Grupo Buhtrap utiliza zero‑day na sua última campanha de espionagem

Os investigadores da ESET também revelaram que o conhecido grupo criminoso levou a cabo campanhas de espionagem durante os últimos cinco anos

O grupo Buhtrap é bem conhecido pelas suas campanhas orientadas para instituições financeiras e empresas na Rússia. Porém, desde final de 2015, temos testemunhado uma alteração interessante nos seus objetivos tradicionais. De um grupo criminoso que comete delitos informáticos com o objetivo de conseguir ganhos financeiros, o seu conjunto de ferramentas foi ampliado com malware, utilizado para levar a cabo tarefas de espionagem na Europa de Leste e Ásia Central.

Ao longo da nossa investigação, pudemos ver este grupo a implementar a sua principal backdoor, assim como outras ferramentas, contra várias vítimas; mas em junho de 2019 foi a primeira vez que vimos o grupo Buhtrap a utilizar um exploit zero-day como parte de uma campanha. Neste caso, observamos o Buhtrap a utilizar um exploit de elevação de privilégios locais, CVE-2019-1132, contra uma das suas vítimas.

O exploit aproveita-se de uma vulnerabilidade de elevação de privilégios locais no Microsoft Windows, especificamente uma desreferência do indicador NULL no componente win32k.sys. Uma vez descoberto e analisado o exploit, foi reportado ao Microsoft Security Response Center, que reparou rapidamente a vulnerabilidade e lançou um patch.

Esta publicação aborda a evolução do Buhtrap, de crime financeiro para uma mentalidade de espionagem.

História

A linha do tempo na Figura 1 destaca alguns dos desenvolvimentos mais importantes na atividade do Buhtrap.

Figura 1. Eventos importantes na linha do tempo do Buhtrap

É sempre difícil atribuir uma campanha a um ator em particular quando o código-fonte das suas ferramentas está disponível gratuitamente na web. No entanto, como as alterações nos objetivos do grupo ocorreram antes da filtração do código-fonte, acreditamos sem medo de errar, que são as mesmas pessoas que estão por trás tanto dos ataques do malware Buhtrap contra empresas e bancos e as que estão por trás das campanhas contra instituições governamentais.

Embora novas ferramentas tenham sido adicionadas ao seu arsenal e terem sido realizadas atualizações, as táticas, técnicas e procedimentos (TTPs) utilizados nas diferentes campanhas do Buhtrap não alteraram drasticamente ao longo de todos estes anos. Continuam a fazer um uso extensivo dos instaladores de NSIS como droppers e estes são entregues principalmente através de documentos maliciosos. Para além disso, várias das suas ferramentas são assinadas com certificados de código válidos e abusam de uma aplicação legítima conhecida para carregar lateralmente os seus payloads maliciosos.

Estes documentos usados para entregar os payloads maliciosos vêm geralmente com documentos benignos de modo a evitar levantar suspeitas quando se der o caso da vítima os abrir. A análise destes documentos que funcionam como isco fornece pistas sobre quem pode ter enviado e quais os objetivos. Quando o Buhtrap se dirigia às empresas, os documentos utilizados para atrair eram tipicamente contratos ou faturas. A Figura 2 é um exemplo típico de fatura genérica que o grupo utilizou numa campanha em 2014.

Figura 2. Documento usado como chamariz em campanhas contra empresas russas.

Quando o foco do grupo mudou para os bancos, os documentos utilizados como isco estavam relacionados com o sistema bancário ou avisos da FinCERT, uma organização criada pelo governo russo para fornecer ajuda e orientação às suas instituições financeiras (como se pode verificar no exemplo da Figura 3).

Figura 3. Documento usado como chamariz contra instituições financeiras russas.

Portanto, quando vimos pela primeira vez documentos enganosos relacionados com as operações do governo, começámos imediatamente a rastrear estas novas campanhas. Uma das primeiras amostras maliciosas que mostrava essa mudança foi observada em dezembro de 2015. A mesma descarregou um instalador de NSIS cuja função era instalar a principal backdoor do Buhtrap, mas o documento utilizado (ver Figura 4) era intrigante.

Figura 4. Documento chamariz usado em campanhas contra organizacções governamentais.

O URL no texto é revelador. É muito semelhante ao site do Serviço Estatal de Migração da Ucrânia, dmsu.gov.ua. O texto, em ucraniano, solicita aos funcionários as informações de contacto, nomeadamente os seus endereços de e-mail. Também tenta convencê-los a que façam clique no domínio malicioso incluído no texto.

Esta foi a primeira de muitas amostras maliciosas que encontrámos utilizadas pelo grupo Buhtrap com o objetivo de chegar às instituições governamentais. Outro documento chamariz mais recente, que acreditamos ter sido também distribuído pelo grupo Buhtrap, é possível observar na Figura 5. Trata-se de um documento que atrairia um conjunto muito diferente de pessoas, mas ainda relacionado com o governo.

Figura 5. Documentos señuelo usados como chamariz contra organizações governamentais.

Análise das campanhas dirigidas que se aproveitam de uma vulnerabilidade zero-day

As ferramentas utilizadas nas campanhas de espionagem eram muito similares às utilizadas contra empresas e instituições financeiras. Uma das primeiras amostras maliciosas que analisámos e que foram utilizadas em ataques dirigidos a organizações governamentais específicas foi uma amostra com o hash SHA-1 2F2640720CCE2F83CA2F0633330F13651384DD6A. Este instalador de NSIS faz o download do pacote normal que contém a backdoor do Buhtrap e exibe o documento usado como chamariz e que se pode ver na Figura 4.

Desde então, temos visto várias campanhas diferentes contra organizações governamentais provenientes deste grupo nas quais utilizavam de forma rotineira vulnerabilidades para elevar os seus privilégios com o objetivo de instalar o seu malware. Assistimos à exploração de vulnerabilidades antigas, como a CVE-2015-2387. Porém, sempre foram vulnerabilidades conhecidas. A vulnerabilidade zero-day que utilizaram recentemente fazia parte do mesmo padrão: poder executar o seu malware com os mais elevados privilégios.

O longo dos anos foram aparecendo pacotes com diferentes funcionalidades. Recentemente encontrámos dois novos pacotes que vale a pena descrever, já que se desviam do conjunto de ferramentas usadas tipicamente.

Backdoor herdado com um “twist” – E0F3557EA9F2BA4F7074CAA0D0CF3B187C4472FF

Este documento contém uma macro maliciosa que, quando está habilitada, droppea um instalador de NSIS cuja tarefa é preparar a instalação da principal backdoor. No entanto, este instalador de NSIS é muito diferente das versões anteriores utilizadas por este grupo. É muito mais simples e apenas se utiliza para estabelecer a persistência e lançar dois módulos maliciosos embutidos nele.

O primeiro módulo, chamado pelo autor de “grabber”, é um ladrão de passwords que funciona de forma independente (standalone). Tenta coletar passwords de clientes de e-mail, browsers, etc., e envia-as para um servidor C&C. Este módulo, que também foi detetado como parte da campanha que fazia uso da zero-day. Este módulo utiliza as API standard do Windows para se comunicar com o seu servidor C&C.

Figura 6. Capacidades do módulo de rede de grabber.

O segundo módulo é algo expectável dos responsáveis do Buhtrap: um instalador NSIS que contém uma aplicação legítima que será utilizada indevidamente para carregar de forma lateral a backdoor principal do Buhtrap. Neste caso, a aplicação legítima da qual se abusa é a AVZ, um scanner antivírus gratuito.

Meterpreter e DNS tunneling – C17C335B7DDB5C8979444EC36AB668AE8E4E0A72

Este documento contém uma macro maliciosa que, quando está ativa, elimina um instalador NSIS cuja tarefa é preparar a instalação da backdoor principal. Parte do processo de instalação é a configuração das regras da firewall para permitir que o componente malicioso se comunique com o servidor C&C. O que se segue é um exemplo de comando que o instalador NSIS utiliza para configurar estas regras:

cmd.exe /c netsh advfirewall firewall add rule name=\”Realtek HD Audio Update Utility\” dir=in action=allow program=\”<path>\RtlUpd.exe\” enable=yes profile=any

Porém, o payload final é algo que nunca tínhamos visto associado ao Buhtrap. Encriptados no seu corpo existem dois payloads. O primeiro é um pequeno downloader de shellcode, enquanto que o segundo é o Meterpreter da Metasploit. O Meterpreter é um shell inverso que concede aos seus operadores acesso total ao sistema comprometido.

O shell inverso do Meterpreter utiliza a DNS tunneling para se comunicar com o seu servidor C&C utilizando um módulo similar ao que aqui se descreve. Detetar a DNS tunneling pode ser difícil para os defensores, já que todo o tráfego malicioso é realizado através do protocolo DNS, e não do mais usual protocolo TCP. De seguida, mostra-se um fragmento da comunicação inicial deste módulo malicioso.

7812.reg0.4621.toor.win10.ipv6-microsoft[.]org
7812.reg0.5173.toor.win10.ipv6-microsoft[.]org
7812.reg0.5204.toor.win10.ipv6-microsoft[.]org
7812.reg0.5267.toor.win10.ipv6-microsoft[.]org
7812.reg0.5314.toor.win10.ipv6-microsoft[.]org
7812.reg0.5361.toor.win10.ipv6-microsoft[.]org
[…]

O nome de domínio do servidor C&C neste exemplo está a fazer-se passar pela Microsoft. De facto, os atacantes registaram diferentes nomes de domínio para estas campanhas, a maioria deles abusando das marcas da Microsoft, de uma forma ou de outra.

Conclusão

Apesar de não sabermos porque mudou este grupo de objetivo de forma repentina, é um bom exemplo das cada vez mais difusas linhas que separam os grupos de espionagem pura e aqueles que participam principalmente em atividades vinculadas ao crime financeiro. Neste caso, não está claro se um ou vários membros deste grupo decidiram alterar o foco e quais as razões, mas definitivamente é algo que é provável que vejamos mais no futuro.

Indicadores de Compromisso (IoCs)

Nomes de deteção da ESET

VBA/TrojanDropper.Agent.ABM
VBA/TrojanDropper.Agent.AGK
Win32/Spy.Buhtrap.W
Win32/Spy.Buhtrap.AK
Win32/RiskWare.Meterpreter.G

Amostras de malware

Main packages SHA-1

2F2640720CCE2F83CA2F0633330F13651384DD6A
E0F3557EA9F2BA4F7074CAA0D0CF3B187C4472FF
C17C335B7DDB5C8979444EC36AB668AE8E4E0A72

Grabber SHA-1

9c3434ebdf29e5a4762afb610ea59714d8be2392

Servidores C&C

https://hdfilm-seyret[.]com/help/index.php
https://redmond.corp-microsoft[.]com/help/index.php
dns://win10.ipv6-microsoft[.]org
https://services-glbdns2[.]com/FIGm6uJx0MhjJ2ImOVurJQTs0rRv5Ef2UGoSc
https://secure-telemetry[.]net/wp-login.php

Certificados

Técnicas de MITRE ATT&CK

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here

*