0
0
Turla equipou um trio de backdoors com novos truques C2 e aumento de interop, como visto em um ataque a um governo europeu.
A ameaça persistente avançada (APT) conhecida como Turla tem como alvo organizações governamentais que usam malware personalizado, incluindo um trio atualizado de implantes que dão persistência ao grupo através de acesso backdoor sobreposto.
Turla (também conhecida como Ouroboros, Snake, Venomous Bear ou Waterbug) é um grupo de espionagem cibernética que existe há mais de uma década. É conhecida por sua complexa coleção de malware e interessantes implementações de comando e controle (C2). Tem como alvos governamentais, militares e diplomáticos.
Pesquisadores da Accenture observaram uma campanha recente contra um governo estrangeiro na Europa que funcionou entre junho e outubro, que contou com três armas herdadas, todas com atualizações significativas. Eles trabalharam juntos como uma espécie de kit de ferramentas de ameaça em várias camadas.
Uma das ferramentas atualizadas é o backdoor baseado em procedimento remoto HyperStack (RPC) (nomeado após o nome de arquivo que seus autores lhe deram). A Accenture o amarrou ao grupo pela primeira vez, graças ao seu uso ao lado das outras duas ferramentas vistas na campanha: trojans de acesso remoto (RATs) conhecidos de Turla, Kazuar e Carbon.
“Os RATs transmitem os resultados de execução de comando e exfiltram dados da rede da vítima, enquanto os backdoors baseados em RPC [incluindo o HyperStack] usam o protocolo RPC para executar movimentos e problemas laterais e receber comandos em outras máquinas da rede local”, de acordo com uma análise da Accenture,divulgada na quarta-feira. “Essas ferramentas geralmente incluem várias camadas de técnicas de ofuscação e evasão de defesa.”
As atualizações vistas na campanha giravam em grande parte em torno da criação de redundâncias incorporadas para comunicação remota. Turla usou configurações C2 diferentes, para permitir diferentes pontos de reentrada caso um deles seja bloqueado.
“[Estes incluíram] novas configurações [C2] para o Carbono de Turla e Kazuar [RATs] na mesma rede de vítimas”, segundo a análise. “As instâncias kazuar variaram na configuração entre o uso de nós C2 externos fora da rede da vítima e os nós internos na rede afetada, e a instância Carbon foi atualizada para incluir um projeto Pastebin para receber tarefas criptografadas ao lado de sua infraestrutura TRADICIONAL HTTP C2.”
HyperStack Backdoor
O backdoor do HyperStack começou a vida em 2018, mas recebeu uma grande atualização em setembro que permitiu aos pesquisadores da Accenture ligá-lo de volta a Turla.
“A funcionalidade atualizada… parece ser inspirado pelos backdoors da RPC divulgados publicamente pelos pesquisadores da ESET e da Symantec, bem como com o backdoor carbon”, explicaram. “Com base nessas semelhanças, avaliamos com alta confiança que o HyperStack é um backdoor Turla personalizado.”
A nova versão do HyperStack usa tubos nomeados para executar chamadas RPC de um controlador para um dispositivo hospedando o cliente HyperStack. Ele aproveita o IPC$, que é uma função de ação que facilita a comunicação entre processos (IPC) expondo tubos nomeados para escrever ou ler.
“Para se mover lateralmente, o implante tenta se conectar ao compartilhamento de IPC de outro dispositivo remoto, seja usando uma sessão nula ou credenciais padrão”, explicaram os pesquisadores da Accenture. “Se a conexão do implante com o IPC$ for bem sucedida, o implante pode encaminhar comandos RPC do controlador para o dispositivo remoto, e provavelmente tem a capacidade de se copiar para o dispositivo remoto.”
Atualizações de Kazuar
Enquanto isso, uma amostra de Kazuar usada na campanha europeia observada que a Accenture analisou em meados de setembro foi configurada para receber comandos via Identificadores de Recursos Uniformes (URI). Estes apontavam para nódulos C2 internos na rede do governo vítima.
Essa configuração kazuar atuou ao lado de outra amostra, analisada no início de outubro.
“Com base em referências ao nó C2 interno, a amostra de outubro provavelmente atua como um agente de transferência usado para comandos proxy dos operadores remotos de Turla para as instâncias Kazuar em nódulos internos na rede, através de um local de rede compartilhada voltado para a internet”, de acordo com a Accenture. “Essa configuração permite que os operadores da Turla se comuniquem com máquinas infectadas por Kazuar na rede de vítimas que não são acessíveis remotamente.”
Outra amostra de Kazuar encontrada na rede da vítima foi configurada para se comunicar diretamente com um servidor C2 localizado fora da rede de vítimas, hospedado em um site legítimo comprometido. Isso foi usado por Turla para proxy comandos e exfiltrar dados para a infraestrutura de backend turla, disseram os pesquisadores.
Kazuar é um trojan multiplataforma descoberto em 2017 que permite à Turla carregar remotamente plugins adicionais para aumentar suas capacidades. Ele expõe isso através de uma Interface de Programação de Aplicativos (API) a um servidor web integrado, e tem linhagem de código que pode ser rastreada até pelo menos 2005, disseram os pesquisadores. Por um tempo, acreditava-se que tinha sido o sucessor de Carbon.
Atualizações de carbono
A ferramenta herdada, Carbon, também foi atualizada para a campanha observada. O carbono é uma estrutura modular de backdoor com capacidade avançada ponto a ponto que Turla usa há vários anos,bem antes de Kazuar entrar em cena.
Em junho, uma amostra atualizada fez uma aparição que combinava a infraestrutura C2 de Turla com tarefas servidas da Pastebin, descobriram os pesquisadores. O instalador da amostra continha um arquivo de configuração com URLs para servidores web comprometidos hospedando um web shell que transmite comandos e exfiltra dados da rede da vítima – como esperado. Mas os pesquisadores observaram que ele também continha um parâmetro rotulado [RENDEZVOUS_POINT], com uma URL para um projeto Pastebin.
“Ao acessar a URL do Pastebin, um blob criptografado é baixado que requer uma chave privada RSA correspondente do arquivo de configuração”, explicaram os pesquisadores. “O arquivo de configuração analisado não continha a chave privada RSA e, portanto, não conseguimos descriptografar o conteúdo do link Pastebin. Avaliamos que a bolha descriptografada era provavelmente uma tarefa para a instância de Carbono.”
O uso de um serviço web legítimo como o Pastebin para atividades de C2 é uma tendência contínua entre os APTs, observaram os pesquisadores, por algumas razões diferentes.
“[Por exemplo], os serviços web permitem que o tráfego de rede malicioso de grupos de espionagem cibernética se misture facilmente com o tráfego legítimo da rede”, segundo os pesquisadores. “Além disso, grupos de ameaças podem facilmente mudar ou criar novas infraestruturas, o que dificulta que os defensores fechem ou afundem sua infraestrutura. [E], o uso de serviços web complica a atribuição, uma vez que a infraestrutura C2 não é propriedade do grupo de ameaças.”
Turla provavelmente continuará a usar suas ferramentas herdadas, com upgrades, para comprometer e manter o acesso a longo prazo às suas vítimas, disseram os pesquisadores.
“Essa combinação de ferramentas serviu bem a Turla, já que alguns de seus backdoors atuais usam código que remonta a 2005”, observaram os pesquisadores da Accenture. “O grupo de ameaças provavelmente continuará a manter e confiar nesse ecossistema, e iterações dele, desde que o grupo tenha como alvo redes baseadas no Windows.”
FONTE: THREATPOST