealthyTrident: software corporativo bajo ataque


LuckyMouse, TA428, HyperBro, Tmanger y ShadowPad vinculados en un ataque a la cadena de suministro de Mongolia

Los investigadores de ESET descubrieron que el software de chat llamado Able Desktop, parte de una suite de gestión empresarial popular en Mongolia y utilizado por 430 agencias gubernamentales en mongolia (de acuerdo a Poder), fue utilizado para entregar la HyperBro puerta trasera (comúnmente utilizado por LuckyMouse), la Korplug RATA (también conocido como PlugX), y un RATA llamado Tmanger (que fue documentado por primera vez por Seguridad NTT y se utilizó durante la campaña de TI Operation Lagtimes atribuido a TA428 por Proofpoint). UNA Cconexión con la puerta trasera ShadowPad, que ahora es usado por al menos cinco actores de amenazas diferentes, wcomo también se encontraron.

Dos diferentes trojanizado instaladors, unas bien como un sistema de actualización probablemente comprometido, se utilizaron para entregar las cargas útiles. laPodersistema de actualización ha sidoya que al menos 2020 y troyanizado instaladores entregados desde en menos may 2018

Adicionalmente, ayer, Avast publicó un publicación de blog documentando una campaña focalización gobierno agencias y un centro de datos nacional en Mongolia. Durante tha campaña, los atacantes comprometieron unan desconocido empresa eso fue proporcionando gobierno instituciones en miast UNAsia y aprovechó ese compromiso para ofrecer HyperBro Por correo electrónico. Nosotros creer then comprometido empresa estaba Poder, como el nombre de archivo utilizado en eso malicioso correo electrónico adjunto archivo es probablemente AbleTimeAccess_Update.exe, y observamos tal una archivo siendo solía caer lo mismo HypagerBro muestra como se describe yonorte Avast entrada en el blog.

Un diagrama que resume las conexiones entre LuckyMouse, TA428 y el ShadowPad puerta trasera Infraestructura C&C es mostrado yonorte Figura 1.

Figura 1. Resumen de las conexiones entre LuckyMouse, TA428 y la puerta trasera ShadowPad

Respecto a la atribución de Operación StealthyTrident, teniendo en cuenta que HyperBro se atribuye comúnmente a LuckyMouse, ese Tmanger se atribuyó a TA428 y que utiliza uno de los servidores ShadowPad C&Cs, existen múltiples hipótesis en competencia:

  • LuckyMouse tiene acceso a Tmanger y ShadowPad.
  • Compartir LuckyMouse sus el acceso a los la comprometido Servidor de actualización de escritorio capaz con el grupo TA428 o algunos otro grupo que tiene acceso a Tmanger.
  • HyperBro ahora se comparte con TA428 o algunos otro grupo que tiene acceso a Tmanger y ShadowPad.
  • LuckyMouse y TA428 son subgrupos de el mismo actor de amenazas.

Aunque originalmente solo se sabía que era utilizado por Winnti Group, También debe tenerse en cuenta aquí que desde al menos Octobmir 2019, ShadowPad ha sido compartido entre múltiples actores de amenazas, incluido el Grupo Winnti, CactusPete, GARRAPATA, IceFog y Chico clave.

Elementos adicionales sobre la conexión entre Tmanger y TA428 se publicará en una segunda entrada de blog que documenta otra campaña en la que los atacantes utilizaron tanto Tmanger y ShadowPad.

Llamamos a esta campaña Operación StealthyTrident porque los atacantes hacen un uso extensivo de una de tres puntas "tridente" carga lateral técnica.

Comprometido Escritorio capaz

Able Desktop es software de chat incluido como part de la Poder negocio administración suite usado en mongolia. Es un Chromyo-establecido JavaScript aplicación haciendo uso de la biblioteca NodeJS. Según Able, su paquete de software es utilizado por 430 gobierno agencies en Mongolia.

A mediados de 2018, observamos una primera aparición de tél legítimo UNAble reesktop solicitud siendo solía dpropia carga y ejecutar HyperBro. HyperBro es una puerta trasera comúnmente atribuido a LuckyMouse (también conocido como Emissary Panda o APT27). Able Desktop también se utilizó para descargar y ejecutar Tmanger; en ese caso, el Poder reesktop software sí mismo Washingtonno está troyanizado (i.mi. eso recarné de identidad no contener código malicioso). La hipótesis más probable es que la El sistema de actualización de Able Desktop se vio comprometido.

Además de la aplicación legítima de Able Desktops utilizado para soltar y ejecutar HyperBro, me gustay usando su sistema de actualización, también encontramos dos Escritorio capaz instaladors que eran realmente troyanizado y Contieneed la puerta trasera HyperBro y la Korplug RATA. La primera aparición de este instalador de Able Desktop troyanizado se remonta a Diciembre de 2017. Una línea de tiempo of estos eventos se muestra yonorte Figura 2.

Figura 2. Cronología de los diversos implantes utilizados con un instalador de Able Desktop troyanizado o probablemente entregados a través de la actualización de Able Desktop

Notificamos a Able sobre estos compromisos.

Mecanismo de actualización de escritorio capaz

Para actualizarse, Able Desktop descarga el instalador de la actualización a través de HTTPS. Se muestra el código responsable de la actualización yonorte Figura 3.

Figura 3. Código JavaScript responsable de las actualizaciones de Able Desktop

El instalador de actualización descargado se guarda en %PERFIL DEL USUARIO% Documentos Able Able Desktop.exe. Una vez descargado, se ejecuta el instalador. En el caso de un leinstalador de actualización gitimate, una nueva versión de Able Desktop será instalado. Nosotros observado, sin embargo, ese comenzando en mediados de 2018, el ejecutable descargado no era un instalador legítimo, pero más bien la HyperBro puerta trasera. Dado que, en ese caso, el ejecutable es not un instalador de Able Desktop pero simple malware, no se realiza ninguna instalación de actualización y HyperBro es ejecutado en lugar y Able Desktop ya no se actualiza.

Múltiples elementos apoyo la hipótesis de un compromiso del servidor de actualización:

  • El nombre del archivo y la ruta utilizada para descargar HyperBro son los nombre de archivo y ruta utilizada por el sistema de actualización.
  • La actualización se descarga a través de HTTPS, por lo que hombreenlamedio Attack es poco probable.
  • HyperBro estaba soltado en todas las computadoras que usan Able Desktop durante la misma testoymicuadro como actualizaciones legítimas anteriores.
  • El malicioso Able Desktop.exe es eliminado por el software real Able Desktop y no malware disfrazado de Able Desktop.
  • No se han instalado actualizaciones legítimas desde el comienzo de la campaigramonorte.

Creemos esta basta con afirmar que el mecanismo de actualización se vio comprometido. Cabe señalar que Able Desktop tiene varios servidores de actualización, algunos de ellos alojados en organización del clientes. Dado que no tenemos información sobre qué servidor de actualización se utilizó por estas víctimas, no sabemos si Able se vio comprometido, o uno de sus clientes actualizar servidores.

La lista de servidores de actualización utilizados por Able Desktop es mostrado yonorte Figura 4. Podemos ver en esa lista que Able Desktop es indeed usado por varias entidades gubernamentales como la Autoridad de Recursos Minerales de Mongolia, el Ministerio de Justicia y Relaciones Exteriores, el Ministde Construcción y Desarrollo Urbano, el Banco de Desarrollo de Mongolia o la Universidad Estatal de Educación de Mongolia.

Entonces yon julio 2020, vimos un cambio de HyperBro siendo entregado por el sistema de actualización a una puerta trasera atribuida a TA428 y llamada Tmanger.

Escritorio capaz troyanizado

Además de que HyperBro y Tmanger se descargan mediante el software legítimo de Able Desktop, también encontramos dos difinstalador troyanizado diferentes. No sabemos si estos instaladores se podían descargar del sitio web de Able o de otra fuente.

Los instaladores de Able Desktop, tanto legítimos como troyanizados, son instaladores 7-Zip SFXs y no están firmados. En el caso de troyanizado instaladores, el software legítimo de Able Desktop se incluye con HyperBro o Korplug. La carga útil y su costadohost de carga están empaquetados en un data1.dat que es un archivo 7-Zip SFX mientras que Able Desktop está empaquetado en una data.dat archivo que es un avanzado yoinstalador. El contenido de la instalador troyanizado se resume yonorte Figura 5. Lo mismo IntgStat.exe ladohost de carga y pcalocalresloader.dll son usado tanto en la raíz del Able Desktop.exe archivo y data1.dat archivo.

Figura 5. Contenido del instalador de Able Desktop troyanizado

El instalador de 7-Zip SFX primero ejecuta IntgStat.exe, un ejecutable legítimo de Symantec, que es un lado DLLcargando el host utilizado para cargar pcalocalresloader.dll. Esta DLL se utiliza para descifrar y cargar el Codificado XOR carga almacenada en thumb.db. Esta carga útil, XOR codificado con 0x04, una vez mapeado ena memoria del cargador de carga útil, descomprimirá y ejecutará un incrustado, LZNT1comprimido PE ejecutable que se utiliza to rebautizar data.dat (el instalador legítimo) y data1.dat (la carga útil maliciosa) como Able Desktop.exe y data1.exe respectivamente, y entonces ejecutar ellos.

Una vez ejecutado, el recién renombrado data1.exe 7 cremalleras SFX el archivo extraerá su contenidos y ejecutar el segundo IntgStat.exe ladohost de carga, que luego carga pcalocalresloader.dll. De nuevo pcalocalresloader.dll se utiliza para cargar el Codificado XOR carga almacenada en el thumb.db archivo. Como antes de, tsu carga útil descomprimirá y ejecutará un LZNT1 incrustadoejecutable PE comprimido, cuales es en realidad HyperBro.

Tenga en cuenta que, en el caso del instalador de Able Desktop troyanizado con Korplug, el mismo ladocarga de host y DLL se utilizan para ejecutar data1.dat, mientras la ladocargando el host utilizado para ejecutar Korplog itselF no es IntgStat.exe, pero siteadv.exe – una ejecutable legítimo desde McAfeey el cargador DLL se llama siteadv.dll. Aparte de thes cambio de ladocargando el host, el mecanismo de entrega de la carga útil es lo mismo.

HyperBro

los HyperBro puerta trasera es LuckyMouse puerta trasera personalizada utilizada desde al menos 2013 y en continuo desarrollo. La variante que se utiliza aquí es similar a la variante descrita por Palo Alto Networks y Kaspersky. HyperBro fue entregado a las víctimas tanto por el software legítimo de Able Desktop como por un troyanizado Instalador de escritorio capaz.

Similar a la versión utilizada con el instalador troyanizado de Able Desktop, in el caso del HyperBro implante descargado por el legítimo Able Desktop, sus primera etapa consiste en un 7-Zip SFX que contiene:

  • thinprobe.exe, un ejecutable legítimo de Symantec utilizado para DLLcargando
  • thinprobe.dll, una Cargador HyperBro
  • thumbs.db, la Codificado XOR carga útil

HyperBro cargador DLL, thinprobe.dll, es ejecutado por Lado DLLcargando usando la thinprobe.exe ejecutable, cual es un legítimo, firmado Ejecutable de Symantec. Mientras que el ladoEl host de carga utilizado con el HyperBro descargado es diferente, la DLL utilizada para decodificar y ejecutar el thumbs.db la carga útil es exactamente lo mismo.

Esta técnicaique es very similar a la Trespuntiagudo tridente ataque informó por una Investigador de Kaspersky. Ambos thinprobe.exe y Intgstat.exe ladohost de cargas fueron previamente utilizado por LuckyMouse para cargar HyperBro.

Nota, sin embargo, esa ccontrariamente a lo previamente documentado HyperBro cuentagotass empleando tal tridente, la carga útil aquí no es Shikata GRAMOuna norteai codificado pero XOR codificado con el valor 0x04.

El C&C URL de thmi Implante HyperBro utilizado con el instalador troyanizado de Able Desktop es https: //developer.firefoxapi (.) com / ajax, mientras que la URL de C&C utilizado por el descargado por el legítimo Able Desktop es https: //139.180.208 (.) 225 / ajax.

Considerando HyperBro marcas de tiempo de compilación, la versión utilizada con el instalador troyanizado se compiló el viernes 08 de diciembre de 2017 a las 05:22:23, mientras que la versión descargada por Able Desktop se compiló Lun 11 mar 03:23:54 2019. Esto sugiere que el instalador troyanizado se utilizó antes de la versiónsion descargado por la Actualización de Able Desktopr. El instalador troyanizado se vio por primera vez en nuestra telemetría en mayo de 2018, mientras que la versión descargada por Able Desktop se vio por primera vez en junio 2020 (ver la línea de tiempo yonorte Figura 2).

Korplug

los Korplug RATA (también conocido como PlugX) es utilizado por varios grupos de amenazas diferentes. En thes caso, solo fue entregado vía el troyanizado Instalador de escritorio capaz y no hemos visto ninguna ocurrencia de Korplug siendo descargado por software legítimo de Able Desktop.

Como mentioned previamente, y Similar a instaladores troyanizados con HyperBro, Korplug es empaquetado en el instalador con el Able Desktop legítimo y ejecutado dos veces vía el modelo tridente por lado DLLcargando usando IntgStat.exe como ejecutable de host y entonces siteadv.exe. los idéntico DLL se utiliza para recódigo de correo y ejecutar el thumbs.db Codificado XOR carga útil como la utilizada con el instalador trojanizado con HyperBro, proporcionando un vínculo sólido entre estos dos instaladores troyanizados.

El C&C habla a usado por Korplug es 45.77.173 (.) 124: 443. Curiosamente, tsu dirección también fue utilizada por un CobaltoHuelga implante dirigido a una escuela en Mongolia durante el mismo período de tiempo.

Su marca de tiempo de compilación (Dom 08 dic 06:22:34 2019) así como la marca de tiempo de compilación del instalador (Miércoles 04 de septiembre 16:52:04 2019) sugieren que se usó después de que el instalador de Able Desktop se troyanara con HyperBro y antes HyperBro fue descargado por software legítimo de Able Desktop. Ver el timelinmi yonorte Figura 2.

Tmanger

Tmanger es un RATA que fue documentado por primera vez por NTT Sseguridad y eso estaba usado en Operación Lagtime IT que era attriconectado a TA428 por Proofpoint. Se llama Tmanger porque yos aparentemente el nombre dado por su desarrollador, como podemos ver en su ruta PDB, como ejemplo:

c: users waston desktop 20190403_tmanger 20191118 tm_new 1.0 release mloaddll.pdb

Considerando el variante observamos durante Operación StealthyTrident No PDB camino estaba presente pero es todavía very similar al documentado por NTT Sseguridad en su entrada en el blog. Como ejemplo de similitud entre las dos muestrass, la procedimiento de conexión utilizado por uno de la Tmanger muestras documentado por NTT Sseguridad (14140782A68FF20000C7E9F58336620A65D4D168) y el que dejó Able Desktop se muestran lado a lado yonorte Figura 6.

Figura 6. Comparación de la rutina de conexión en la muestra de Tmanger lanzada por Able Desktop legítimo (izquierda) y una de las muestras documentadas por NTT Security Una diferencia notable es que en el caso de la variante de Able Desktop, Tmanger está empaquetado en un solo ejecutable, mientras que la variante descrita por NTT Security consta de tres DLL.

miSET telemetry muestra la primera descarga de esta variante de Tmanger por el legítimo Software de escritorio capaz en Jde julio de 2020. Tmanger reemplazó HyperBro en ese sistema y no se vio que HyperBro se descargó en él después de eso.

El C&C direcciones usado por thes Tmanger implante, descargado por Able Desktop, se almacenan en unnorte Configuración encriptada RC4 y son el seguimiento:

  • 45,77,55 (.) 145: 80
  • 45,77,55 (.) 145: 443
  • 45,77,55 (.) 145: 8080

los comunicación el protocolo es TCP y los mensajes son RC4 cifrado.

Curiosamente, la primera dirección es parte de la infraestructura de red ShadowPad y, a lo mejor de nuestro conocimiento, ninguno de estas direcciones se superponen ingenioh Infraestructura de LuckyMouse.

Conclusión

Investigación de ESET descubrió una campaña dirigido a organizaciones de Mongolia ese relied en comprometido Instaladores de escritorio capaces y se compromete a el capaz actualizar el sistema para entregar HyperBro, Korplug y Tmanger malware.

Thes la campaña muestra una conexión con el ShadowPad atráshacero, como observamos superposición de infraestructura de reds Entre la infraestructura de red ShadowPad C&C y una de las direcciones de Tmanger C&Ces.

Aparte por el uso de HyperBro, desarrollado y comúnmente utilizado por LuckyMouse, no encontramos una superposición significativa con la LuckyMouse conjunto de herramientas o infraestructura de red. Hace esta media ese LuckyMouse jas acceso a ShadowPad y Tmanger o lo hizo LuckyMouse compartir su acceso a una comprometido Escritorio capaz servidor de actualización con la TA428 grupo? Otra hipótesis podría ser que, de manera similar a ShadowPad, HyperBro yos ahora compartido con otro actor de amenazass. Finalmente, una última hipótesis podría ser que LuckyMouse y TA428 son actores de amenazas estrechamente relacionados o en realidad el mismo.

Los indicadores de compromiso también se pueden encontrar en GitHub. Para cualquier consulta o para hacer presentaciones de muestra relacionadas con el tema, contáctenos en: amenazaintel@eset.com.

Reconocimiento

El autor desea agradecer a Matthieu Faou, que contribuyó a esta investigación.

IoC

Nombres de detección de ESET

Win32 / HyperBro.AD
Win32 /LuckyMouse.BL
Win32 /Korplug.ND
Win32 /Korplug.QD
Win64 / Spy.Tmanger.A

Escritorio capaz troyanizado

0B0CF4ADA30797B0488857F9A3B1429F44335FB6
B51835A5D8DA77A49E3266494A8AE96764C4C152

Cargador de carga útil

23A227DD9B77913D15735A25EFB0882420B1DE81
2A630E25D0C1006B6DBD7277F8E52A3574BEFFEC

HyperBro

8FFF5C6EB4DAEE2052B3578B73789EB15711FEEE
0550AAE6E3CEABCEF2A3F926339E68817112059A

Korplug

5D066113534A9E31F49BEFDA560CF8F8890496D0

Tmanger

ED6CECFDAAEB7F41A824757862640C874EF3F7AE

Dominios C&C

developer.firefoxapi(.) com

Direcciones IP de C&C

45.77.173 (.) 124
45,77,55 (.) 145
139.180.208 (.) 225

URL de C&C

https: //developer.firefoxapi (.) com / ajax
https: //139.180.208 (.) 225 / ajax

Técnicas MITRE ATT & CK

Táctica CARNÉ DE IDENTIDAD Nombre Descripción
Acceso inicial T1195.002 Compromiso de la cadena de suministro: Compromiso de la cadena de suministro del software Es probable que uno de los servidores de actualización de Able se haya visto comprometido para implementar HyperBro y Tmanger.
Ejecución T1204.002 Ejecución del usuario: archivo malicioso El instalador troyano de Able Desktop lo ejecuta el usuario.
Persistencia T1574.002 Flujo de ejecución de secuestro: carga lateral de DLL HyperBro, Korplug y Tmanger se ejecutan mediante la carga lateral de DLL.
Evasión de defensa T1140 Desofuscar / decodificar archivos o información Las cargas útiles de HyperBro y Korplug están codificadas en XOR.
La configuración de Tmanger está cifrada con RC4.
T1574.002 Flujo de ejecución de secuestro: carga lateral de DLL Los hosts de carga lateral HyperBro y Korplug son ejecutables legítimos y firmados de proveedores de seguridad confiables.
Colección T1056.001 Captura de entrada: registro de teclas Tmanger admite el registro de teclas.
T1113 La captura de pantalla Tmanger admite la captura de pantalla.
Comando y control T1573.001 Canal cifrado: criptografía simétrica Los mensajes de Tmanger están encriptados RC4.
T1008 Canales de respaldo Tmanger puede recurrir a un C&C secundario.
T1095 Protocolo de capa que no es de aplicación Tmanger se comunica mediante TCP sin procesar.
T1071.001 Protocolo de capa de aplicación: protocolos web El protocolo de comunicación HyperBro es HTTP.
Exfiltración T1041 Exfiltración sobre canal C2 Tmanger puede exfiltrar archivos a través de un comando dedicado.

Nota: esta tabla fue construida usando versión 8 del marco MITRE ATT & CK.





Enlace a la noticia original