Le cheval de Troie PlugX à l'assaut de l'armée et des télécommunications en Russie
Les chercheurs de Proofpoint ont récemment mis au jour une campagne ciblant l'armée et le secteur des télécommunications en Russie. Lancée en juillet 2015, elle se propage toujours à l'heure actuelle.
Les chercheurs de Proofpoint ont récemment mis au jour une campagne ciblant l'armée et le secteur des télécommunications en Russie. Lancée en juillet 2015, l'attaque se propage toujours à l'heure actuelle. Des analystes financiers russophones, employés dans de larges organisations et collaborant avec des acteurs de ce même secteur des télécommunications, ont également été les victimes collatérales de ces opérations frauduleuses.
Le cheval de Troie PlugX, permettant un accès à distance et très répandu, a été employé lors des attaques. Proofpoint tente actuellement de surveiller les agissements de l'attaquant. Il est probable qu'il s'agisse du groupe de hackers TA459, opérant depuis la Chine et connu pour avoir ciblé, par le passé [1], diverses structures militaires d'Asie Centrale. Bien qu'il ait été particulièrement actif lors des derniers mois, le groupe l'est en réalité depuis 2013, notamment grâce à l'exploitation de portes dérobées telles que Saker, Netbot et DarkStRat .
Les attaques caractérisant la campagne actuelle induisent l'envoi de courriers électroniques de spear phishing, comportant aussi bien des documents Microsoft Office joints avec un kit d'exploitation, que des liens redirigeant vers des archives RAR. Le contenu des messages et le nom des fichiers sont généralement en russe.
1.
Pièces jointes
La faille de sécurité CVE-2012-0158 a permis le contrôle du client concerné et l'implantation du cheval de Troie via des pièces jointes au format Microsoft Word. Le fichier LTE-2600.doc (SHA : 6ea86b944c8b5a9b02adc7aac80e0f33217b28103b70153710c1f6da76e36081), inclus dans un courrier électronique ayant pour objet « Проект бизнес-плана » (« Business plan du projet »), était notamment envoyé à des analystes financiers, collaborant avec des employés du secteur des télécommunications. Le nom de la pièce jointe a été particulièrement bien trouvé, dans la mesure où « LTE » est un terme spécialisé se rapportant aux réseaux LTE (également appelés « réseaux 4G »).
L'analyse de ce document a également permis d'établir qu'il avait été créé à l'aide d'un outil dédié, dont la trace est perceptible au niveau des propriétés du fichier (voir Fig.1). Cependant, nous pensons que ce même outil n'a pas été utilisé exclusivement par cet attaquant.
Figure 1 : Références à l'outil dans les propriétés du document concerné
2. URL
Dans le cadre de cette campagne, les attaquants ont également envoyé des courriers électroniques de spear phishing comportant des URL redirigeant vers des fichiers RAR, eux-mêmes hébergés sur de faux domaines. Il est particulièrement intéressant de noter la chose suivante : le nom de ces domaines, ainsi que celui des fichiers employés, n'était pas choisi au hasard comme cela est souvent le cas, mais adapté au secteur concerné.
En effet, le fichier RAR hébergé à l'adresse www.forum-mil[.]net/news/2015-08-03-3001.rar contenait, par exemple, le sous-fichier exécutable « Воздушно-космические силы России заступили на боевое дежурство.exe » (« Les forces spatiales russes augmentent la durée du service militaire.exe »). Quelques recherches supplémentaires permettent de découvrir qu'un article porte le même nom sur un site d'actualités légitime en langue russe. Ainsi, le fichier exécutable malveillant semble faire référence au contenu de l'article. En outre, le site hébergeant le logiciel malveillant est semblable à celui sur lequel le document est consultable.
Dans une autre situation, le détournement de l'article disponible à cet adresse a permis la création du site www[.]tvzvezda[.]net/news/forces/content/201508181025.rar. Là encore, le titre de l'article était celui du fichier exécutable inclus à l'archive RAR, et il semblerait que de tels procédés aient été fréquemment employés. En résumé, les pirates identifient tout d'abord un article traitant d'un événement à caractère militaire, créent le site frauduleux, puis nomment le fichier comportant le logiciel malveillant. Les divers domaines et sites sur lesquels les hackers se basent sont répertoriés dans le tableau 1 (les URL correspondantes sont consultables dans la section Indicateurs de compromission, située à la fin de ce document).
Tableau
1 : Domaines hébergeant les fichiers RAR exécutables et
comportant le cheval de Troie PlugX
Tous les domaines concernés étaient créés sous le nom d'une même entité basée à Pékin, Shanghai Meicheng Technology Information Development Co., Ltd. Tout comme le contenu des courriers électroniques, les informations utiles à la création étaient générées aléatoirement.
Les archives RAR hébergées sur les faux domaines contenaient des fichiers exécutables auto-extractibles, permettant la propagation du cheval de Troie PlugX. Les chercheurs de Proofpoint ont relevé les noms de fichier suivants :
Tableau 2 : Nom des fichiers exécutables inclus aux archives RAR
2.1. Contenu des fichiers frauduleux et contournement de la
sandbox
Avant l'initialisation de l'archive exécutable, l'un des fichiers ayant permis la propagation du cheval de Troie (SHA : 71be8bb45dfe360ee6076ed34fde12a382fe9d7922bd11b179ca773be12fa54c) a entraîné l'affichage d'un document Microsoft Word (voir Fig. 2). Son contenu, provenant directement d'un site russe, faisait référence au développement, en pleine guerre froide, de la bombe atomique Tsar Bomba.
Figure 2
: Contenu du document faisant référence à la bombe atomique Tsar
Bomba
Alors que des informations dont le destinataire est familier sont affichées, le cheval de Troie, quant à lui, ne s'exécute pas tant que cette même personne ne ferme pas le document Word. Cette technique rappelle une méthode ayant permis, par le passé, de contourner des sandboxes. Ainsi, il est possible que le logiciel malveillant ne se propage jamais si la sandbox est configurée de sorte à l'intercepter, à moins que celle-ci n'ait fait l'objet de certaines modifications et permette alors de simuler la fermeture du document. Le script SFX correspondant à ce dernier (voir Fig. 3) semblent avoir été créé à l'aide d'une version chinoise de WinRAR. Le document « 1.doc » est exécuté en premier, suivi, une fois fermé, du fichier « 0810.exe ». Cette opération peut être aisément planifiée en sélectionnant l'option « Patienter et renvoyer un code de fermeture » dans WinRAR, lors de la création de l'archive SFX.
Figure 3
: Script SFX
3. Propagation du cheval de Troie PlugX
Les campagnes étaient toutes caractérisées par le chargement de fichiers DLL. En outre, il était toujours question du même fichier exécutable signé, fsguidll.exe, semblant sûr. Celui-ci permettait le chargement du fichier fslapi.dll, qui, à son tour, entraînait l'extraction du code depuis le fichier fslapi.dll.gui.
Figure 4
: Fichiers DLL semblant sûrs
Il existe une variante de PlugX : il s'agit de la version P2P décrite par JPCert [2]. Un exemple, extrait à l'aide du script Arbor [3], est illustré ci-dessous.
PlugX Config (0x36a4 bytes):
Hide Dll: -1
Keylogger: -1
Sleep1: 167772160
Sleep2: 0
Cnc: www.pressmil[.]com:80 (HTTP / UDP)
Cnc: www.pressmil[.]com:80 (TCP / HTTP)
Cnc: www.pressmil[.]com:80 (UDP)
Cnc: www.pressmil[.]com:443 (HTTP / UDP)
Cnc: www.pressmil[.]com:443 (TCP / HTTP)
Cnc: www.pressmil[.]com:443 (UDP)
Cnc: www.pressmil[.]com:53 (HTTP / UDP)
Cnc: www.pressmil[.]com:53 (UDP)
Cnc: www.pressmil[.]com:53 (TCP / HTTP)
Cnc: www.pressmil[.]com:995 (HTTP / UDP)
Cnc: www.pressmil[.]com:995 (TCP / HTTP)
Cnc: www.pressmil[.]com:995 (UDP)
Persistence: Service + Run Key
Install Folder: %AUTO%ucP
Service Name: sWtDmsuBTyMK
Service Display Name: sWtDmsuBTyMK
Service Desc: Windows sWtDmsuBTyMK Service
Reg Hive: HKCU
Reg Key: SoftwareMicrosoftWindowsCurrentVersionRun
Reg Value: gGIHBgytn
Injection: 1
Inject Process: %ProgramFiles(x86)%Windows Media Playerwmplayer.exe
Inject Process: %windir%system32winlogon.exe
Inject Process: %windir%explorer.exe
Inject Process: %windir%system32svchost.exe
Uac Bypass Injection: 1
Uac Bypass Inject: %windir%system32msiexec.exe
Uac Bypass Inject: %windir%system32rundll32.exe
Uac Bypass Inject: %windir%explorer.exe
Uac Bypass Inject: %windir%system32dllhost.exe
Plugx Auth Str: TEST
Cnc Auth Str: LLL-0808
Mutex: GlobalIUNJCCvywXlrisLlcBhqGm
Screenshots: 0
Screenshots Sec: 10
Screenshots Zoom: 50
Screenshots Bits: 16
Screenshots Qual: 50
Screenshots Keep: 3
Screenshot Folder: %AUTO%FSscreen
Enable Tcp P2P: 1
Tcp P2P Port: 1357
Enable Udp P2P: 1
Udp P2P Port: 1357
Enable Icmp P2P: 1
Icmp P2P Port: 1357
Enable Ipproto P2P: 1
Ipproto P2P Port: 1357
Enable P2P Scan: 1
P2P Start Scan1: 0.0.0.0
P2P Start Scan2: 0.0.0.0
P2P Start Scan3: 0.0.0.0
P2P Start Scan4: 0.0.0.0
P2P End Scan1: 0.0.0.0
P2P End Scan2: 0.0.0.0
P2P End Scan3: 0.0.0.0
P2P End Scan4: 0.0.0.0
Mac Disable: 00:00:00:00:00:00
Dans
de nombreux cas, la chaîne EEEEEE permet l'authentification de la
communication avec le serveur C2. Il s'agit vraisemblablement de la
valeur par défaut. Les valeurs LLL-0808, 0abcde et niii-0701 ont
également été relevées.
4.
Infrastructure C2 (Command and Control)
Les sites pressmil[.]com et notebookhk[.]net ont fait office de serveurs C2 lors de cette campagne. En outre, ces deux domaines redirigeaient vers la même infrastructure hongkongaise, dont l'adresse IP était 43.252.175.119. Cette infrastructure est activement exploitée par les pirates depuis le 4 décembre 2014. Les autres domaines redirigeant vers cette même adresse IP incluaient fedpress[.]net et dicemention[.]com, employés lors de campagnes précédentes.
En
outre, le serveur C2 notebookhk[.]net a procédé, à plusieurs
reprises, à des redirections vers l'adresse 123.254.104.50, entre le
23 août 2013 et le 29 septembre 2014. Dans la même veine, le
serveur dicemention[.]com a effectué ces multiples opérations entre
le 5 décembre 2013 et le 28 septembre 2014. Plusieurs domaines ont
fait, par le passé, usage de l'adresse 123.254.104.50, et notamment
les suivants :
rsa.onmypc[.]orgblacktan[.]cndicemention[.]comleeghost[.]comnotebookhk[.]net
Lors de l'étude de l'adresse 123.254.104.50, des données utiles supplémentaires et plus anciennes étaient associées aux divers types de logiciel malveillant (Saker, Netbot et DarkStRat), également employés par cet attaquant. Le même constat, concernant DarkStRat, a été établi par des chercheurs de l'ESET [1].
4.1. Logiciel malveillant Saker (ou XBox)
Les fichiers liés au logiciel Saker faisaient également référence à des événements militaires russes, comme le fichier « zamysel praticteskih dejstvi voisk.scr » (SHA : 556e7e944939929ca4d9ca6c54d9059edf97642ece1d84363f2d46e2e8ca72ae) dont le nom se traduit par « planification de manœuvres de l'armée.scr ». Le contenu de l'archive RAR entraînait également l'exécution du fichier DLL icwnet.dll (SHA : 1a789568a53c18dab21c9c0386c746878cf8458e3369f0dc36a285fe296f3be3), qui lui-même incluait les éléments ServiceMain et JustTempFun. Le beacon suivant est transmis à un serveur distant :
GET
/30106C07000038FE0F00<removed>000000000000000000000000000000000000
000000000000000000000000000000000000000000000000000000000000000000
00000100000<removed>000000000000000000000000000000000000000000000
0000000000000000000000000
HTTP/1.1
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows
NT 5.0; .NET CLR 1.1.4322)
Host:
www.leeghost.com:1037
Cache-Control: no-cache
Cette
porte dérobée a été longuement analysée par la passé [4] et
permet à l'attaquant d'effectuer diverses opérations : gestion des
fichiers (décompte, création, copie, déplacement et suppression),
téléchargement et exécution des données utiles secondaires,
suppression de toutes traces et extinction du système.
4.2.
Logiciel malveillant Netbot (ou TornRat)
Lorsqu'un fichier donné (SHA : 277fe4dab731149f3d40630f2f8b25092b007c701f04b5304d3ba9570280d015) est transmis, un fichier DLL, taskhost.dll, s'exécute (SHA : dd9d31c3acb4299619c2251698024da1ac9ec42280aa6c16cd2369907f3be4e3). Le logiciel malveillant transmet le beacon au serveur C2 correspondant (Fig. 5), ce qui concorde avec la signature TornRAT précédemment publiée par CrowdStrike [5].
Figure 5 : Beacon réseau de Netbot
Le beacon a été chiffré à l'aide d'un algorithme XOR, utilisant une double valeur hexadécimale 0x3f. En outre, les informations chiffrées comprennent le nom d'hôte, la capacité de la mémoire système, des données relatives au système d'exploitation et l'horodatage faisant état de l'infection. (Fig. 6).
Figure 6 : Décodage du beacon réseau de Netbot
La création des mutexes suivants a permis d'obtenir les éléments ci-dessous :
Winlogin Running!
Netbot2012 Is Running!
NetBotServer
Is Running!
La manière dont les mutexes sont nommés rappelle les logiciels malveillants similaires à NetTraveler (ou Travnet). Netbot est une porte dérobée permettant d'effectuer des opérations similaires à celles réalisables avec Saker : gestion des fichiers (décompte, création, copie, déplacement et suppression), téléchargement et exécution des données utiles secondaires et suppression de toutes traces.
4.3. Logiciel malveillant DarkStRat
Lorsqu'un
fichier donné (SHA :
b38aa09a2334e11a73ef9a926694f2054789934daa38afeb8d00bce6949b6c4c) est
transmis, le fichier netlink.exe s'exécute (SHA :
b38aa09a2334e11a73ef9a926694f2054789934daa38afeb8d00bce6949b6c4c). La
chaîne okn, incluse après le beacon d'origine, est transmise à un
serveur distant. Le fichier de configuration netsetting.ini est
également enregistré sur le disque, et comporte les éléments
suivants :
DarkStRat est un cheval de Troie à part entière, configuré en langage Delphi. Il permet d'effectuer diverses opérations : gestion des fichiers, gestion des processus, gestion du registre, gestion des services, téléchargement et exécution des données utiles secondaires et suppression de toutes traces.
Comme
l'ont également rapporté les chercheurs de l'ESET [1], les chaînes
employées comportaient des termes à consonance espagnole (le
chinois restant toutefois notable). Le code source est basé sur le
code Google
et est associé au nom DarkStRat 2008 1.0开源.rar.
La chaîne « 开源 », dans le nom,
signifie « Open Source ». Diverses sections du code source
comportent également des chaînes en chinois, ou des composants tels
que darkst[.]com et fsg2[.]cn. Le propriétaire de ce code hébergé
par Google est darkteam...@gmail.com.
Ainsi, un code provenant d'un cheval de Troie espagnol semble avoir
été remanié par un pirate chinois, puis nommé DarkStRat.
Cependant, nous recommandons de ne pas tirer de conclusions trop
hâtives, si celles-ci sont uniquement basées sur la langue ou sur
l'emplacement des serveurs C2.
5. Conclusion
Un examen détaillé de cette opération nous a permis d'identifier un attaquant particulièrement au fait des évolutions du secteur des télécommunications et du secteur militaire russe. Il est donc probable qu'il s'agisse d'un individu aux motivations géopolitiques. Ce dernier adapte et affute ses tactiques, techniques et procédures au fil du temps et de la situation. Bien qu'il semble ne faire que peu d'efforts pour dissimuler ses traces, sa détermination et son obstination n'en demeurent pas moins importantes. De plus, les actions entreprises remontent à au moins deux ans. Enfin, il est évident que du temps est alloué à la recherche d'informations sur des lieux et éléments spécifiques, afin de tromper aux mieux les victimes. De telles attaques sont devenues monnaie courante, dans la mesure où elles peuvent facilement être dissimulées, et car il est aisé d'accéder en ligne aux données recherchées.
Indicateurs
de compromission
URL ayant permis la propagation du cheval de Troie PlugX :
http://www.arms-expo[.]net/news/content/387206.rar
http://arms-expo[.]net/news/content/day_2015-08-20.rar
http://arms-expo[.]net/news/samaia_mochnaia_iagernaia_bomba_v_istorii.rar
http://www.arms-expo[.]net/news/content/20150818.rar
http://www.tvzvezda[.]net/news/forces/content/201508181025.rar
http://www.arms-expo[.]net/news/content/20150818.zip
http://www.arms-expo[.]net/news/content/Day_2015-08-20.rar
http://www.arms-expo[.]net/news/content/VTC.rar
http://www.rusarmy[.]net/forum/vvs/modernizirovanoj.rar
http://www.rusarmy[.]net/forum/threads/sostojanie-krejserov-proekta-1144.9.rar
http://www.forum-mil[.]net/news/2015-08-03-3001.rar
http://www.militarynewes[.]com/news/11.08.2015.rar
Hachages associés à PlugX (SHA256) :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 associés à Saker (SHA256) :
556e7e944939929ca4d9ca6c54d9059edf97642ece1d84363f2d46e2e8ca72ae
0d2600d978f5c1042e93b701654db080aac144dfa2877844334b1d4cd78f4a1d
2a6dee57cb302a1350ade4a33f40a77c1952cf2e6b29d1be8400c13927e34670
383c5d22c1de3aae7684eb5a7d87d6b553f09f166ca402894c5deecabaa7d866
53d29782b8c325c2ff62493cdb261a8e54e45ed04880527e75e8e211b4d8d861
5d97ec30c481e00d4285246b528745f331be905f453e062bd9c2d506e9386f0e
664f80b427bf0145e62f6f90cb4833c30cfb8dc4b2d68746aa01420da82bd8af
6dc560a3b20a6e95552254bdb04fba03f74223a83a58436a3decfab74abc5fb5
a2f4aa2d25bff21e73b15065e2fc38d297ee14253044a66d00690b1bb23fc373
c7d7211d1fea69ea6a9697a8f8d21ac40f6d7dc6863708b9a98930271a156c86
d2a5cf434e8a0c63c23e6a3e5cf8a60f259099a706d2d243ffa5c7dbd46fd9d4
d6ff406da6e9a20074c3e1228ab04d35a3839b1719d3cafbb21ad3e3b6d03ef4
df4571b7d3be63de8338e6905b2689309ed5cce88d57a8db0c7b9aebf713d81c
ed7771339794c7908865f7816513b593369a93c98b39f58ebaaa98f3f0067e9d
Hachages associés à Netbot (SHA256) :
4524ede160d5476211e99329768b38abd88aacb6fa9334f2c2bbcaab9b0438f5
317e9deef23ff0e919083ac6c94b5ccd3bb0227f674078d66cdd4a2e5d1ebba9
68a98b8e174cb5af20e0ac97978bad6d245a1cb0970b82a4a269a92e7726d74b
277fe4dab731149f3d40630f2f8b25092b007c701f04b5304d3ba9570280d015
f95c6749f4d4fae18f9d384f495dc1c79e7484b309d0d35ea68966763ed325bd
Hachages associés à DarkStRat (SHA256) :
b38aa09a2334e11a73ef9a926694f2054789934daa38afeb8d00bce6949b6c4c
0d219aa54b1d417da61bd4aed5eeb53d6cba91b3287d53186b21fed450248215
Domaines C2 considérés :
pressmil[.]com
notebookhk[.]net
dicemention[.]com
leeghost[.]com
[1] http://www.welivesecurity.com/2014/11/12/korplug-military-targeted-attacks-afghanistan-tajikistan/
[2] http://blog.jpcert.or.jp/2015/01/analysis-of-a-r-ff05.html
[3] https://github.com/arbor-jjones/volatility_plugins
[5]http://blog.crowdstrike.com/whois-anchor-panda/