В прошлом году наблюдалось заметное увеличение числа случаев использования легитимных облачных сервисов злоумышленниками, в том числе государственными субъектами.
Количество угроз, использующих легитимные облачные сервисы в своих атаках, возросло в этом году, поскольку злоумышленники начали осознавать их потенциал для создания малозаметной и недорогой инфраструктуры. Входящий и исходящий трафик от известных, надежных сервисов, таких как Microsoft OneDrive или Google Drive, может менее вероятно вызвать подозрения, чем коммуникации с инфраструктурой, контролируемой злоумышленниками.
За последние несколько недель команда Threat Hunter компании Symantec выявила три новые операции шпионажа, использующие облачные сервисы, и обнаружила доказательства разработки дополнительных инструментов. Марк Элиас, исследователь из команды Threat Hunter, представит эти результаты сегодня (7 августа) на конференции Black Hat в Лас-Вегасе.
GoGra
Ранее не встречавшийся бэкдор, который компания Symantec назвала GoGra (Trojan.Gogra), был развернут против медиа-организации в Южной Азии в ноябре 2023 года. GoGra написан на языке Go и использует Microsoft Graph API для взаимодействия с командно-контрольным (C&C) сервером, размещенным на почтовых сервисах Microsoft.
Graph – это API Microsoft, предназначенный для облегчения доступа к ресурсам, размещенным на облачных сервисах Microsoft, таких как Microsoft 365. Аутентификация осуществляется с помощью OAuth-токенов доступа.
GoGra настроена на чтение сообщений от имени пользователя Outlook «FNU LNU», тема которых начинается со слова «Input». Он расшифровывает содержимое сообщения с помощью алгоритма AES-256 в режиме Cipher Block Chaining (CBC), используя следующий ключ: b14ca5898a4e4133bbce2ea2315a1916.
Gogra выполняет команды через cmd.exe и поддерживает дополнительную команду «cd», которая изменяет активную директорию. После выполнения команды он шифрует выходные данные и отправляет их тому же пользователю с темой «Output».
Анализ бэкдора показал, что с большой долей вероятности он был разработан Harvester – группировкой, поддерживаемой государством, которую Symantec обнаружила в 2021 году и которая специализируется на атаках на организации в Южной Азии.
GoGra функционально схожа с известным инструментом Harvester под названием Graphon, который был написан на .NET. Помимо разных языков программирования, Graphon использовал другой ключ AES (juBvYU7}33Xq}ghO), не содержал дополнительной команды «cd» и не имел жестко заданного имени пользователя Outlook для связи. Имя пользователя вместо этого получалось с сервера командного управления (C&C).
Эксфильтрация данных из Google Drive
Ранее неизвестный инструмент эксфильтрации был использован шпионской группой Firefly в атаке на военную организацию в Юго-Восточной Азии. Анализ инструмента показал, что это был общедоступный клиент Google Drive в оболочке Python.
Инструмент был настроен на поиск всех файлов .jpg в каталоге System32 и их загрузку на Google Drive с помощью жестко заданного токена обновления.
Многие из эксфильтрованных файлов не были настоящими изображениями в формате .jpg, а представляли собой зашифрованные файлы RAR, которые, скорее всего, были созданы либо злоумышленниками при помощи клавиатуры, либо другим инструментом, который копировал и подготавливал данные для утечки. В эксфильтрованных данных вошли документы, заметки с собраний, расшифровки звонков, планы зданий, папки электронной почты и бухгалтерские данные.
Grager
Ранее не встречавшийся бэкдор под названием Trojan.Grager был развернут против трех организаций в Тайване, Гонконге и Вьетнаме в апреле 2024 года. Анализ бэкдора показал, что он использовал Graph API для связи с C&C-сервером, размещенным на Microsoft OneDrive. Grager загружался с URL, который имитировал архиватор 7-Zip (hxxp://7-zip.tw/a/7z2301-x64[.]msi).
Вышеупомянутый MSI-файл, действующий как дроппер, представляет собой троянский инсталлятор 7-Zip, который устанавливает настоящее программное обеспечение 7-Zip в папку «C:\Program Files (x86)\7-Zip» вместе с вредоносной DLL под названием «epdevmgr.dll» (SHA2: ab6a684146cec59ec3a906d9e018b318fb6452586e8ec8b4e37160bcb4adc985),
копией вредоносной программы Tonerjam и зашифрованный бэкдор Grager в файл под названием «data.dat» (SHA2: 45a5dd715dc5f08f3b987a0415c2e500c549508aadf4183fdb94f749af8f1d67).
Вредоносная программа Tonerjam была описана Mandiant как лаунчер, который расшифровывает и выполняет shellcode, в данном случае это был новый бэкдор Grager. Он расшифровывает идентификатор клиента и токен обновления для OneDrive из бинарного фрагмента внутри тела файла. Бэкдор поддерживает следующие команды:
- Получение информации о системе, включая имя машины, пользователя, IP-адрес и архитектуру машины
- Загрузка/выгрузка файла
- Выполнение файла
- Сбор информации о файловой системе, включая доступные диски, их размер и тип
Есть предположения о связях этого инструмента с группой, известной как UNC5330. Symantec зафиксировала, что вредоносное ПО Tonerjam, описанное в этом блоге, было загружено под тем же именем файла (epdevmgr.dll) с использованием безвредного образца под названием (EpDevMgr.exe), который Mandiant также связывает с UNC5330. Группу UNC5330 описывают как «предполагаемый агент, занимающийся шпионажем в пользу Китая», который использовал уязвимости Ivanti Connect Secure VPN (CVE-2024-21893 и CVE-2024-21887) для компрометации устройств в начале 2024 года.
MoonTag
Symantec также обнаружила свидетельства существования еще одного бэкдора под названием MoonTag (Trojan.Moontag), который, судя по всему, находится в стадии разработки. В последние недели на VirusTotal было выложено несколько вариантов этого бэкдора, но ни один из них не выглядел завершенным. Вредоносная программа, которая, возможно, получила название «Moon_Tag» его разработчика, судя по упоминаниям в ее строках кода, основана на коде, опубликованном в этой группе Google. Все найденные варианты содержат функционал для взаимодействия с Graph API.
Образцы MoonTag соответствуют правилу YARA под названием «MAL_APT_9002_SabrePanda», которое обнаруживает образцы из семейства вредоносных программ 9002 RAT, используемых группой злоумышленников Sabre Panda. Мы не нашли убедительных связей, чтобы приписать MoonTag группе Sabre Panda, однако с высокой степенью уверенности можем приписать этот бэкдор китайскоязычной группе злоумышленников на основе использования китайского языка в посте на Google Group и инфраструктуры, используемой злоумышленниками.
Onedrivetools
Еще один бэкдор (Trojan.Ondritols), который авторы, по-видимому, называют Onedrivetools, был развернут против ИТ-компаний в США и Европе. Этот многоэтапный бэкдор на первом этапе работает как загрузчик, который аутентифицируется в Microsoft Graph API, загружает вторую стадию вредоносного кода с OneDrive и выполняет его.
Основной вредоносный код загружает общедоступный файл с GitHub, после чего создает папку в OneDrive с именем deviceId_n_<ip address> для каждой зараженной машины и загружает туда файл со следующим путем, чтобы сигнализировать злоумышленникам о новом заражении:
/v1.0/me/drive/root:/deviceId_n_<ip address>/status
Затем бэкдор продолжает работать в цикле: он аутентифицируется через Graph API, создает файл с именем heartbeat с содержимым “1” и извлекает новые команды для выполнения из файла cmd, оба файла расположены в папке жертвы. Результат выполнения команды сохраняется в тот же файл cmd. Бэкдор также может загружать файлы на компьютер жертвы и выгружать файлы с зараженной машины на OneDrive.
Злоумышленники использовали инструмент туннелирования, известный как Whipweave (SHA256: 30093c2502fed7b2b74597d06b91f57772f2ae50ac420bcaa627038af33a6982), вероятно, полученный из китайского проекта VPN Free Connect (FCN) с открытым исходным кодом, для подключения к сети Operational Relay Box (ORB), известной как Orbweaver, которая предназначена для обфускации происхождения атак.
Стремительно развивающаяся тенденция
В мае 2024 года компания Symantec обнаружила BirdyClient, новое вредоносное ПО, которое использовало Graph API для связи с C&C-сервером OneDrive. Эта вредоносная программа использовалась в атаке на организацию в Украине.
Хотя использование облачных сервисов для управления и контроля не является новой техникой, в последнее время злоумышленники все чаще прибегают к ней. Три года назад компания Volexity опубликовала информацию о BlueLight, вредоносном ПО, разработанном связанной с Северной Кореей шпионской группой Vedalia (она же APT37). Затем в октябре 2021 года компания Symantec обнаружила бэкдор Graphon.
Российская шпионская группа Swallowtail (она же APT28, Fancy Bear) взяла эту тактику на вооружение после обнаружения вредоносного ПО Graphite, которое использовало Graph API для связи с учетной записью OneDrive, выступавшей в качестве C&C-сервера. В июне 2023 года компания Symantec обнаружила Backdoor.Graphican, который использовался группой Flea (она же APT15, Nickel) в кампании против министерств иностранных дел в Америке.
Растущее количество групп, использующих облачные сервисы для развертывания угроз, указывает на то, что шпионские акторы явно исследуют методы, применяемые другими группами, и копируют те техники, которые они считают эффективными.
Защита/Устранение последствий
Последние обновления защиты можно найти в бюллетене Symantec Protection Bulletin.
Индикаторы компрометации
Если IOC является вредоносным и файл доступен, продукты Symantec Endpoint обнаружат и заблокируют этот файл.
D728cdcf62b497362a1ba9dbaac5e442cebe86145734410212d323a6c2959f0f – Trojan.Gogra
f1ccd604fcdc0034d94e575b3709cd124e13389bbee55c59cbbf7d4f3476e214 – Trojan.Gogra
9f61ed14660d8f85d606605d1c4c23849bd7a05afd02444c3b33e3af591cfdc9 – Trojan.Grager
ab6a684146cec59ec3a906d9e018b318fb6452586e8ec8b4e37160bcb4adc985 – Trojan.Grager
97551bd3ff8357831dc2b6d9e152c8968d9ce1cd0090b9683c38ea52c2457824 – Trojan.Grager
f69fb19604362c5e945d8671ce1f63bb1b819256f51568daff6fed6b5cc2f274 – Trojan.Ondritols
582b21409ee32ffca853064598c5f72309247ad58640e96287bb806af3e7bede – Trojan.Ondritols
79e56dc69ca59b99f7ebf90a863f5351570e3709ead07fe250f31349d43391e6 – Trojan.Ondritols
4057534799993a63f41502ec98181db0898d1d82df0d7902424a1899f8f7f9d2 – Trojan.Ondritols
a76507b51d84708c02ca2bd5a5775c47096bc740c9f7989afd6f34825edfcba6 – Trojan.Moontag
527fada7052b955ffa91df3b376cc58d387b39f2f44ebdcb54bc134e112a1c14 – Trojan.Moontag
fd9fc13dbd39f920c52fbc917d6c9ce0a28e0d049812189f1bb887486caedbeb – Trojan.Moontag
30093c2502fed7b2b74597d06b91f57772f2ae50ac420bcaa627038af33a6982 – Whipweave
hxxp://7-zip.tw/a/7z2301-x64[.]msi – Trojan.Grager download URL
hxxp://7-zip.tw/a/7z2301[.]msi – Trojan.Grager download URL
7-zip[.]tw – 7-Zip typosquatted domain
103.255.178[.]200 – MoonTag C&C
157.245.159[.]135 – Whipweave C&C
89.42.178[.]13 – Whipweave C&C
30sof.onedumb[.]com – Whipweave C&C
Рекомендации по использованию
- Блокируйте облачные сервисы, не используемые вашей организацией.
- Профилируйте сетевой трафик и мониторьте аномалии в сети, например, загрузку больших файлов в облачные сервисы.
- Используйте «белые списки» приложений, где это возможно. Блокируйте небраузерные процессы, подключающиеся к облачным службам.
- Определите критически важные активы организации и отслеживайте их на предмет утечки данных.
- Активируйте журналы аудита на хосте и в облаке.
MITRE TTPs
- Создание учетных записей: Облачные аккаунты
ID: T1585.003
Подтехника: T1585 – Создание учетных записей
Тактика: Разработка ресурсов
Описание: Злоумышленники могут создавать учетные записи у облачных провайдеров, которые могут быть использованы в процессе атаки. Они могут использовать облачные аккаунты для осуществления своих операций, в том числе для использования облачных сервисов хранения данных, таких как Dropbox, MEGA, Microsoft OneDrive или AWS S3 buckets, для эксфильтрации данных в облачное хранилище или для загрузки инструментов. - Возможности этапа: Загрузка вредоносного ПО
ID: T1608.001
Подтехника: T1608 – Возможности этапа
Тактика: Разработка ресурсов
Описание: Злоумышленники могут загружать вредоносное ПО на стороннюю или контролируемую ими инфраструктуру, чтобы сделать его доступным в процессе атаки. Вредоносное ПО может включать выполнение кода, дропперы, инструменты для пост-компрометации, бэкдоры и различные другие виды вредоносного контента. - Возможности этапа: Инструмент загрузки
ID: T1608.002
Подтехника: T1608 – Возможности этапа
Тактика: Разработка ресурсов
Описание: Злоумышленники могут загружать инструменты на стороннюю или контролируемую ими инфраструктуру, чтобы сделать их доступными в процессе атаки. Эти инструменты могут быть как с открытым, так и с закрытым исходным кодом, бесплатными или коммерческими. Злоумышленники также могут загружать инструменты для поддержки своих операций, например, размещая инструмент на сервере, доступном через Интернет, чтобы обеспечить их передачу в сеть жертвы (например, с помощью PowerShell или Certutil). - Интерпретатор команд и сценариев: Cloud API
ID: T1059.009
Подтехника: T1059 – Интерпретатор команд и сценариев
Тактика: Выполнение
Описание: Злоумышленники могут использовать облачные API для выполнения вредоносных команд. - Эксфильтрация через веб-сервис: Утечка в облачное хранилище
ID: T1567.002
Подтехника: T1567 – Эксфильтрация через веб-сервис
Тактика: Эксфильтрация
Описание: Злоумышленники могут эксфильтрировать данные в облачное хранилище вместо использования основного канала командного управления. Облачные хранилища позволяют сохранять, редактировать и извлекать данные с удаленного сервера облачного хранилища через Интернет.
Источник: Cloud Cover: How Malicious Actors Are Leveraging Cloud Services
