Menu
Home  /  Malware  /  Nuova backdoor TeleBots: La prima prova che collega l’Industroyer al (Not)Petya

Nuova backdoor TeleBots: La prima prova che collega l’Industroyer al (Not)Petya

L’analisi ESET di una recente backdoor utilizzata da TeleBots – il gruppo responsabile dell’enorme diffusione del ransomware (Not) Petya – rivela forti similitudini nel codice con la backdoor principale di Industroyer, scoprendo un collegamento che finora era stato solamente ipotizzato.

Tra gli incidenti di cybersecurity più significativi condotti attraverso dei malware negli ultimi anni ci sono stati gli attacchi contro la rete elettrica ucraina – che per due anni consecutivi hanno provocato blackout senza precedenti – e il devastante attacco ransomware di (Not) Petya. Analizziamo quindi i collegamenti tra questi importanti incidenti.

Il primo blackout nella storia mai realizzato attraverso un malware, avvenuto nel dicembre 2015, è stato reso possibile dall’utilizzo del toolkit malware BlackEnergy. I ricercatori di ESET hanno seguito l’attività del gruppo APT che ha sfruttato il BlackEnergy sia prima che dopo questo importante evento. Successivamente al blackout del 2015, il gruppo sembrava aver smesso di utilizzare attivamente BlackEnergy e si è evoluto in ciò che chiamiamo TeleBots.

È importante notare che quando descriviamo i “gruppi APT”, stiamo disegnando connessioni basate su indicatori tecnici quali similarità del codice, infrastruttura C & C condivisa, catene di esecuzione del malware e così via. In genere non siamo direttamente coinvolti nell’indagine e nell’identificazione delle persone che scrivono il malware e / o che lo distribuiscono e le loro relazioni interpersonali. Inoltre, il termine “gruppo APT” è definito in modo molto approssimativo e spesso utilizzato semplicemente per raggruppare gli indicatori di malware sopra menzionati. Questo è anche uno dei motivi per cui ci asteniamo da speculazioni in merito all’attribuzione degli attacchi a particolari nazioni o enti governativi.

Premesso ciò, abbiamo osservato e documentato i collegamenti tra gli attacchi BlackEnergy – non solo quelli contro la rete elettrica ucraina, ma anche verso altri settori e obiettivi di alto valore – e una serie di campagne (principalmente) contro il settore finanziario ucraino da parte del gruppo TeleBots. Nel giugno 2017, quando molte grandi aziende in tutto il mondo sono state colpite dal ransomware Diskcoder.C (noto come Petya e (Not) Petya) – molto probabilmente come danno collaterale non intenzionale – abbiamo scoperto come la minaccia iniziò a diffondersi partendo dalle società colpite da una backdoor di TeleBot, che aveva compromesso il noto software finanziario MEDoc.

In che modo Industroyer, il sofisticato framework di malware utilizzato per causare il blackout di dicembre 2016, è coinvolto in tutto questo? Subito dopo aver reso pubblica la nostra scoperta, alcune società di sicurezza e agenzie di stampa hanno iniziato a ipotizzare che anche Industroyer fosse stato architettato dal gruppo BlackEnergy / Telebots (a volte chiamato genericamente Sandworm). Tuttavia fino ad ora, non è stata divulgata pubblicamente alcuna prova concreta.

Nell’aprile 2018, abbiamo scoperto una nuova attività dal gruppo TeleBots: un tentativo di installare una nuova backdoor, che ESET rileva come Win32 / Exaramel. La nostra analisi suggerisce che questa backdoor di TeleBots è una versione migliorata della principale backdoor di Industroyer – proprio la prova che mancava.

Analisi della backdoor Exaramel

La backdoor Exaramel viene inizialmente rilasciata da un dropper. I metadati di questo dropper suggeriscono che la backdoor sia stata compilata utilizzando Microsoft Visual Studio appena prima della distribuzione su un particolare computer scelto come vittima

Figura 1. PE timestamp nel dropper della backdoor Exaramel.

Una volta eseguito, il dropper installa il codice binario della backdoor di Exaramel nella directory di sistema di Windows, quindi crea e avvia un servizio Windows denominato wsmproav con la descrizione “Windows Check AV”. Il nome file e la descrizione del servizio Windows sono codificati nel dropper.

Figura 2. Le impostazioni del Registro del servizio Windows creato dalla backdoor Exaramel.

Inoltre, il dropper salva la configurazione della backdoor nel Registro di Windows in format XML.

Figura 3. La configurazione XML della backdoor Exaramel.

La configurazione contiene diversi blocchi:

Intervallo: tempo in millisecondi utilizzato per la funzione Sleep

Server: elenco di server di comando e controllo (C & C)

Verifica: sito Web utilizzato per determinare se l’host ha una connessione Internet disponibile

Proxy: server proxy sulla rete host

Storage: percorso utilizzato per la memorizzazione dei file scelti per l’esfiltrazione

Come si può vedere dalla prima riga della configurazione, gli hacker raggruppano i loro obiettivi in base alle soluzioni di sicurezza in uso. Un comportamento simile si può trovare nel toolset Industroyer, in particolare alcune backdoor di Industroyer sono state camuffate come servizio legato all’AV (distribuito con il nome avtask.exe) e utilizzato nello stesso raggruppamento.

Un altro fatto interessante è che la backdoor utilizza server C & C con nomi di dominio che imitano i domini appartenenti a ESET. Oltre a esetsmart [.] org dalla configurazione della backdoor, abbiamo trovato un altro dominio simile: um10eset [.] net. Non siamo riusciti a trovare domini che prendessero spunto da altre società di sicurezza.

Una volta che la backdoor è in esecuzione, si connette a un server C & C e riceve i comandi da eseguire. Ecco un elenco di tutti i comandi disponibili:

  • Eseguire processi
  • Eseguire processi come un utente specifico di Windows
  • Scrivere dati sufile in un determinato percorso
  • Copiare file in una sottodirectory dello storage (Upload file)
  • Eseguire comandi shell
  • Eseguire comandi shell da un utente di Windows specifico
  • Eseguire codice VBS usando MSScriptControl.ScriptControl.1

Il codice del ciclo di comando e le implementazioni dei primi sei comandi sono molto simili a quelli trovati in una backdoor utilizzata nel toolset di Industroyer.

Figura 4. Confronto tra il codice decompilato della backdoor Exaramel (sulla sinistra) e quello della backdoor Industroyer (sulla destra).

Se i criminali, che vogliono utilizzare questo malware, desiderano estrarre i file dal computer della vittima, devono solo copiare quei file nella sottodirectory dati del percorso di archiviazione definito nella configurazione. Una volta che la backdoor sta per connettersi al server C & C, comprime e crittografa automaticamente tutti questi file prima di inviarli.

La principale differenza tra la backdoor del toolset Industroyer e questa nuova backdoor di TeleBots è che quest’ultima usa il formato XML per la comunicazione e la configurazione invece di un formato binario personalizzato.

Strumenti pericolosi per la sottrazione di password

Insieme alla backdoor Exaramel, questo gruppo utilizza alcuni dei suoi vecchi strumenti, tra cui un password-stealer (internamente chiamato CredRaptor o PAI dai criminali) e un Mimikatz leggermente modificato.

Lo strumento Credraptor, noto dal 2016, è stato leggermente migliorato. A differenza delle versioni precedenti, raccoglie le password salvate non solo dai browser, ma anche da Outlook e da molti client FTP. Ecco un elenco delle applicazioni supportate:

  • BitKinex FTP
  • BulletProof FTP Client
  • Classic FTP
  • CoffeeCup
  • Core FTP
  • Cryer WebSitePublisher
  • CuteFTP
  • FAR Manager
  • FileZilla
  • FlashFXP
  • Frigate3
  • FTP Commander
  • FTP Explorer
  • FTP Navigator
  • Google Chrome
  • Internet Explorer 7 – 11
  • Mozilla Firefox
  • Opera
  • Outlook 2010, 2013, 2016
  • SmartFTP
  • SoftX FTP Client
  • Total Commander
  • TurboFTP
  • Windows Vault
  • WinSCP
  • WS_FTP Client

Conclusioni

La scoperta di Exaramel mostra che nel 2018 il gruppo TeleBots è ancora attivo e i criminali continuano a migliorare i loro strumenti e le loro tattiche.

La forte somiglianza tra Exaramel e la backdoor principale di Industroyer è la prima prova presentata pubblicamente che collega Industroyer a TeleBots e quindi al (Not) Petya e al BlackEnergy. Se da un lato è sempre possibile che per coincidenza altri autori di malware abbiano sfruttato lo stesso codice, dall’altro a fronte delle nostre analisi reputiamo che in questo caso sia davvero improbabile.

Va notato che la nuova backdoor Exaramel non è stata rilevata in una struttura industriale.

Di particolare interesse è il fatto che i criminali hanno iniziato a utilizzare domini riconducibili a ESET nelle loro operazioni.

I ricercatori ESET continueranno a monitorare l’attività di questo gruppo.

Indicatori di Compromissione (IoC)

Rilevazioni ESET

  • Win32/Exaramel
  • Win32/Agent.TCD trojan
  • Win32/PSW.Agent.OEP trojan
  • Win32/RiskWare.Mimikatz.Z applicazione
  • Win64/Riskware.Mimikatz.AI applicazione

Hash SHA-1

Backdoor TeleBots

65BC0FF4D4F2E20507874F59127A899C26294BC7

3120C94285D3F86A953685C189BADE7CB575091D

Password Stealer

F4C4123849FDA08D1268D45974C42DEB2AAE3377

970E8ACC97CE5A8140EE5F6304A1E7CB56FA3FB8

DDDF96F25B12143C7292899F9D5F42BB1D27CB20

64319D93B69145398F9866DA6DF55C00ED2F593E

Mimikatz

458A6917300526CC73E510389770CFF6F51D53FC

CB8912227505EF8B8ECCF870656ED7B8CA1EB475

Server C&C

um10eset[.]net (IP: 176.31.225.204)
esetsmart[.]org (IP: 5.133.8.46)

Articoli Simili

Lascia un commento

© 2001 - 2020 - Tutti i diritti riservati. I marchi usati nel sito sono registrati da Future Time S.r.l. Tutti gli altri nomi e marchi sono registrati dalle rispettive aziende. Future Time S.r.l. © 2001-2020. P.IVA 06677001007