Nos últimos cinco anos o grupo Sednit tem vindo implacavelmente a atacar várias instituições, principalmente na Europa Oriental. O grupo utilizou para o efeito vários conjuntos avançados de malware para esses ataques direccionados, em especial, o que nomeou Win32 / Sednit, também conhecido como Sofacy.
Recentemente deparámo-nos com casos de sites financeiros legítimos a serem redireccionados para um kit de exploits personalizado. Com base nas nossas investigações e em algumas informações fornecidas pela Google Security Team, fomos capazes de comprovar que ele é utilizado pelo grupo Sednit. Esta é uma nova estratégia para este grupo, que até agora utilizada principalmente ataques de spear phishing por e-mail.
Nas próximas linhas, vamos começar por examinar alguns dos casos recentes de e-mails spear-phishing que utilizam o exploit CVE-2014-1761 do Microsoft Word. Posteriormente vamos concentrar-nos no kit de exploits, que parece estar ainda em fase de desenvolvimento e testes, e descrever brevemente o payload actual.
Dos Emails Spear-Phishing…
Em Abril de 2014, o malware Win32/Sednit estava a espalhar-se através de uma vulnerabilidade 0-day presente em documentos do Microsoft Word, a RTF CVE-2014-1761. Ele estava presente num pequeno número de famílias de malware que eram entregues através desta vulnerabilidade, como são exemplo disso, o BlackEnergy e MiniDuke, que também são usados para ataques direcionados.
Abaixo estão dois documentos falsos que eram mostrados às vítimas, enquanto a vulnerabilidade era explorada em silêncio no computador. Ambos os documentos mostram pareceres da NATO acerca do conflito ucraniano.
…ao Kit de Exploits Personalizado
Observámos redireccionamentos para o kit de exploits a partir de sites pertencentes a uma grande instituição financeira, na Polónia. O kit malicioso era carregado através de um simples IFRAME adicionado perto do final do documento HTML; por exemplo hxxp: //defenceiq.us/2rfKZL_BGwEQ como se observa na imagem abaixo. Podemos também observar um IFRAME muito semelhante que pretende carregar o URL hxxp: //cntt.akcdndata.com/gpw file = stat.js e cujo nome de domínio foi registado a 18 de Setembro. Infelizmente, não nos foi possível recuperarmos o conteúdo desta página, embora suspeitemos que o seu objectivo é recolher estatísticas acerca do número de redireccionamentos.
Ao visitarmos directamente o URL hxxp: //defenceiq.us, fomos redireccionados para o site defenceiq.com, um site legítimo que se descreve como “uma fonte de notícias de alta qualidade, comentários exclusivos e análises sobre defesa global e tópicos relacionados com assuntos militares” .
Verificou-se então que domínio defenceiq.us resolvia para o endereço 76.73.47.90. Outros domínios suspeitos estavam também a resolver para o mesmo endereço IP e revelavam o mesmo comportamento quando eram visitados. Porém, importa salientar que o redirecionamento de sites financeiros da Polónia para um nome de domínio relacionado com a defesa militar não é o cenário ideal para um ataque direcionado mas isto sucedeu, provavelmente, devido à mistura de duas campanhas em curso.
O kit de exploração, ao qual chamámos Sedkit como uma referência para Sednit, comporta-se de uma forma semelhante aos outros utilizados actualmente, tais como os kits de exploits Angler ou Nuclear. Abaixo encontra-se representada a sequência de exploração da Amostra. O navegador é enviado primeiro para uma página de destino que usa JavaScript para detectar o browser e as versões instaladas do plugin.
É interessante verificarmos que a chamada para DetectJavaForMSIE () está comentada. Porém, segue a tendência actual dos kits de exploits não apontarem ao Java, uma vez que as versões recentes dos browsers emitem alertas antes de carregarem applets baseados nesta linguagem. Neste momento, esta ameaça parece dirigida apenas ao Internet Explorer: quando testámos com o Chrome e Firefox fomos sempre redireccionados para o localhost.
O navegador envia posteriormente as informações do plugin através de uma solicitação POST. Com base nestas informações, o kit de exploits redirecciona o browser, ou para outro URL que contém um exploit, ou para http://localhost. O kit tenta apenas uma exploração por visita.
Recuperámos três exploits diferentes utilizados pelo kit, tudo visando o Internet Explorer. Eles encontram-se listados abaixo, com a versão específica do IE a que se dirigem. Curiosamente, o CVE-2014-1776 ainda não foi visto em qualquer dos kits de exploits mais populares, e os outros dois têm uma adopção limitada.
No entanto, outros aspectos do kit necessitam de ser refinados. Ao contrário da maioria dos kits de exploits actuais, este não utiliza ofuscação JavaScript. Encontramos até comentários no código JavaScript relacionado com as cadeias ROP dos exploits. Isto leva-nos a crer que o kit ainda está em fase de testes.
Quando se descomprime o ficheiros Flash utilizado para o CVE-2014-1776, é possível vermos o caminho. Esta informação não foi encontrada nas amostras anteriores dos exploits que temos na nossa colecção.
Quando a exploração é feita com sucesso o payload é descarregado; se está encriptado ou não depende do exploit.
Payload
O binário implantado na máquina infectada tem o nome de “runrun.exe”. O seu único objetivo é implantar um segundo programa – inicialmente encriptado e compactado – na máquina e garantir a sua persistência no sistema. O segundo programa é uma biblioteca do Windows denominada “splm.dll”. De acordo com nossos dados, este malware tem sido utilizado em ataques direccionados pelo menos desde 2009.
Em resumo, este payload foi criado com um framework C ++. Graças ao Run-Time Type Information (RTTI), uma parte da arquitectura do programa pode ser reconstruída com os nomes escolhidos pelo programador. O malware contém módulos de agente que implementam actividades maliciosas, e canais para comunicação entre os módulos e controladores remotos. Nesta amostra, foram encontrados os seguintes módulos agente, identificado por um ID de 16 bits:
É também criado um canal de comunicação externo denominado WinHttp, que desencripta três nomes de domínio usados para comando e controle: msonlinelive.com, windows-updater.com e azureon-line.com.
Conclusão
Nos últimos anos, os kits de exploits tornaram-se num método utilizado para espalhar crimeware, ou seja, malware destinado à distribuição em grande escala de modo a facilitar a fraude financeira e abuso de recursos informáticos para fins ilícitos tais como o envio de spam, mineração de bitcoints, colheita de credenciais, etc
Desde 2012 que observamos esta estratégia a ser utilizada para fins de espionagem no que se tornou conhecido como ataques de “watering-hole” ou “compromissos web estratégicos”.
Embora muitos destes ataques estejam documentados, estamos a ver esta estratégia a ser adoptada novamente por outro grupo e certamente que mais a irão seguir.
Indicadores de Infecção
Aqui estão alguns indicadores que podem ajudar a identificar a amostra de payload fornecida pelo kit de exploits descrito neste artigo:
- Presença da entrada CLSID {d702b440-b130-47f7-a94c-c1fae33d2820} na chave de registo HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
Mutex denominado “XSQWERSystemCriticalSection_for_1232321”
Mailslot denominado “\\.\mailslot\check_mes_v5555”
Ficheiros na pasta temporária denominados “edg6EF885E2.tmp” e “tmp”
Comunicações na rede com os domínios windows-updater.com, or azureon-line.com
