Chronik der Hellsing-APT: Das Imperium schlägt zurück

Inhalt

Einleitung

Eine der aktivsten APT-Gruppen in Asien – und insbesondere im Gebiet des Südchinesischen Meeres – ist’Naikon‘. Naikon spielt eine zentrale Rolle in unserer Geschichte, aber der Fokus dieses Berichts liegtauf einem völlig anderen Bedrohungsakteur – ein Akteur, auf den wir aufmerksam wurden, weil erangesichts einer Naikon-Attacke zum Gegenschlag ausholte.

Naikon ist bekannt für seine maßgeschneiderte Backdoor RARSTONE, die unsere Kollegen von Trend Micro detailliert beschrieben haben. Der Name Naikon stammt von einem kundespezifischen Benutzer-Agent-String, ‚NOKIAN95/WEB‘, der sich in der Backdoor befindet:

NOKIAN-String in der Naikon-Backdoor

Die Naikon-Gruppe ist in erster Linie in Ländern wie den Philippinen, Malaysia, Kambodscha, Indonesien, Vietnam, Myanmar, Singapur und Nepal aktiv, wobei sie sich auf sehr opportunistische Weise gegen eine Vielzahl von Zielen richtet. Eine der vielleicht weitreichendsten Operationen der Naikon-Gruppe wurde im März 2014 gestartet, in Folge der Tragödie um Flug MH370 am 8. März. Am 11. März griff die Naikon-Gruppe aktiv die meisten Nationen an, die an der Suche nach MH370 beteiligt waren. Die Ziele waren extrem breit gefächert, schlossen aber auch Institutionen mit Zugriff auf Informationen ein, die mit dem Verschwinden von Flug MH370 zu tun hatten, wie z.B.:

  • Büro des philippinischen Präsidenten
  • Streitkräfte
  • Büro des Kabinettssektretärs
  • Nationale Sicherheitsräte
  • Büro des Generalstaatsanwalts
  • National Intelligence Coordinating Agency, eine Behörde der Philippinen
  • Behörde für zivile Luftfahrt
  • Justizministerium
  • Nationale Polizei
  • Presidental Management Staff, eine Behörde der Philippinen

Die Naikon-Gruppe setzte für die Attacken hauptsächlich Spear-Phishing-Dokumente mit Exploits zu der Sicherheitslücke CVE-2012-0158 ein, die die Backdoor der Gruppe auf die Rechner transportierten.

Während viele dieser Attacken erfolgreich waren, hatte zumindest eins der Opfer keine Lust darauf, angegriffen zu werden und entschied sich – anstatt die Dokumente zu öffnen – für ein völlig anderes Vorgehen.

Das Imperium schlägt zurück

Hier eine Frage: Was sollte man tun, wenn man ein verdächtiges Dokument von jemandem erhält, den man nicht oder nur sehr oberflächlich kennt? Wählen Sie eine Antwort aus:

Erfahrungsgemäß würden die meisten Leute 2, 3 oder 4 wählen. Nur sehr wenige Nutzer würden das Dokument öffnen und noch weniger würden sich tatsächlich dazu entschließen, den Angreifern auf den Zahn zu fühlen und ihre Geschichte zu überprüfen.

Doch genau das passierte, als eins der Spear-Phishing-Ziele der Naikon-Gruppe eine verdächtige E-Mail erhielt. Anstatt das Dokument einfach so oder auf einer exotischen Plattform zu öffnen, wollten die Empfänger die Story doch lieber beim Absender selbst überprüfen:

Naikon-Ziel bittet um Bestätigung der E-Mail

In der oben abgebildeten E-Mail sehen wir, dass das angegriffene Ziel die Echtheit der Spear-Phishing-Mail von Naikon in Frage stellt. Der Absender wird hier gefragt, ob es tatsächlich seine Absicht war, dieses Dokument zu senden.

Die Angreifer wiederum, keineswegs irritiert, und überaus vertraut mit der internen Struktur der Behörde des Ziels, antworteten mit der Behauptung, dass sie für die Sekretariatsabteilung arbeiten und vom Management der Organisation beauftragt worden seien, es zu senden:

Naikon-Angreifer antwortet dem Ziel

Die Antwort ist in sehr schlechtem Englisch verfasst und zeigt, dass der Angreifer vielleicht der Sprache nicht so mächtig ist, wie das anvisierte Opfer. Angesichts dieser Antwort ist das Ziel offensichtlich zu dem Schluss gekommen, das Dokument nicht zu öffnen. Sie entschlossen sich vielmehr, noch einen Schritt weiter zu gehen und mehr über die Angreifer in Erfahrung zu bringen.

Kurze Zeit nach der ersten Korrespondenz schickte das Ziel die folgende E-Mail an die Angreifer:

Bei dem Attachment handelt es sich um ein RAR-Archiv mit Passwort, wodurch ermöglicht wird, die Malware-Scanner, die mit dem kostenlosen E-Mail-Account einhergehen, den die Angreifer verwenden, sicher zu umgehen. In dem Archiv finden sich zwei PDF-Dateien und eine SCR-Datei:

Zu unserer großen Überraschung mussten wir feststellen, dass es sich bei der ‚SCR‘-Datei um eine Backdoor handelt, die eigens für die Naikon-Angreifer entwickelt worden war.

Die Datei ‚Directory of … Mar 31, 2014.scr‘ (md5: 198fc1af5cd278091f36645a77c18ffa) wirft ein leeres Dokument ab, das eine Fehlermeldung und ein Backdoor-Modul enthält (md5: 588f41b1f34b29529bc117346355113f). Die Backdoor verbindet sich mit dem Command and Control-Server, der sich auf philippinenews[.]mooo[.]com befindet.

Die Backdoor kann die folgenden Aktionen durchführen:

  • Dateien herunterladen
  • Dateien hochladen
  • Sich selbst hochladen
  • Sich selbst deinstallieren

Wir waren über dieses Vorgehen sehr erstaunt und beschlossen, die ‚Empire Strikes Back‘-Door genauer unter die Lupe zu nehmen; den hinter dieser Aktion steckenden Akteur tauften wir auf den Namen ‚Hellsing‘ (Erklärung folgt).

Die von dem eigentlichen Opfer verwendete Malware ist laut KSN-Daten geografisch folgendermaßen verteilt:

  • Malaysia – Regierungsnetzwerke
  • Philippinen – Regierungsnetzwerke
  • Indonesien – Regierungsnetzwerke
  • USA – diplomatische Vertretungen
  • Indien (alte Versionen der Malware)

Darüber hinaus haben wir Angriffe auf Organisationen beobachtet, die mit der Vereinigung südostasiatischer Staaten (ASEAN) in Verbindung stehen.

hellsing_6

Opfer der Hellsing-Attacken

Der Akteur attackiert seine auserkorenen Ziele mittels Spear-Phishing-Mails mit angehängten Archiven, die Schadsoftware enthalten. Die ist wiederum der Malware sehr ähnlich, die gegen die Naikon-Gruppe eingesetzt wurde. Hier eine Auswahl der von uns gefundenen Attachment-Namen:

  • 2013 Mid-Year IAG Meeting Admin Circular FINAL.7z
  • HSG FOLG ITEMS FOR USE OF NEWLY PROMOTED YNC FEDERICO P AMORADA 798085 PN CLN.zip
  • Home Office Directory as of May 2012.Please find attached here the latest DFA directory and key position officials for your referenece.scr
  • LOI Nr 135-12 re 2nd Quarter.Scr
  • Letter from Paquito Ochoa to Albert Del Rosario,the Current Secretary of Foreign Affairs of the Philippines.7z
  • Letter to SND_Office Call and Visit to Commander, United States Pacific Command (USPACOM) VER 4.0.zip
  • PAF-ACES Fellowship Program.scr
  • RAND Analytic Architecture for Capabilities Based Planning, Mission System Analysis, and Transformation.scr
  • Update Attachments_Interaction of Military Personnel with the President _2012_06_28.rar
  • Update SND Meeting with the President re Hasahasa Shoal Incident.scr
  • Washington DC Directory November 2012-EMBASSY OF THE PHILIPPINES.zip
  • ZPE-791-2012&ZPE-792-2012.rar
  • zpe-791-2012.PDF.scr

Wir haben RAR, ZIP und 7ZIP-Archive in den Attacken beobachten können – die 7ZIP-Archive mit Passwörtern wurden vermutlich als Möglichkeit eingesetzt, die neusten Sicherheitsfunktionen von Gmail zu umgehen, die Passwort geschützte Archive mit ausführbaren Dateien blockieren.

Jede Backdoor hat einen integrierten Command and Control Server sowie eine Versionsnummer und eine Kampagnen- oder Opfer-ID. Hier einige Beispiele:

MD5 Datum C&C Kampagnen-ID
2682a1246199a18967c98cb32191230c 31. März 2014 freebsd.extrimtur[.]com 1.6.1_MOTAC
31b3cc60dbecb653ae972db9e57e14ec 31. März 2014 freebsd.extrimtur[.]com 1.6.1_MOTAC
4dbfd37fd851daebdae7f009adec3cbd 08. Nov. 2013 articles.whynotad[.]com 1.5_articles.whynotad.com-nsc
015915bbfcda1b2b884db87262970a11 19. Feb. 2014 guaranteed9.strangled[.]net 1.5_guaranteed9-nsc
3a40e0deb14f821516eadaed24301335 31. März 2014 hosts.mysaol[.]com 1.6.1_imi;simple
73396bacd33cde4c8cb699bcf11d9f56 08. Nov. 2013 web01.crabdance[.]com 1.5_op_laptop
7c0be4e6aee5bc5960baa57c6a93f420 08. Nov. 2013 hosts.mysaol[.]com 1.5_MMEA
bff9c356e20a49bbcb12547c8d483352 02. April 2014 imgs09.homenet[.]org 1.6.1_It
c0e85b34697c8561452a149a0b123435 02. April 2014 imgs09.homenet[.]org 1.6.1_It
f13deac7d2c1a971f98c9365b071db92 08. Nov. 2013 hosts.mysaol[.]com 1.5_MMEA
f74ccb013edd82b25fd1726b17b670e5 12. Mai 2014 second.photo-frame[.]com 1.6.2s_Ab

Die Kampagnen-IDs könnten sich auf die von diesen speziellen Builds dieser APT angegriffenen Organisationen beziehen. Hier einige mögliche Auflösungen der Abkürzungen:

Artefakte und Überschneidungen mit anderen APTs

Interessanterweise scheint sich ein Teil der von den Angreifern genutzten Infrastruktur mit einer (schon vor etwa einem Jahr) von Kaspersky Lab intern als PlayfullDragon (auch bekannt als ‚GREF‘) beobachteten Gruppe zu überschneiden; während andere Aspekte der Infrastruktur sich mit einer Gruppe überschneiden, die als Mirage oder Vixen Panda bekannt ist.

So scheint eine der von unseren Kollegen bei FireEye beschriebenen Xslcmd-Backdoors von PlayfullDragon (md5: 6c3be96b65a7db4662ccaae34d6e72cc) an cdi.indiadigest[.]in:53 zu senden. Eins der Hellsing-Samples, das wir analysiert haben (md5: 0cbefd8cd4b9a36c791d926f84f10b7b) verbindet sich mit dem C&C-Server bei webmm[.]indiadigest[.]in. Obgleich der Hostname nicht derselbe ist, weist die Top Level Domain auf eine Art von Verbindung zwischen den Gruppen hin. Hier einige andere C&C-Subdomains auf ‚indiadigest[.]in‘:

  • aac.indiadigest[.]in
  • ld.indiadigest[.]in
  • longc.indiadigest[.]in

Eine weitere Überschneidung konnten wir mit einer anderen APT feststellen, die als Cycldek oder Goblin Panda bekannt ist. Einige der Hellsing-Samples, die wir in dieser Operation analysierten, (d.h. md5: a91c9a2b1bc4020514c6c49c5ff84298) kommunizieren mit dem Server webb[.]huntingtomingalls[.]com, indem sie ein für die Cycldek-Backdoors spezifisches Protokoll verwenden (binup.asp/textup.asp/online.asp).

Es sieht so aus, als hätte der Hellsing-Entwickler mit den Cycldek-Quellcodes begonnen und mit Vertretern von anderen APT-Gruppen zusammengearbeitet. Dennoch ist es ausreichend unterschiedlich, um eine Klassifikation als eigenständige Operation zu rechtfertigen.

Woher kommt nun also der Name Hellsing? Eins der von uns analysierten Samples (md5: 036e021e1b7f61cddfd294f791de7ea2) scheint in Eile kompiliert worden zu sein und der Angreifer hat vergessen, die Debugging-Informationen zu entfernen. Man sieht, dass der Projektname Hellsing lautet und die Malware die Bezeichnung ‚msger‘ trägt:

Natürlich kann Hellsing viele verschiedene Bedeutungen haben, unter anderem trägt der bekannte Arzt in Bram Stokers ‚Dracula‘ diesen Namen. Doch laut Wikipedia ist ‚Hellsing (ヘルシング Herushingu) eine Manga-Serie des japanischen Zeichners Kōta Hirano aus dem Jahr 1997‚.

Thema der Hellsing-Serie ist der Kampf der mysteriösen und geheimen Organisation Hellsing gegen Vampire und andere Untote; was es vermutlich zu einem angemessenen Namen für unsere Gruppe macht.

Neben der Hellsing/msger-Malware konnten wir eine zweite Generation von Trojaner-Samples identifizieren, die von den Angreifern anscheinend als ‚xweber‘ bezeichnet werden:

Dem Kompilations-Zeitstempels zufolge scheint ‚Xweber‘ der neuste Trojaner zu sein. Alle ‚msger‘-Samples, die wir gefunden haben, scheinen im Jahr 2012 erstellt worden zu sein. Die ‚Xweber‘-Samples stammen aus den Jahren 2013 und 2014, was darauf hinweist, dass irgendwann im Lauf des Jahres 2013 das ‚msger‘-Malwareprojekt in ‚Xweber‘ umbenannt oder in dieses Projekt integriert wurde.

Während unserer Untersuchung haben wir beobachtet, wie die Hellsing-APT sowohl die ‚Xweber‘- als auch die ‚msger‘-Backdoors in ihren Attacken benutzte, sowie auch andere Tools mit den Namen ‚xrat‘, ‚clare‘, ‚irene‘ und ‚xKat‘.

Andere Tools

Wenn die Hellsing-Angreifer einen Computer kompromittiert haben, stellen sie andere Tools bereit, die benutzt werden können, um weitere Informationen über das Opfer zu sammeln oder eine Seitwärtsbewegung zu vollziehen. Ein solches Tool ist ‚test.exe‘:

Name test.exe
Größe 45.568 bytes
MD5 14309b52f5a3df8cb0eb5b6dae9ce4da
Typ Win32 PE i386 ausführbare Datei

Dieses Tool wird benutzt, um Informationen zu sammeln und die verfügbaren Proxys zu testen. Interessanterweise enthält es auch den Hellsing-Debugging-Pfad:

Ein anderes Angriffstool, das in der Umgebung eines Opfers bereitgestellt wurde, ist ein Dateisystemtreiber mit der Bezeichnung ‚diskfilter.sys‘, obgleich er intern als ‚xrat.sys‘ bezeichnet wird. Der Treiber ist unsigniert und wurde für 32-Bit Windows kompiliert. Er wurde im Jahr 2013 für kurze Zeit eingesetzt, bevor er von den Angreifern abgeschafft wurde, möglicherweise wegen der Signaturanforderungen von Windows 7:

Ein anderes von den Angreifern benutztes Tool ist ‚xKat‘:

Name xkat.exe
Größe 78.848 bytes
MD5 621e4c293313e8638fb8f725c0ae9d0f
Typ Win32 PE i386 ausführbare Datei

Dabei handelt es sich um einen leistungsstarken Dateilöscher und Prozesskiller, der einen Treiber (Dbgv.sys) verwendet, um die Operationen durchzuführen. Wir haben beobachtet, dass die Angreifer damit der Konkurrenz gehörende Schadprogramme beenden und löschen.

Hier einige der Debugging-Pfade, die in den Binärdateien gefunden wurden:

  • e:Hellsingreleaseclare.pdb
  • e:Hellsingreleaseireneirene.pdb
  • d:hellsingsysireneobjchk_win7_x86i386irene.pdb
  • d:hellsingsysxkatobjchk_win7_x86i386xKat.pdb
  • d:Hellsingreleasemsgermsger_install.pdb
  • d:Hellsingreleasemsgermsger_server.pdb
  • d:hellsingsysxratobjchk_win7_x86i386xrat.pdb
  • D:Hellsingreleaseexeexetest.pdb

Attribution

Ganz allgemein ist die Attribution von APTs eine sehr knifflige Angelegenheit, daher ziehen wir es vor, uns auf die Veröffentlichung von technischen Details zu beschränken und es allen anderen zu überlassen, ihre eigenen Schlüsse zu ziehen.

Die mit Hellsing in Verbindung stehenden Samples scheinen zu den folgenden Zeiten kompiliert worden zu sein:

Geht man davon aus, dass der normale Arbeitstag gegen 9 Uhr beginnt, so scheinen die Angreifer in einer Zeitzone von UTC +8 oder +9 zu leben, wenn man einen Arbeitstag von 9 oder 10 bis 18 oder 19 Uhr zugrunde legt.

Fazit

Die Hellsing-APT-Gruppe ist aktuell in der APAC-Region aktiv, wobei sie sich hauptsächlich gegen Ziele im Gebiet des südchinesischen Meeres richtet, mit Fokus auf Malaysia, den Philippinen und Indonesien. Die Gruppe ist im Vergleich zu massiven Operationen wie etwa ‚Equation‚ eher klein. Kleinere Gruppen können den Vorteil haben, für längere Zeit unter dem Radar abzutauchen, so wie es auch hier der Fall war.

Der Angriff der Hellsing-APT auf die Naikon-Gruppe ist vermutlich der interessanteste Teil. In der Vergangenheit konnten wir beobachten, dass APT-Gruppen sich aus Versehen gegenseitig angriffen, während sie Adressbücher von Opfern stahlen und dann jedem auf jeder dieser Listen massenhaft Mails schickten. Doch berücksichtigt man die Zeit und Herkunft dieser Attacke, so scheint es sich bei dem aktuellen Fall eher um eine APT-auf-APT-Attacke zu handeln.

Um sich vor einer Hellsing-Attacke zu schützen, legen wir Organisationen die Einhaltung der folgenden grundlegenden Sicherheitsregeln ans Herz:

  • Öffnen Sie keine Anhänge von Absendern, die Sie nicht kennen!
  • Hüten Sie sich vor Passwort geschützten Archiven, die SCR-Dateien oder andere ausführbare Dateien enthalten!
  • Wenn Sie sich bezüglich eines Attachments unsicher sind, versuchen Sie es in einer Sandbox zu öffnen!
  • Stellen Sie sicher, dass Sie mit einem modernen Betriebssystem arbeiten, auf dem alle Patches installiert sind!
  • Aktualisieren Sie Anwendungen von Drittanbietern, wie z.B. Microsoft Office, Java, Adobe Flash Player und Adobe Reader!

Die Produkte von Kaspersky Lab detektieren die von den Hellsing-Angreifern verwendeten Backdoors als: HEUR:Trojan.Win32.Generic, Trojan-Dropper.Win32.Agent.kbuj, Trojan-Dropper.Win32.Agent.kzqq.

Appendix:

Hellsing Indicators of Compromise

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.