Il gruppo Buhtrap è ben noto per colpire gli istituti finanziari e le imprese in Russia, tuttavia dalla fine del 2015 abbiamo assistito a un cambiamento interessante nei suoi obiettivi tradizionali. Da un gruppo criminale puro che opera per ottenere un guadagno finanziario, il suo arsenale di strumenti è stato via via ampliato con malware usati per condurre attività di spionaggio nell’Europa orientale e in Asia centrale.
Durante le nostre indagini nei laboratori ESET, abbiamo scoperto che questo gruppo oltre a utilizzare la sua backdoor principale contro diverse vittime, nel 2019 per la prima volta ha impiegato un exploit zero-day come parte di una campagna. In questo caso, abbiamo osservato Buhtrap sfruttare un exploit di escalation dei privilegi locali, CVE-2019-1132, contro una delle sue vittime.
L’exploit sfrutta la vulnerabilità di escalation dei privilegi locali in Microsoft Windows, in particolare una funzione del puntatore NULL nel componente win32k.sys. Una volta che l’exploit è stato scoperto e analizzato, è stato segnalato al Microsoft Security Response Center, che ha prontamente risolto la vulnerabilità e rilasciato una patch.
In questo articolo scopriremo come il gruppo Buhtrap si sia evoluto dagli originali crimini finanziari fino ad arrivare alle attività di spionaggio.
La timeline in Figura 1 evidenzia alcuni degli sviluppi più importanti nell’attività di Buhtrap.
Figura 1. Eventi importanti nella timeline di Buhtrap
È sempre difficile attribuire una campagna a un determinato gruppo quando il codice sorgente dei loro strumenti è disponibile gratuitamente sul Web. Tuttavia, poiché lo spostamento degli obiettivi si è verificato prima della pubblicazione del codice sorgente, siamo certi che gli stessi autori dei primi attacchi di malware Buhtrap contro le aziende e le banche siano coinvolti anche nelle azioni ai danni delle istituzioni governative.
Sebbene siano stati aggiunti nuovi strumenti al loro arsenale e integrate nuove funzionalità in quelli già in uso, le tattiche, le tecniche e le procedure (TTP) utilizzate nelle diverse campagne di Buhtrap non sono cambiate radicalmente in tutti questi anni. Fanno ancora ampio uso degli installatori NSIS distribuiti attraverso documenti pericolosi. Inoltre, molti dei loro strumenti sono firmati con certificati validi e sfruttano un’applicazione nota e legittima per caricare le loro payload dannose.
I documenti utilizzati per distribuire le payload vengono spesso legati ad altri legittimi nel tentativo di ingannare la vittima e indurla ad aprire il codice dannoso. L’analisi di questi documenti esca rivela interessanti indizi sui possibili obiettivi del gruppo, infatti quando Buhtrap prendeva di mira le imprese, i file utilizzati erano spesso contratti o fatture. La Figura 2 è un tipico esempio di fattura generica del gruppo utilizzato in una campagna nel 2014.
Figura 2. Documento esca utilizzato nelle campagne contro le imprese russe
Quando l’attenzione del gruppo si è spostata sul settore bancario, come tipo di documento per ingannare gli utenti sono stati scelti i regolamenti del sistema bancario o agli avvisi di FinCERT, un’organizzazione creata dal governo russo per fornire aiuto e supporto agli istituti finanziari (come nell’esempio in Figura 3).
Figura 3. Documento esca utilizzato nelle campagne contro gli istituti finanziari russi
Quindi, quando abbiamo notato per la prima volta i documenti esca relativi a operazioni governative, abbiamo immediatamente iniziato a indagare su queste nuove campagne. Uno dei primi campioni maligni che mostravano un tale cambiamento è stato analizzato a dicembre 2015, questo scaricava un programma di installazione NSIS il cui scopo era quello di veicolare la backdoor principale di Buhtrap. Come si può evincere dalla figura 4 il documento esca era molto pertinente al proprio ambito e in grado di ingannare facilmente le vittime.
Figura 4. Documento di esca utilizzato nelle campagne contro le organizzazioni governative
L’indirizzo URL contenuto nel testo è un elemento rivelatore. Si tratta di un contenuto molto simile al Servizio per la Migrazione di Stato del sito Web dell’Ucraina, dmsu.gov.ua. Il testo, in ucraino, chiede ai dipendenti di fornire le loro informazioni di contatto, in particolare i loro indirizzi e-mail. Cerca anche di convincerli a fare clic sul dominio pericoloso incluso nel testo.
Questo è stato solo il primo di molti campioni incriminati in cui ci siamo imbattuti tra quelli utilizzati dal gruppo Buhtrap per colpire le istituzioni governative. Un altro documento esca più recente che crediamo sia stato distribuito sempre da questo gruppo è mostrato nella Figura 5: un documento che si rivolge a un pubblico molto diverso, ma sempre legato al settore governativo.
Figura 5. Documenti esca utilizzati nelle campagne contro organizzazioni governative
Analisi delle campagne mirate che portano all’utilizzo di zero-day
Gli strumenti utilizzati nelle campagne di spionaggio erano molto simili a quelli impiegati contro le imprese e gli istituti finanziari. Uno dei primi campioni che abbiamo analizzato creato per colpire le organizzazioni governative presentava l’hash SHA-1 2F2640720CCE2F83CA2F0633330F13651384DD6A, questo programma di installazione NSIS scarica un pacchetto contenente la backdoor Buhtrap e successivamente visualizza il falso documento mostrato nella Figura 4.
Da allora, abbiamo rilevato diverse campagne contro organizzazioni governative provenienti da questo gruppo, in cui si utilizzavano regolarmente le vulnerabilità per elevare i privilegi al fine di installare un malware e lo zero-day utilizzato di recente si atteneva allo stesso modello di attacco.
Nel corso degli anni sono apparsi pacchetti con diverse funzionalità, ma recentemente ne abbiamo individuato due nuovi che vale la pena descrivere in quanto si discostano sensibilmente da quelli solitamente utilizzati.
Backdoor modificata – E0F3557EA9F2BA4F7074CAA0D0CF3B187C4472FF
Questo documento contiene una macro dannosa che, se abilitata, rilascia un programma NSIS il cui compito è preparare l’installazione della backdoor principale. Tuttavia, questo installatore NSIS è molto diverso dalle versioni precedenti utilizzate dal gruppo di criminali, è molto più semplice e viene impiegato solo per garantirne la persistenza e avviare due moduli dannosi incorporati al suo interno.
Il primo modulo, chiamato “grabber” dal suo autore, è uno strumento indipendente ideato per sottrarre password dal sistema infettato in particolare dal client di posta e dai browser di navigazione, che poi invia a un server C&C. Questo modulo è stato anche rilevato anche nella campagna in cui è stato sfruttato lo zero-day e utilizza API standard di Windows per comunicare con il proprio server remoto.
Figura 6. Funzionalità di rete del modulo Grabber
Il secondo modulo è un componente già utilizzato dal gruppo ed è un programma di installazione NSIS contenente un’applicazione legittima che verrà sfruttata per caricare la backdoor principale di Buhtrap. In questo caso il software legittimo è AVZ, uno scanner antivirus gratuito.
Meterpreter e DNS tunneling – C17C335B7DDB5C8979444EC36AB668AE8E4E0A72
Questo documento contiene una macro dannosa che, se abilitata, rilascia un programma NSIS il cui compito è preparare l’installazione della backdoor principale. Parte del processo di installazione consiste nell’impostare le regole del firewall per consentire al componente malevolo di comunicare con il proprio server C&C. Di seguito è riportato un esempio di comando che il codice NSIS utilizza per impostare queste regole:
cmd.exe /c netsh advfirewall firewall add rule name=\”Realtek HD Audio Update Utility\” dir=in action=allow program=\”<percorso>\RtlUpd.exe\” enable=yes profile=any
Tuttavia, l’ultima payload è qualcosa che non abbiamo mai visto associato a Buhtrap, infatti nel suo corpo sono codificati altri due codici. Il primo è un downloader di shellcode di dimensioni molto ridotte, mentre il secondo è Meterpreter di Metasploit. Meterpreter è una reverse shell che garantisce ai suoi operatori pieno accesso al sistema compromesso.
Il reverse shell Meterpreter utilizza effettivamente il tunneling DNS per comunicare con il proprio server C&C impegando un modulo simile a quanto descritto in questo documento. Rilevare il tunneling DNS può essere difficile, dal momento che tutto il traffico dannoso viene eseguito tramite protocollo DNS, il cui flusso è sempre molto meno regolare di quello analizzabile sul protocollo TCP. Di seguito è riportato uno snippet della comunicazione iniziale di questo modulo dannoso.
7812.reg0.4621.toor.win10.ipv6-microsoft [.] Org
7812.reg0.5173.toor.win10.ipv6-microsoft [.] Org
7812.reg0.5204.toor.win10.ipv6-microsoft [.] org
7812.reg0.5267.toor.win10.ipv6-microsoft [.] org
7812.reg0.5314.toor.win10.ipv6-microsoft [.] org
7812.reg0.5361.toor.win10.ipv6-microsoft [. ] org
[…]
In questo esempio il nome di dominio che viene falsificato per il server C&C è quello della Microsoft. In realtà, i criminali hanno registrato molteplici nomi di dominio diversi da sfruttare in queste campagne, la maggior parte dei quali falsamente legati ai marchi Microsoft.
Conclusione
Se non sappiamo perché questo gruppo abbia improvvisamente spostato i propri obiettivi, possiamo però ritenerlo un buon esempio di quanto la linea tra i gruppi di spionaggio puro e quelli principalmente coinvolti nelle attività di crimeware diventi sempre più sfocata. In questo caso, non è chiaro se uno o più membri di questo gruppo abbiano deciso di cambiare il focus e per quali ragioni, ma è sicuramente qualcosa che probabilmente vedremo sempre più spesso in futuro.
Indicatori di compromessione (IoC)
Nomi rilevamento ESET
VBA/TrojanDropper.Agent.ABM
VBA/TrojanDropper.Agent.AGK
Win32/Spy.Buhtrap.W
Win32/Spy.Buhtrap.AK
Win32/RiskWare.Meterpreter.G
Campioni Malware
Pacchetti principali SHA-1
2F2640720CCE2F83CA2F0633330F13651384DD6A
E0F3557EA9F2BA4F7074CAA0D0CF3B187C4472FF
C17C335B7DDB5C8979444EC36AB668AE8E4E0A72
Grabber SHA-1
9c3434ebdf29e5a4762afb610ea59714d8be2392
Server C&C
https://blog.futuretime.eu//hdfilm-seyret[.]com/help/index.php
https://blog.futuretime.eu//redmond.corp-microsoft[.]com/help/index.php
dns://win10.ipv6-microsoft[.]org
https://blog.futuretime.eu//services-glbdns2[.]com/FIGm6uJx0MhjJ2ImOVurJQTs0rRv5Ef2UGoSc
https://blog.futuretime.eu//secure-telemetry[.]net/wp-login.php
Lascia un commento