Cloud Atlas: APT Roter Oktober ist wieder im Spiel

Vor zwei Jahren veröffentlichten wir eine Studie über Roter Oktober, eine komplexe Cyberspionage-Operation, die diplomatische Einrichtungen und Botschaften auf der ganzen Welt angriff. Wir tauften die Kampagne auf den Namen Roter Oktober, da wir unsere Ermittlungen in diesem Fall im Oktober 2012 starteten, einem ungewöhnlich heißen Monat.

Nach unseren Enthüllungen im Januar 2013 wurde die Operation Roter Oktober umgehend abgeblasen und das Netzwerk von Command-und-Control-Servern wurde demontiert. Wie immer bei derart umfangreichen Operationen sind sie – gerade auch wegen der großen Investitionen und der Menge an Ressourcen, die dahinter stecken –, nicht auf einen Schlag und für immer von der Bildfläche verschwunden. Normalerweise taucht eine solche Gruppe für ein paar Wochen unter, baut die Tools und die Schadprogramme um und belebt die Operation wieder neu.

Siehe hierzu auch:

Seit Januar 2013 warten wir auf ein potentielles Comeback von Roter Oktober. Ein möglicher Treffer war Mevade, ein ungewöhnliches Stück Schadcode, das Ende 2013 auf der Bildfläche erschien. Die Namen der C&C von Mevade sowie einige technische Ähnlichkeiten deuteten auf eine Verbindung zu Roter Oktober hin, doch der Link war nur schwach. Erst im August 2014 konnten wir Beobachtungen machen, die uns vermuten ließen, dass Roter Oktober endgültig zurückgekehrt ist.

Dürfen wir vorstellen? Cloud Atlas!

Im August 2014 bemerkten einige unserer Nutzer zielgerichtete Attacken mit einer Variation von CVE-2012-0158 und einem ungewöhnlichen Schadprogramm-Set. Wir führten eine Schnellanalyse der Malware durch und sie fiel sofort wegen einiger ungewöhnlicher Dinge auf, die in der APT-Welt nicht unbedingt gängig sind.

Unter den Namen der in den Attacken verwendeten Dateien waren auch die folgenden:

  • FT – Ukraine Russia’s new art of war.doc
  • Катастрофа малайзийского лайнера.doc
  • Diplomatic Car for Sale.doc
  • МВКСИ.doc
  • Organigrama Gobierno Rusia.doc
  • Фото.doc
  • Информационное письмо.doc
  • Форма заявки (25-26.09.14).doc
  • Информационное письмо.doc
  • Письмо_Руководителям.doc
  • Прилож.doc
  • Car for sale.doc
  • Af-Pak and Central Asia’s security issues.doc

Mindestens eine erinnerte uns sofort an die Kampagne Roter Oktober, im Rahmen derer auch ein sehr ähnlicher Spearphishing-Ansatz verwendet wurde: "Diplomatic Car for Sale.doc". Je tiefer wir mit unserer Analyse in die Operation vordrangen, desto mehr Details kamen zum Vorschein, die diese Theorie unterstützten.

Das Ungewöhnlichste war wahrscheinlich, dass das Microsoft Office-Exploit nicht direkt eine Windows PE-Backdoor auf die Festplatte geschrieben hat. Stattdessen schreibt es ein verschlüsseltes Visual Basic Script und führt es aus.

Exploit-Payload von Cloud Atlas – VBScript

Dieses VBScript wirft ein Dateien-Paar auf der Festplatte ab – einen Loader und eine verschlüsselte Payload. Der Loader scheint jedes Mal anders zu sein und interne Zeichenketten weisen darauf hin, dass er "polymorph" generiert wurde. Die Payload ist immer mit einem einzigartigen Schlüssel chiffriert, wodurch es unmöglich wird, sie zu entschlüsseln, wenn die DLL nicht verfügbar ist.

Wir haben mehrere verschiedene Spearphishing-Dokumente gefunden, die individuell benannte Payloads transportieren. Beispielsweise wirft die MD5 der Datei "qPd0aKJu.vbs":

E211C2BAD9A83A6A4247EC3959E2A730 die folgenden Dateien ab:

DECF56296C50BD3AE10A49747573A346 – bicorporate – verschlüsselte Payload
D171DB37EF28F42740644F4028BCF727 – ctfmonrn.dll – Loader

Das VBS ergänzt zudem einen Registrierungsschlüssel:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun der den Schlüssel "bookstore" auf den Wert "regsvr32 %path%ctfmonrn.dll /s" einstellt, wodurch sichergestellt wird, dass die Malware bei jedem Systemboot ausgeführt wird.

Zu den DLL-Namen, die wir beobachtet haben, gehören:

f4e15c1c2c95c651423dbb4cbe6c8fd5 – bicorporate.dll649ff144aea6796679f8f9a1e9f51479 – fundamentive.dll
40e70f7f5d9cb1a669f8d8f306113485 – papersaving.dll
58db8f33a9cdd321d9525d1e68c06456 – previliges.dll
f5476728deb53fe2fa98e6a33577a9da – steinheimman.dll

Einige der Payload-Namen enthalten:

steinheimmanpapersaving
previliges
fundamentive
bicorporate
miditiming
damnatorily
munnopsis
arzner
redtailed
roodgoose
acholias
salefians
wartworts
frequencyuse
nonmagyar
shebir
getgoing

Die Payload umfasst einen verschlüsselten Konfigurationsblock, der Informationen über den C&C-Server enthält:

Die Informationen aus der config beinhalten eine WebDAV URL, die für Verbindungen benutzt wird, einen Nutzernamen und ein Passwort, zwei Ordner auf dem WebDAV-Server zum Speichern von Plugins/Modulen für die Malware und zum Upload der beim Opfer gesammelten Daten.

C&C-Kommunikation

Die CloudAtlas-Implantate wenden einen recht ungewöhnlichen C&C-Mechanismus an. Alle Malware-Samples, die uns untergekommen sind, kommunizieren via HTTPS und WebDav mit demselben Server von "cloudme.com", einem Cloud-Services-Provider. Laut der offiziellen Website ist CloudMe im Besitz von CloudMe AB und wird auch von diesem Unternehmen mit Sitz in Linköping, Schweden, betrieben.

(Wichtige Anmerkung: Wir glauben nicht, dass CloudMe in irgendeiner Weise mit der CloudAtlas-Gruppe in Verbindung steht – die Angreifer erstellen einfach kostenlose Accounts bei diesem Provider und missbrauchen sie als Command-and-Control-Accounts).

Doch jedes Schadprogramm-Set, das wir bisher beobachtet haben, kommuniziert mit einem anderen CloudMe-Account. Die Angreifer laden Daten auf den Account hoch, die vom Implantat heruntergeladen, entschlüsselt und ausgewertet werden. Im Gegenzug lädt die Malware mit Hilfe desselben Mechanismus‘ die Antworten zurück auf den Server hoch. Sicherlich ist es möglich, die Malware neu zu konfigurieren, so dass jeder Cloud-basierte Speicherdienst genutzt werden kann, der WebDAV unterstützt.

Hier ein Beispiel für einen solchen Account von CloudMe:

Die Daten von dem Account:

Die in dem willkürlich benannten Ordner gespeicherten Daten wurden von der Malware hochgeladen und enthalten verschiedene Dinge, wie etwa Systeminformationen, laufende Prozesse und den aktuellen Nutzernamen. Die Daten werden mit LZMA komprimiert und mit AES verschlüsselt, doch die Schlüssel werden in dem Schadprogramm-Körper gespeichert, wodurch es möglich wird, die Informationen vom C&C zu entschlüsseln.

In der Vergangenheit hatten wir es bisher nur mit einer anderen Gruppe zu tun, die eine ähnliche Methode angewendet hat – ItaDuke – die sich mit Accounts bei dem Cloud-Provider mydrive.ch verbunden hat.

Opferstatistik: Top 5 der infizierten Länder

CloudAtlas Roter Oktober
Russland 15 35
Kasachstan 14 21
Weißrussland 4 5
Indien 2 14
Tschechische Republik 2 < 5

Ähnlichkeiten mit Roter Oktober

Gemäß den vom Kaspersky Security Network (KSN) zusammengetragenen Daten steht wie im Fall von Roter Oktober Russland auch auf der Opferliste von Cloud Atlas ganz oben, dicht gefolgt von Kasachstan. Tatsächlich sehen wir hier eine offensichtliche Schnittmenge der Ziele zwischen diesen beiden Ländern, mit leichten Unterschieden aufgrund der geopolitischen Veränderungen in der Region, die sich im Laufe der letzten zwei Jahre ergeben haben.

Interessanterweise scheinen einige der Spearphishing-Dokumente, die einerseits CloudAtlas und andererseits Roter Oktober zugerechnet werden, dasselbe Thema auszunutzen und dieselbe Organisation zu unterschiedlichen Zeiten anzugreifen.

CloudAtlas Roter Oktober

Sowohl die zu CloudAtlas als auch die zu Roter Oktober gehörende Malware basieren auf ähnlichen Konstrukten, mit einem Loader und der endgültigen Payload, die in einer externen Datei in komprimierter Form gespeichert werden. Allerdings gibt es auch einige wichtige Unterschiede, unter anderem bei dem verwendeten Verschlüsselungsalgorithmus – RC4 in Roter Oktober gegenüber AES in Cloud Atlas.

Bei dem verwendeten Kompressionsalgorithmus in Cloud Altas und Roter Oktober gibt es weitere interessante Ähnlichkeiten. Beide Schadprogramme haben den Code für den LZMA-Kompressionsalgorithmus gemeinsam. In CloudAtlas wird er benötigt, um die Logdateien zu komprimieren und die entschlüsselte Payload von den C&C-Servern zu dekomprimieren, während es in Roter Oktober vom "Scheduler"-Plugin benutzt wird, um die ausführbaren Payloads von den C&C zu dekomprimieren.

Es zeigt sich, dass die Implementierung des Algorithmus‘ in beiden Schadmodulen identisch ist, obgleich die Art und Weise, auf die er aufgerufen wird, sich durch die in der Version von CloudAtlas hinzugefügten Plausibilitätsprüfungen ein wenig unterscheidet.

Eine weitere interessante Ähnlichkeit zwischen den Malware-Familien liegt in der Konfiguration des Build-Systems, das zur Kompilierung der Binärdateien verwendet wird. Jede Binärdatei, die unter Verwendung der Microsoft Visual Studio Toolchain erstellt wurde, hat einen speziellen Header, der Information über die Zahl der eingegebenen Objektdateien und Versionsinformationen zu dem Compiler enthält, der zu ihrer Erstellung verwendet wurde – den „Rich“-Header, der von der magischen Zeichenkette so genannt wird, die verwendet wird, um ihn in der Datei zu identifizieren.

Wir konnten einige Binärdateien von Roter Oktober identifizieren, die „Rich“-Header haben, die genau dasselbe Layout der Objektdateien VC 2010 + VC 2008 beschreiben. Obwohl das nicht zwangsläufig bedeuten muss, dass die Binärdateien auf demselben Entwicklungscomputer erstellt wurden, wurden sie definitiv unter Verwendung derselben Version von Microsoft Visual Studio kompiliert, bis hin zu der Build-Versionsnummer und unter Verwendung einer ähnlichen Projektkonfiguration.

Anzahl der Objektdateien, CloudAtlas-Loader Anzahl der Objektdateien, Roter Oktober Office-Plugin Anzahl der Objektdateien, Roter Oktober Fileputexec-Plugin HEX Compiler-Version Decodierte Compiler-Version
01 01 01 009D766F VC 2010 (build 30319)
01 01 01 009B766F VC 2010 (build 30319)
22 2E 60 00AB766F VC 2010 (build 30319)
5B 60 A3 00010000
05 07 11 00937809 VC 2008 (build 30729)
72 5C AD 00AA766F VC 2010 (build 30319)
20 10 18 009E766F VC 2010 (build 30319)

Hier die Ähnlichkeiten zwischen beiden im Überblick:

Cloud Atlas Roter Oktober
Shellcodemarker in Spearphishing-Dokumenten PT@T PT@T
Am stärksten angegriffenes Opferland Russia Russia
Kompressionsalgorithmus, der für die C&C-Kommunikation verwendet wird LZMA LZMA
C&C-Server behaupten zu sein / umgeleitet auf BBC (mobile malware) BBC
Compiler-Version VC 2010 (build 30319) VC 2010 (build 30319) (some modules)

Die auffälligste Verbindung zwischen den beiden schließlich liegt vermutlich in den Angriffszielen. Auf Grundlage der vom KSN gesammelten Daten werden einige der Opfer von Roter Oktober auch von CloudAtlas angegriffen. In mindestens einem Fall wurde der Computer eines Opfers nur zweimal in den letzten zwei Jahren angegriffen, und zwar von nur zwei Schadprogrammen Roter Oktober und CloudAtlas.

Diese und andere Details lassen uns vermuten, dass CloudAtlas als Reinkarnation der Angriffe von Roter Oktober anzusehen ist.

Fazit

Infolge umfassender Berichterstattung und öffentlicher Enthüllungen über zielgerichtete Angriffsoperationen benehmen sich APT-Gruppen nun äußerst vorhersehbar. Die meisten chinesischsprachigen Angreifer verlegen ihre C&C-Server einfach an einen anderen Ort, kompilieren die Malware neu und machen weiter, als wäre nichts geschehen.

Andere Gruppen, die sich mehr vor Entdeckung fürchten, begeben sich für Monate oder Jahre in eine Art Winterschlaf. Einige kehren nie wieder mit denselben Techniken und Tools zurück.

Doch wenn eine groß angelegte Cyberspionage-Operation aufgedeckt wird, so ist es äußerst unwahrscheinlich, dass die Angreifer die gesamte Operation komplett stilllegen. Sie gehen einfach für eine gewisse Zeit offline, mischen ihre Tools neu und kehren mit verjüngten Kräften zurück.

Wir glauben, dass das auch auf Roter Oktober zutrifft – eine APT, die mit CloudAtlas ein klassisches Comeback hinlegt.

Die Produkte von Kaspersky Lab detektieren die Malware aus dem Cloud Atlas-Werkzeugkasten unter den folgenden Bezeichnungen:

Exploit.Win32.CVE-2012-0158.j
Exploit.Win32.CVE-2012-0158.eu
Exploit.Win32.CVE-2012-0158.aw
Exploit.MSWord.CVE-2012-0158.ea
HEUR:Trojan.Win32.CloudAtlas.gen
HEUR:Trojan.Win32.Generic
HEUR:Trojan.Script.Generic
Trojan-Spy.Win32.Agent.ctda
Trojan-Spy.Win32.Agent.cteq
Trojan-Spy.Win32.Agent.ctgm
Trojan-Spy.Win32.Agent.ctfh
Trojan-Spy.Win32.Agent.cter
Trojan-Spy.Win32.Agent.ctfk
Trojan-Spy.Win32.Agent.ctfj
Trojan-Spy.Win32.Agent.crtk
Trojan-Spy.Win32.Agent.ctcz
Trojan-Spy.Win32.Agent.cqyc
Trojan-Spy.Win32.Agent.ctfg
Trojan-Spy.Win32.Agent.ctfi
Trojan-Spy.Win32.Agent.cquy
Trojan-Spy.Win32.Agent.ctew
Trojan-Spy.Win32.Agent.ctdg
Trojan-Spy.Win32.Agent.ctlf
Trojan-Spy.Win32.Agent.ctpz
Trojan-Spy.Win32.Agent.ctdq
Trojan-Spy.Win32.Agent.ctgm
Trojan-Spy.Win32.Agent.ctin
Trojan-Spy.Win32.Agent.ctlg
Trojan-Spy.Win32.Agent.ctpd
Trojan-Spy.Win32.Agent.ctps
Trojan-Spy.Win32.Agent.ctpq
Trojan-Spy.Win32.Agent.ctpy
Trojan-Spy.Win32.Agent.ctie
Trojan-Spy.Win32.Agent.ctcz
Trojan-Spy.Win32.Agent.ctgz
Trojan-Spy.Win32.Agent.ctpr
Trojan-Spy.Win32.Agent.ctdp
Trojan-Spy.Win32.Agent.ctdr
Trojan.Win32.Agent.idso
Trojan.Win32.Agent.idrx
HEUR:Trojan.Linux.Cloudatlas.a
Trojan.AndroidOS.Cloudatlas.a
Trojan.IphoneOS.Cloudatlas.a

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.