I ricercatori di ESET hanno analizzato alcune modifiche apportate al kit di strumenti dannosi del gruppo Advanced Persistent Threat (APT) noto come OceanLotus, anche denominato APT32 e APT-C-00.
OceanLotus nel tempo ha distribuito moltissimi malware prendendo di mira obiettivi aziendali e governativi di alto profilo nel Sud-Est asiatico, in particolare in Vietnam, Filippine, Laos e Cambogia. Il gruppo apparentemente molto competente e determinato, spesso assunto come vietnamita, è noto per aver integrato le sue creazioni personalizzate con tecniche note con lo scopo di ottenere il maggior successo possibile.
OceanLotus non si è limitato alla sola creazione di malware, ma ha allargato il proprio campo di azione al cyberspionaggio, alla ricognizione e al furto di proprietà intellettuale. Una delle ultime backdoor del gruppo è uno strumento dannoso completo che offre agli operatori l’accesso remoto alla macchina compromessa. La backdoor contiene una suite di funzionalità, in particolare diversi strumenti per la manipolazione di file, del registro e dei processi, nonché per il caricamento di componenti aggiuntivi.
Per distribuire la backdoor su una determinata macchina, il gruppo usa un attacco a due stadi, nel primo dei quali viene rilasciato un dropper che permetterà l’installazione della backdoor stessa nel sistema durante la seconda fase. Questa operazione viene completata sfruttando dei trucchi noti comunemente usati in attacchi di questo tipo.
Lo stratagemma
L’attacco inizia in genere con un tentativo di indurre la vittima ad eseguire il dropper – molto probabilmente tramite un’email di spearphishing – allegato al messaggio. Per aumentare la probabilità che l’ignara vittima clicchi sul file, questo eseguibile pericoloso viene opportunamente mascherato per presentarsi come un documento o un foglio di calcolo a cui viene abbinata una falsa icona.
Quando la vittima clicca sull’allegato, il dropper apre un documento protetto da una password impostata per distogliere l’attenzione della vittima, mentre lo stesso dropper continua nelle sue pericolose attività. Non sono necessari exploit software.
Per rendere meno prevedibile la rilevazione, i criminali utilizzano molteplici tipi di documenti. Sempre per migliorarne la credibilità e presunta affidabilità, a ogni file viene assegnato un nome piuttosto elaborato e di solito inglese. ESET rileva questi file come Win32/TrojanDropper.Agent.RUI.
Inoltre, OceanLotus è noto anche per l’uso di “attacchi da watering hole”, che sfruttano una versione compromessa di un sito Web che la vittima probabilmente visiterà. In questo scenario, la “preda” viene ingannata e portata al download e all’esecuzione di un falso programma di installazione o di un falso aggiornamento per il software più diffuso dal sito Web di Booby Trapped. Qualunque sia il metodo usato per la compromissione del sito, alla fine verrà distribuita la stessa backdoor.
La tecnica del watering hole è stata probabilmente utilizzata per distribuire un dropper chiamato RobototFontUpdate.exe, che è un falso programma di aggiornamento per il font regolare Roboto Slab, di cui presentiamo le principali caratteristiche nella seguente analisi.
L’analisi
Figura 1: processo di esecuzione del dropper
I componenti del pacchetto dropper vengono eseguiti in diversi passaggi; ogni fase comporta una pesante dose di offuscamento del codice, progettata per proteggere il malware dal rilevamento. Per sviare ulteriormente i ricercatori e i software antimalware, è stato incluso anche un codice di sicurezza.
Se eseguito con privilegi di amministratore, il dropper crea un servizio Windows che stabilisce la persistenza sul sistema (in modo che il malware venga eseguito a ogni riavvio della macchina). In caso contrario, lo stesso obiettivo viene raggiunto alterando il registro del sistema operativo.
Inoltre, il pacchetto rilascia un’applicazione il cui unico scopo è quello di eliminare il “documento di richiamo” una volta completata la sua attività.
Figura 2: processo di esecuzione della backdoor
È importante sottolineare che altri due file vengono eliminati e che entrano in gioco durante questa fase: un eseguibile con firma digitale di uno sviluppatore di software legittimo e una libreria di collegamento dinamico (DLL) dannosa rinominata appositamente per essere richiamata e caricata dall’eseguibile legittimo.
I due file rappresentano un trucco già collaudato denominato “caricamento laterale della DLL”, che consiste nel cooptare un processo di caricamento della libreria di un’applicazione legittima, installando una DLL dannosa all’interno della stessa cartella dell’eseguibile firmato. Questo è un modo per rimanere sotto i radar di rilevamento dei sistemi antimalware, dal momento che un’applicazione affidabile con una firma valida ha meno probabilità di destare sospetti.
Nelle campagne che utilizzano questi nuovi strumenti OceanLotus, abbiamo identificato degli autentici eseguibili firmati, tra i quali RasTlsc.exe di Symantec e mcoemcpy.exe di McAfee. Quando vengono eseguiti, questi programmi richiamano rispettivamente le versioni malevole di rastls.dll (rilevato da ESET come Win32/Salgorea.BD ) e di McUtil.dll (rilevato come Win32/Korplug.MK ).
Figura 3: firma digitale di rastlsc.exe di Symantec
La backdoor si apre
Una volta decodificata, la backdoor acquisisce una fingerprint (impronta digitale) del sistema. Successivamente invia al proprio server di comando e controllo vari dati, come il nome del computer, i nomi utente e la versione del sistema operativo, per poi attendere che vengano eseguite tutte le sue attività principali.
Per queste attività lo stesso server C&C utilizza diversi nomi di dominio e indirizzi IP. Tutte le comunicazioni con il server di comando e controllo sono crittografate. Possono però essere facilmente decodificate, poiché la chiave di decrittografia viene anteposta ai dati.
La nostra accurata indagine sulle ultime campagne riconducibili ai membri di OceanLotus dimostra che il gruppo non ha cessato le proprie attività criminose ma che, al contrario, sta preparando nuove azioni combinando codici e strumenti legittimi con le proprie creazioni malevole. È chiaro come questi criminali si stiano impegnando al massimo per evitare il rilevamento dei loro malware e, in definitiva, per “confondere le acque” ai ricercatori.
4 Comments