Investigadores da ESET descobriram novas versões de famílias de malware associadas ao grupo de APT Ke3chang, bem como um backdoor que não tinha sido mencionado anteriormente, e que foi usado para atacar missões diplomáticas no Brasil, Chile, Guatemala, Eslováquia e Bélgica.
O grupo Ke3chang, também conhecido como APT15, é um grupo de ameaças que opera possivelmente a partir da China. As suas atividades datam de 2010 no relatório de 2013 da FireEye, chamado operation Ke3chang – uma campanha de espionagem informática voltada para organizações diplomáticas na Europa.
Temos acompanhado as atividades maliciosas relacionadas com este agente malicioso e descobrimos uma família de malware que não havia sido documentada anteriormente e que tem fortes ligações com o grupo Ke3chang: um backdoor a que chamámos de Okrum. De acordo com a telemetria da ESET, Okrum foi detetado pela primeira vez em dezembro de 2016 e, durante 2017, teve como alvo missões diplomáticas no Brasil, Chile, Guatemala, Eslováquia e Bélgica ao longo de 2017.
Além disso, de 2015 a 2019, detetámos novas versões de famílias de malware conhecidas atribuídas ao grupo Ke3chang: backdoors BS2005 da operação Ke3chang e o malware RoyalDNS, relatado pelo NCC Group em 2018. Nota: Novas versões do malware da operação Ke3chang do período 2015-2019 são detetadas pelos produtos da ESET como o Win32/Ketrican e são referidas coletivamente como backdoors/ amostras Ketrican e são marcadas de acordo com o ano no nosso white paper e neste post.
Linha do tempo da Investigação
2015: Ketrican
Em 2015, identificámos novas atividades suspeitas em países europeus. O grupo por trás dos ataques parecia ter um interesse particular na Eslováquia, onde uma grande parte das amostras de malware descobertas foi detetada – Croácia, República Checa e outros países também foram afetados. A nossa análise técnica do malware usado nesses ataques revelou ligações estreitas com os backdoors BS2005 da operação Ke3chang e com uma família relacionada ao malware TidePool, descoberta pela Palo Alto Networks em 2016, que visava as embaixadas da Índia em todo o mundo.
2016-2017: Okrum
A história continuou no final de 2016, quando descobrimos um novo backdoor, anteriormente desconhecido, a que chamámos de Okrum. Os agentes maliciosos por trás do malware Okrum estavam focados nos mesmos alvos da Eslováquia que foram anteriormente atacados pelos backdoors do Ketrican 2015.
2017: Ketrican e RoyalDNS
Começámos a ligar os pontos quando descobrimos que o backdoor Okrum era usado para implementar um backdoor Ketrican, cuja data de compilação é de 2017. Em 2017, as mesmas entidades que foram afetadas pelo malware Okrum (e pelos backdoors da Ketrican em 2015) tornaram-se novamente alvos de agentes maliciosos. Desta vez, os atacantes usaram novas versões do malware RoyalDNS e um backdoor Ketrican de 2017.
2018: Ketrican
Em 2018, descobrimos uma nova versão do backdoor Ketrican que apresentava algumas melhorias no código.
2019: Ketrican
O grupo continua ativo em 2019: em março de 2019, detetámos uma nova amostra do Ketrican, que apresenta uma evolução em relação ao backdoor Ketrican de 2018, que foi usada para atacar os mesmos alvos do backdoor de 2018. Esta linha do tempo dos acontecimentos mostra que, embora os atacantes se tenham concentrado no mesmo tipo de alvos, eles têm usado diferentes conjuntos de ferramentas maliciosas para os comprometer. No processo, eles expuseram o Okrum, um projeto anteriormente desconhecido. A Figura 1 mostra as deteções da ESET relacionadas com a nossa pesquisa no contexto da atividade do Ke3chang previamente documentada.
Ligações com o grupo Ke3chang
A nossa investigação mostrou que os backdoors Ketrican, Okrum e RoyalDNS detetados pela ESET depois de 2015 estão ligados à atividade do grupo Ke3chang documentada anteriormente, e de várias maneiras. Estas são as ligações mais importantes:
- Os backdoors do Ketrican de 2015, 2017, 2018 e 2019 evoluíram em relação ao malware usado na Operação Ke3chang;
- O backdoor RoyalDNS detetado pela ESET em 2017 é semelhante ao backdoor RoyalDNS usado em ataques relatados anteriormente;
- O Okrum está ligado a backdoors do Ketrican tendo sido usado para implementar um backdoor do Ketrican compilado em 2017;
- Okrum, Ketrican e RoyalDNS visaram o mesmo tipo de organização. Algumas das entidades afetadas pelo Okrum também foram atacadas com um ou mais backdoors do Ketrican/RoyalDNS;
- O Okrum tem um modus operandi similar ao malware Ke3chang documentado anteriormente (está equipado com uma série de comandos de backdoor básicos e depende dos comandos shell escritos manualmente).
Okrum
Propagação e alvos
De acordo com a nossa telemetria, o Okrum foi usado para atacar missões diplomáticas no Brasil, Eslováquia, Bélgica, Chile e Guatemala, e os atacantes mostraram particular interesse na Eslováquia.
Os responsáveis por trás do malware tentaram ocultar o tráfego malicioso com seu servidor C&C dentro do tráfego de rede regular, registando nomes de domínio aparentemente legítimos. Por exemplo, amostras usadas contra alvos eslovacos foram comunicadas com um nome de domínio que simula um portal de mapas eslovaco (support.slovakmaps [.] Com). Um método similar para mascarar ou enganar foi usado numa amostra detetada num país de língua espanhola na América do Sul: os operadores usavam um nome de domínio que se traduz como “suporte de missões” em português (misiones.soportesisco [.] Com).
A forma como o malware Okrum foi propagado para as máquinas alvo é uma questão que ainda precisa ser respondida.
Detalhes técnicos
O backdoor do Okrum é uma biblioteca de links dinâmicos que é instalada e carregada através de dois componentes do estágio anterior. Durante a nossa pesquisa, a implementação desses dois componentes foi alterada com frequência. Periodicamente, os autores alteraram ativamente a implementação do instalador e dos componentes do carregador do Okrum para evitar a deteção. No momento da publicação deste post, os sistemas da ESET já tinham detetado sete versões diferentes do componente carregador e duas versões do instalador, embora a funcionalidade permaneça a mesma.
O payload do Okrum está escondido num arquivo PNG. Ao visualizar o arquivo, uma imagem familiar é exibida, conforme pode ver na Figura 2, mas os loaders do Okrum podem localizar um arquivo encriptado adicional que o utilizador não consegue ver. Esta técnica de esteganografia é uma tentativa dos agentes maliciosos para passarem despercebidos e evitarem a deteção.
Em termos de funcionalidade, o Okrum está equipado apenas com comandos backdoor básicos, como o download e o upload de arquivos, a execução de arquivos e comandos shell. A maior parte da atividade maliciosa deve ser feita escrevendo comandos shell manualmente ou executando outras ferramentas e softwares. Esta é uma prática comum do grupo Ke3chang, que também foi apontada anteriormente nos relatórios Intezer e NCC Group que monitorizaram a atividade do grupo Ke3chang.
Na verdade, detetámos que o Okrum abusa de várias ferramentas externas, como um keylogger, ferramentas para despejar senhas ou enumerar sessões de rede. Os backdoors do Ketrican que detetámos de 2015 a 2019 usavam utilitários semelhantes. Podemos apenas imaginar porque o agente do Ke3chang usa essa técnica – talvez a combinação de um backdoor simples e ferramentas externas satisfaçam plenamente as suas necessidades, sendo mais fácil de desenvolver; mas também pode ser uma tentativa de evitar a deteção comportamental.
As técnicas de prevenção de deteção que observamos no malware Okrum incluem a incorporação da carga maliciosa numa imagem PNG legítima, empregando vários truques anti-emulação e anti-sandbox, além de fazer alterações frequentes na implementação.
Conclusão
A nossa análise das ligações entre o malware Ke3chang documentado anteriormente e o recém-descoberto backdoor do Okrum permite-nos dizer com total confiança que o Okrum é operado pelo grupo Ke3chang. Depois de documentar a atividade do grupo Ke3chang de 2015 a 2019, concluímos que o grupo continua ativo e trabalha no sentido de melhorar o seu código ao longo do tempo.
Os nomes de deteção da ESET e outros indicadores de comprometimento para essas campanhas podem ser encontrados no relatório completo: “Okrum and Ketrican: An overview of recent Ke3chang group activity”.