BackdoorDiplomacy: Actualización de Quarian a Turian


Los investigadores de ESET descubren una nueva campaña que se desarrolló a partir de la puerta trasera de Quarian

Resumen ejecutivo

Un grupo de APT al que llamamos BackdoorDiplomacy, debido a la principal vertical de sus víctimas, ha estado apuntando a Ministerios de Relaciones Exteriores y empresas de telecomunicaciones en África y Oriente Medio desde al menos 2017. Para los vectores iniciales de infección, el grupo favorece la explotación de Internet vulnerable. -dispositivos expuestos como servidores web e interfaces de gestión para equipos de red. Una vez en un sistema, sus operadores utilizan herramientas de código abierto para escanear el entorno y el movimiento lateral. El acceso interactivo se logra de dos maneras: (1) a través de una puerta trasera personalizada que llamamos Turian que se deriva de la puerta trasera Quarian; y (2) en menos casos, cuando se requiere un acceso más directo e interactivo, se implementan ciertas herramientas de acceso remoto de código abierto. En varios casos, se ha observado que el grupo apunta a medios extraíbles para la recopilación y exfiltración de datos. Finalmente, se ha apuntado a los sistemas operativos Windows y Linux.

Vínculos con grupos conocidos

BackdoorDiplomacy comparte puntos en común con varios otros grupos asiáticos. La más obvia de ellas es la conexión entre la puerta trasera turiana y la puerta trasera quariana. Las observaciones específicas con respecto a la conexión Turiano-Quarian se registran a continuación en el Turian sección. Creemos que este grupo también está vinculado con un grupo al que Kaspersky se refirió como "CloudComputating”Que también fue analizado por Sophos.

Varias víctimas se vieron comprometidas a través de mecanismos que coincidían estrechamente con el Rata refrito y un MirageFox-APT15 campaña documentada por Fortinet en 2017 e Intezer en 2018, respectivamente. Los operadores de BackdoorDiplomacy hicieron uso de su forma específica de secuestro de órdenes de búsqueda de DLL.

Por último, el método de cifrado de red que utiliza BackdoorDiplomacy es bastante similar a una puerta trasera. Dr.Web llamadas Puerta trasera.Whitebird.1. Whitebird se utilizó para atacar instituciones gubernamentales en Kazajstán y Kirguistán (ambos vecinos de una víctima de BackdoorDiplomacy en Uzbekistán) dentro del mismo período de 2017 hasta el presente en el que BackdoorDiplomacy ha estado activo.

Victimología

Quarian se utilizó para apuntar al Ministerio de Relaciones Exteriores de Siria en 2012, así como el Departamento de Estado de EE. UU. En 2013. Esta tendencia de apuntar a los Ministerios de Relaciones Exteriores continúa con Turian.

Se han descubierto víctimas en los Ministerios de Relaciones Exteriores de varios países africanos, así como en Europa, Oriente Medio y Asia. Los objetivos adicionales incluyen empresas de telecomunicaciones en África y al menos una organización benéfica de Oriente Medio. En cada caso, los operadores emplearon tácticas, técnicas y procedimientos (TTP) similares, pero modificaron las herramientas utilizadas, incluso dentro de regiones geográficas cercanas, lo que probablemente dificultaría el seguimiento del grupo. Consulte la Figura 1 para ver un mapa de víctimas por país y vertical.

Figura 1. Víctimas por país y vertical

Vectores de ataque

BackdoorDiplomacy apuntó a servidores con puertos expuestos a Internet, probablemente explotando vulnerabilidades sin parches o seguridad de carga de archivos mal aplicada. En un caso específico, observamos que los operadores explotan una vulnerabilidad F5 BIP-IP (CVE-2020-5902) para soltar una puerta trasera de Linux. En otro, un servidor de Microsoft Exchange fue explotado a través de un cuentagotas de PowerShell que instaló China Interruptor, un webshell bien conocido en uso, por varios grupos, desde 2013. En un tercero, observamos un Plesk El servidor con seguridad de carga de archivos mal configurada ejecuta otro webshell similar a China Chopper. Consulte la Figura 2 para obtener una descripción general de la cadena de exploits.

Figura 2. Cadena de explotación desde el compromiso inicial hasta la puerta trasera con comunicaciones C&C

Reconocimiento y movimiento lateral

Tras el compromiso inicial, en muchos casos el grupo BackdoorDiplomacy empleó herramientas de reconocimiento de código abierto y equipo rojo para evaluar el entorno en busca de objetivos adicionales de oportunidad y movimiento lateral. Entre las herramientas documentadas se encuentran:

  • Lombriz, un túnel de red simple con servidor SOCKS v5 y funcionalidades de transferencia de puertos
  • Mimikatz, y varias versiones que incluyen SafetyKatz
  • Nbtscan, un escáner NetBIOS de línea de comandos para Windows
  • NetCat, una utilidad de red que lee y escribe datos a través de conexiones de red
  • PortQry, una herramienta para mostrar el estado de los puertos TCP y UDP en sistemas remotos
  • SMBTouch, utilizado para determinar si un objetivo es vulnerable a EternalBlue
  • Varias herramientas del volcado de herramientas de la NSA de ShadowBrokers que incluyen, entre otras:
    • DoublePulsar
    • EternalBlue
    • EternalRocks
    • Sinergia eterna

Los directorios de uso común para las herramientas de reconocimiento de etapas y movimiento lateral incluyen:

  • C: Archivos de programa Windows Mail en-US
  • % LOCALAPPDATA% Microsoft InstallAgent Checkpoints
  • C: ProgramData ESET ESET Security Logs eScan
  • % PERFIL DE USUARIO% ESET ESET Security Logs eScan
  • C: Archivos de programa hp hponcfg
  • C: Archivos de programa hp hpssa
  • C: hp hpsmh
  • C: ProgramData Mozilla updates

De las herramientas enumeradas anteriormente, muchas estaban ofuscadas con VMProtect (v1.60-2.05), un tema recurrente con las herramientas BackdoorDiplomacy.

Ventanas

Goteros de puerta trasera

En algunos casos, se observó que los operadores cargaban goteros de puerta trasera. Los operadores intentaron disfrazar sus goteros de puerta trasera y evadir la detección de varias formas.

  • Convenciones de nomenclatura diseñadas para integrarse en las operaciones normales (p. Ej. amsc.exe, msvsvr.dll, alg.exe)
  • Colocar implantes en carpetas con nombres de software legítimo (p. Ej., C: Archivos de programa hp, C: ProgramData ESET, C: ProgramData Mozilla)
  • Secuestro de orden de búsqueda de DLL

En uno de esos casos, los operadores cargaron, a través de un webshell, ambos ScnCfg.exe (SHA-1: 573C35AB1F243D6806DEDBDD7E3265BC5CBD5B9A), un ejecutable legítimo de McAfee, y vsodscpl.dll, una DLL maliciosa que lleva el nombre de una DLL de McAfee legítima a la que llama ScnCfg.exe. La versión de vsodscpl.dll (SHA-1: FCD8129EA56C8C406D1461CE9DB3E02E616D2AA9) desplegado fue llamado por ScnCfg.exe, en cuyo punto vsodscpl.dll extrajo Turian incrustado en su código, lo escribió en la memoria y lo ejecutó.

En un sistema diferente, los operadores dejaron caer una copia legítima de credwize.exe, el Asistente de copia de seguridad y restauración de credenciales de Microsoft, en el disco y lo usó para ejecutar la biblioteca maliciosa New.dll, otra variante turiana.

Turian

Aproximadamente la mitad de las muestras que recolectamos fueron ofuscadas con VMProtect. Se incluye una compilación de los comandos del operador observados en el Comandos del operador sección. Los esquemas de cifrado de red únicos se analizan individualmente a continuación también.

Similitudes con Quarian

El informe inicial de Kaspersky señala que las víctimas de Quarian estaban en el Ministerio de Relaciones Exteriores de Siria, un objetivo similar de Turian.

En muchas de las muestras de Turian que recolectamos, hay similitudes obvias con Quarian. Ambos utilizan los mutex para verificar que solo se está ejecutando una instancia, aunque los nombres de los mutex utilizados son diferentes. Observamos los siguientes mutex utilizados por Turian:

  • winsupdatetw
  • clientesix
  • cliente
  • updatethres
  • Otros: generados dinámicamente según el nombre de host del sistema, limitado a ocho caracteres hexadecimales, minúsculas y precedidos de un cero a la izquierda

Los dominios del servidor C&C y las direcciones IP se extraen con rutinas XOR similares, donde Quarian usa una clave de descifrado de 0x44, Turian usa 0xA9.

Turian y Quarian leen los primeros cuatro bytes del archivo cf en el mismo directorio que el ejecutable del malware, que luego se usa como la duración de suspensión como parte de la rutina de baliza de C&C.

El proceso de conexión a la red de Turian sigue un patrón similar al de Quarian, intentando establecer una conexión directa. Si eso falla debido a un proxy local con una respuesta de 407 (se requiere autorización), ambos intentan usar credenciales almacenadas en caché local. Sin embargo, la solicitud enviada al proxy por Turian no contiene ninguno de los errores gramaticales que envió Quarian. Consulte la Figura 3 para ver una comparación de los intentos de conexión del proxy.

Figura 3. Comparación de intentos de conexión de proxy, Turian (izquierda) y Quarian (derecha)

Finalmente, tanto Turian como Quarian crean un shell remoto copiando cmd.exe a alg.exe.

Persistencia

Después de la ejecución inicial, Turian establece la persistencia creando el archivo tmp.bat en el directorio de trabajo actual, escribiendo las siguientes líneas en el archivo y luego ejecutando el archivo:

ReG aDd HKEY_CURRENT_USER sOFtWArE MIcrOsOft WindOwS CurRentVeRsiOn RuN / v Turian_filename> / t REG_SZ / d ""/ F

ReG yDd HKEY_LOCAL_MACHINE sOFtWArE MICROsOft WindOwS CurRentVeRsiOn RuN / v / t REG_SZ / d ""/ F

del% 0

Turian luego verifica la presencia del archivo Sharedaccess.ini en su directorio de trabajo. Si ese archivo está presente, Turian intenta cargar la IP de C&C o el dominio desde allí, si está presente. No observamos que Turian pasara IP o dominios de esta manera, pero las pruebas confirmaron que Turian busca cargar primero la dirección C&C desde aquí. Después de revisar Sharedaccess.ini, Turian intenta conectarse con una IP o dominio codificado y configura su protocolo de cifrado de red.

Cifrado de red

Se sabe que Quarian ha utilizado una clave XOR de ocho bytes (consulte Talos en Quarian: Revertir el protocolo C&C) y un nonce de ocho bytes para crear una clave de sesión (consulte ThreatConnect en Quarian Network Protocol Analysis en Divide y vencerás: desenmascarando las campañas "quarianas" de China a través de la comunidad). Turian tiene un método distinto para intercambiar claves de cifrado de red. Consulte la Figura 4 para ver un desglose de la configuración de cifrado de red de Turian.

Figura 4. Configuración de cifrado de red de Turian

Después de recibir el último paquete de 56 bytes, Turian llama a la función de inicialización de cifrado de red en la Figura 5 y acepta los 56 bytes de datos del último paquete C&C como único argumento.

Figura 5. Vista descompilada de Hex-Rays de la función de inicialización de la clave de cifrado

También se observó una segunda configuración de cifrado de red, como se muestra en la Figura 6.

Figura 6. Segundo protocolo de configuración de cifrado de red de Turian

La última iteración del ciclo de cuatro iteraciones (byte QWORD (5)) se utiliza como semilla para la función de inicialización de clave, como se muestra a continuación en la Figura 7.

Figura 7. Función de inicialización de la segunda tecla

Comandos del operador

La lista completa de comandos de operador de Turian se muestra en la Tabla 1.

Tabla 1. Comandos de Turian C&C

IDENTIFICACIÓN Descripción
0x01 Obtenga información del sistema, incluida la versión del sistema operativo, el uso de la memoria, el nombre de host local, la información del adaptador del sistema, la IP interna, el nombre de usuario actual, el estado de la instalación del servicio de directorio y los datos del dominio.
0x02 Shell interactivo – copiar % WINDIR% system32 cmd.exe a % WINDIR% alg.exe y engendrar alg.exe en un nuevo hilo.
0x03 Genere un nuevo hilo, reconozca el comando y espere uno de los siguientes comandos de tres dígitos.
0x04 Tomar captura de pantalla.
0x103 / 203 Escribir archivo.
0x403 Lista de directorio.
0x503 Mover archivo.
0x603 Borrar archivo.
0x703 Obtén información de inicio.

Orientación a medios extraíbles

Un subconjunto de víctimas fue atacado con ejecutables de recopilación de datos que fueron diseñados para buscar medios extraíbles (probablemente unidades flash USB). El implante busca de forma rutinaria dichas unidades, específicamente dirigidas a los medios extraíbles (valor de retorno de GetDriveType es 2). Si lo encuentra, el implante utiliza una versión incorporada de WinRAR para ejecutar estos comandos codificados:

  • CMD.exe / C% s a -m5 -hp1qaz @ WSX3edc -r% s% s \ *. *
  • CMD.exe / C% s a -m5 -hpMyHost-1 -r% s% s \ *. *
  • CMD.exe / C rd / s / q ”% s”

Los parámetros del comando se dividen en:

  • a == agregar archivos al archivo
  • -m (0: 5) == nivel de compresión
  • -hp
  • -r == subdirectorios recurrentes
  • rd == eliminar directorio
  • /s == eliminar un árbol de directorio
  • / q == modo silencioso
  • "%s" == directorio para actuar

El implante, al detectar que se está insertando un medio extraíble, intenta copiar todos los archivos en la unidad a un archivo protegido con contraseña y coloca el archivo en el siguiente directorio, que está codificado y, por lo tanto, es el mismo para todas las víctimas:

  • C: RECICLADOR S-1-3-33-854245398-2067806209-0000980848-2003

El implante también tiene la capacidad de eliminar archivos, según el tercer comando mencionado anteriormente.

Herramientas de acceso remoto

Ocasionalmente, los operadores de BackdoorDiplomacy requieren un mayor grado de acceso o más interactividad que el proporcionado por Turian. En esas ocasiones, emplean herramientas de acceso remoto de código abierto como Quásar, que ofrece una amplia variedad de capacidades y se ejecuta en prácticamente todas las versiones de Windows.

Linux

Descubrimos, a través de un dominio de servidor C&C compartido, un Puerta trasera de Linux utilizando una infraestructura de red similar y que se implementó después de explotar una vulnerabilidad conocida en la interfaz de usuario de administración de tráfico (TMUI) de los balanceadores de carga F5 BIG-IP, que permite la ejecución remota de código (RCE). La variante de Linux intenta persistir escribiéndose a sí misma en /etc/init.d/rc.local

A continuación, se ejecuta a través de un bucle para extraer cadenas de la memoria:

  • bash -version
  • echo $ PWD
  • / bin / sh
  • / tmp / AntiVirtmp
  • eth0
  • / proc /% d / exe

Luego, llama a su función demonio y bifurca un proceso hijo que luego comienza el trabajo de descifrar la dirección IP de C&C y / o el nombre de dominio y luego inicia un bucle que llega al C&C usando Mozilla / 5.0 (X11; Linux i686; rv: 22.0) Firefox / 22.0 como su agente de usuario. Este bucle C&C continúa hasta que se realiza una conexión exitosa. Una vez que se establece una conexión, el agente de Linux pasa por una configuración de cifrado de red similar a la que realiza la versión de Windows de Turian. Consulte la Figura 8 para ver el protocolo de cifrado de red utilizado por la variante Linux de Turian.

Figura 8. Variante de Linux Turian: rutina de configuración del protocolo de cifrado de red

Después de recibir el último paquete de 56 bytes, el agente de Linux llama a la función de inicialización de la clave de cifrado de red que se muestra en la Figura 9.

Figura 9. Función de inicialización de la clave de cifrado de red descompilada de Hex-Rays

Una vez completada con éxito la configuración del protocolo de red, se bifurca otro proceso secundario e intenta generar un shell inverso TTY:

  • python -c 'import pty; pty.spawn ("/ bin / sh") ’

Conclusión

BackdoorDiplomacy es un grupo que se dirige principalmente a organizaciones diplomáticas en Oriente Medio y África y, con menor frecuencia, a empresas de telecomunicaciones. Su metodología de ataque inicial se centra en explotar aplicaciones vulnerables expuestas a Internet en servidores web, con el fin de soltar y ejecutar un webshell. Después del compromiso, a través del webshell, BackdoorDiplomacy implementa software de código abierto para el reconocimiento y la recopilación de información, y favorece el uso del secuestro de órdenes de búsqueda DLL para instalar su puerta trasera, Turian. Por último, BackdoorDiplomacy emplea un ejecutable independiente para detectar medios extraíbles, probablemente unidades flash USB, y copiar su contenido en la papelera de reciclaje de la unidad principal.

BackdoorDiplomacy comparte tácticas, técnicas y procedimientos con otros grupos asiáticos. Turian probablemente representa una próxima etapa de evolución de Quarian, la puerta trasera que se observó por última vez en uso en 2013 contra objetivos diplomáticos en Siria y Estados Unidos. El protocolo de cifrado de red de Turian es casi idéntico al protocolo de cifrado de red utilizado por Whitebird, una puerta trasera operada por Calypso, otro grupo asiático. Whitebird se desplegó dentro de organizaciones diplomáticas en Kazajstán y Kirguistán durante el mismo período de tiempo que BackdoorDiplomacy (2017-2020). Además, BackdoorDiplomacy y APT15 utilizan las mismas técnicas y tácticas para dejar caer sus puertas traseras en los sistemas, a saber, el secuestro de órdenes de búsqueda de DLL antes mencionado.

BackdoorDiplomacy también es un grupo multiplataforma dirigido a sistemas Windows y Linux. La variante Linux de Turian comparte las mismas características del protocolo de cifrado de red e intenta devolver un shell inverso TTY al operador.

IoC

Muestras

SHA-1 Nombre del archivo Nombre de detección de ESET Descripción
3C0DB3A5194E1568E8E2164149F30763B7F3043D logout.aspx ASP / Webshell.H Webshell BackdoorDiplomacy – variante N2
32EF3F67E06C43C18E34FB56E6E62A6534D1D694 current.aspx ASP / Webshell.O Webshell BackdoorDiplomacy – variante S1
8C4D2ED23958919FE10334CCFBE8D78CD0D991A8 errorEE.aspx ASP / Webshell.J Webshell BackdoorDiplomacy – variante N1
C0A3F78CF7F0B592EF813B15FC0F1D28D94C9604 App_Web_xcg2dubs.dll MSIL / Webshell.C Webshell BackdoorDiplomacy – variante N3
CDD583BB6333644472733617B6DCEE2681238A11 N / A Linux / Agent.KD Puerta trasera de Linux Turian
FA6C20F00F3C57643F312E84CC7E46A0C7BABE75 N / A Linux / Agent.KD Puerta trasera de Linux Turian
5F87FBFE30CA5D6347F4462D02685B6E1E90E464 ScnCfg.exe Win32 / Agent.TGO Puerta trasera Windows Turian
B6936BD6F36A48DD1460EEB4AB8473C7626142AC VMSvc.exe Win32 / Agent.QKK Puerta trasera Windows Turian
B16393DFFB130304AD627E6872403C67DD4C0AF3 svchost.exe Win32 / Agent.TZI Puerta trasera Windows Turian
9DBBEBEBBA20B1014830B9DE4EC9331E66A159DF nvsvc.exe Win32 / Agent.UJH Puerta trasera Windows Turian
564F1C32F2A2501C3C7B51A13A08969CDC3B0390 AppleVersions.dll Win64 / Agent.HA Puerta trasera Windows Turian
6E1BB476EE964FFF26A86E4966D7B82E7BACBF47 MozillaUpdate.exe Win32 / Agent.UJH Puerta trasera Windows Turian
FBB0A4F4C90B513C4E51F0D0903C525360FAF3B7 nvsvc.exe Win32 / Agent.QAY Puerta trasera Windows Turian
2183AE45ADEF97500A26DBBF69D910B82BFE721A nvsvcv.exe Win32 / Agent.UFX Puerta trasera Windows Turian
849B970652678748CEBF3C4D90F435AE1680601F efsw.exe Win32 / Agent.UFX Puerta trasera Windows Turian
C176F36A7FC273C9C98EA74A34B8BAB0F490E19E iexplore32.exe Win32 / Agent.QAY Puerta trasera Windows Turian
626EFB29B0C58461D831858825765C05E1098786 iexplore32.exe Win32 / Agent.UFX Puerta trasera Windows Turian
40E73BF21E31EE99B910809B3B4715AF017DB061 explorer32.exe Win32 / Agent.QAY Puerta trasera Windows Turian
255F54DE241A3D12DEBAD2DF47BAC5601895E458 Duser.dll Win32 / Agent.URH Puerta trasera Windows Turian
A99CF07FBA62A63A44C6D5EF6B780411CF1B1073 Duser.dll Win64 / Agent.HA Puerta trasera Windows Turian
934B3934FDB4CD55DC4EA1577F9A394E9D74D660 Duser.dll Win32 / Agent.TQI Puerta trasera Windows Turian
EF4DF176916CE5882F88059011072755E1ECC482 iexplore32.exe Win32 / Agent.QAY Puerta trasera Windows Turian

La red

C y C

COMO Hoster dirección IP Dominio
AS20473 AS-CHOOPA 199.247.9 (.) 67 bill.microsoftbuys (.) com
AS132839 CENTRO DE DATOS DE LA LÍNEA DE ALIMENTACIÓN 43.251.105 (.) 218 dnsupdate.dns2 (.) nosotros
43.251.105 (.) 222
AS40065 Cnservers LLC 162.209.167 (.) 154
AS132839 CENTRO DE DATOS DE LA LÍNEA DE ALIMENTACIÓN 43.225.126 (.) 179 www.intelupdate.dns1 (.) nosotros
AS46573 LAYER-HOST 23.247.47 (.) 252 www.intelupdate.dns1 (.) nosotros
AS132839 CENTRO DE DATOS DE LA LÍNEA DE ALIMENTACIÓN 43.251.105 (.) 222 winupdate.ns02 (.) nosotros
AS40065 Cnservers LLC 162.209.167 (.) 189
AS25820 IT7NET 23.83.224 (.) 178 winupdate.ns02 (.) nosotros
23.106.140 (.) 207
AS132839 CENTRO DE DATOS DE LA LÍNEA DE ALIMENTACIÓN 43.251.105 (.) 218
AS20473 AS-CHOOPA 45.76.120 (.) 84 icta.worldmessg (.) com
AS20473 AS-CHOOPA 78.141.243 (.) 45
78.141.196 (.) 159 Infoafrica (.) Arriba
45.77.215 (.) 53 szsz.pmdskm (.) arriba
207.148.8 (.) 82 pmdskm (.) arriba
AS132839 CENTRO DE DATOS DE LA LÍNEA DE ALIMENTACIÓN 43.251.105 (.) 139 www.freedns02.dns2 (.) nosotros
43.251.105 (.) 139 web.vpnkerio (.) com
AS20473 AS-CHOOPA 45.77.215 (.) 53
AS135377 UCloud (HK) Holdings Group Limited 152.32.180 (.) 34
AS132839 CENTRO DE DATOS DE LA LÍNEA DE ALIMENTACIÓN 43.251.105 (.) 218 officeupdates.cleansite (.) nosotros
AS25820 IT7NET 23.106.140 (.) 207 dynsystem.imbbs (.) en
officeupdate.ns01 (.) nosotros
systeminfo.oicp (.) net
AS40676 Psychz Networks 23.228.203 (.) 130 systemminfo.myftp (.) nombre
systeminfo.cleansite (.) info
updateip.onmypc (.) net
buffetfactory.oicp (.) io

Proveedores de DDNS

Proveedor Dominio
expdns (.) neto update.officenews365 (.) com
ezdnscenter (.) com bill.microsoftbuys (.) com
changeip (.) org dnsupdate.dns2 (.) nosotros
dnsupdate.dns1 (.) nosotros
www.intelupdate.dns1 (.) nosotros
winupdate.ns02 (.) nosotros
www.freedns02.dns2 (.) nosotros
officeupdates.cleansite (.) nosotros
officeupdate.ns01 (.) nosotros
systeminfo.cleansite (.) info
updateip.onmypc (.) net
hichina (.) com Infoafrica (.) Arriba
dominiocontrol (.) com web.vpnkerio (.) com
exhera (.) com dynsystem.imbbs (.) en
systeminfo.oicp (.) net



Enlace a la noticia original