Die Epic Turla Operation: Aufklärung einiger Mysterien rund um Snake/Uroburos

Inhalt

turla

Technical Appendix with IOCs (eng)

Kurzfassung

Im Laufe der letzten 10 Monate haben Forscher bei Kaspersky Lab eine massive Cyberspionage-Operation analysiert, die wir auf den Namen „Epic Turla“ getauft haben. Die Angreifer hinter Epic Turla haben mehrere hundert Computer in über 45 Ländern infiziert, Regierungsinstitutionen, Botschaften, militärische Einrichtungen, Forschungs- und Pharmaunternehmen eingeschlossen.

Wir wissen, dass die Angreifer mindestens zwei Zero-Day-Exploits verwendeten:

  • CVE-2013-5065 – Privilegieneskalations-Sicherheitslücke in Windows XP und Windows 2003
  • CVE-2013-3346 – Eine Sicherheitslücke im Adobe Reader, die das Ausführen von willkürlichem Code ermöglicht

Wir haben bei diesen Attacken zudem Exploits beobachtet, die ältere (bereits gepatchte) Sicherheitslücken ausnutzen, außerdem Social-Engineering-Techniken sowie Wasserloch-Strategien (watering hole). Die vorrangige Backdoor, die in den Epic-Attacken eingesetzt wurde, ist auch unter den Bezeichnungen „WorldCupSec“, „TadjMakhal“, „Wipbot“ oder „Tavdig“ bekannt.

Als G-Data im Februar die ersten Informationen zu Turla/Uroburos veröffentlichte blieben viele Fragen offen. Eine große Unbekannte war der Infektionsvektor für Turla (alias Snake oder Uroburos). Unsere Analyse weist darauf hin, dass die Opfer über eine raffinierte mehrstufige Attacke infiziert werden, die mit der Epic Turla-Operation ihren Anfang nimmt. Fühlen sich die Angreifer sicher, wird diese auf raffiniertere Backdoors upgegradet, wie z.B. das Carbon/Cobra-System. Manchmal werden beide Backdoors kombiniert und eingesetzt, um sich gegenseitig zu „retten, wenn die Kommunikation mit einem der Backdoors abreißt.

Haben die Angreifer sich erst einmal die notwendigen Anmeldedaten angeeignet, ohne dass das Opfer es bemerkt, wenden sie das Rootkit und andere extrem widerstandsfähige Mechanismen an.

Die Angriffe dauern mit Stand vom August 2014 noch an und richten sich aktiv gegen Nutzer in Europa und dem Mittleren Osten.

Anmerkung: Die vollständige Analyse der Epic-Attacken steht den Abonnenten des Kaspersky Intelligence Services zur Verfügung. Kontakt: intelreports@kaspersky.com

Die Epic Turla Attacken

Die Attacken im Rahmen dieser Kampagne lassen sich in Abhängigkeit von dem Vektor, der für die Erstkompromittierung verwendet wurde, in mehrere unterschiedliche Kategorien einteilen:

  • Spearphishing-Mails mit Adobe PDF-Exploits (CVE-2013-3346 + CVE-2013-5065);
  • Social-Engineering-Methoden, um den Nutzer dazu zu bringen, einen Malware-Installer mit einer “.SCR-Erweiterung auszuführen, der manchmal mit RAR gepackt ist;
  • Wasserloch-Attacken unter Verwendung von Java-Exploits (CVE-2012-1723), Flash-Exploits (unbekannt) oder Exploits für Internet Explorer 6,7,8 (unbekannt)
  • Watering-Hole-Attacken, die auf Social Engineering fußen, das den Nutzer dazu bringen soll, als “Flash Player” getarnte Malware-Installer auszuführen.

Die Angreifer setzen sowohl direkt Spearphishing und auch Wasserloch-Attacken ein, um ihre Opfer zu infizieren. Wasserlöcher (Waterholes) sind Websites, die für die Opfer nachweislich von Interesse sind und von den Angreifern bereits kompromittiert und mit Schadcode versetzt wurden.

Bisher konnten wir noch keine E-Mails ausmachen, die sich gegen die Opfer richten, ausschließlich Attachments. Die PDF-Anhänge präsentieren dem Opfer beim Öffnen keinerlei Köder, allerdings beinhaltet das SCR-Paket manchmal eine saubere PDF bei erfolgreicher Installation.

turla

Hier einige der uns bekannten Attachment-Namen, die in den Spearphishing-Attacken benutzt werden:

  • ؤتمر جنيف.rar (Übersetzung aus dem Arabischen: „Genfer Konferenz.rar“)
  • NATO position on Syria.scr
  • Note_№107-41D.pdf
  • Talking Points.scr
  • border_security_protocol.rar
  • Security protocol.scr
  • Program.scr

In einigen Fällen liefern diese Dateinamen Hinweise auf den Typ von Opfern, auf die es die Angreifer abgesehen haben.

Die Wasserloch-Attacken

Aktuell unterhalten die Angreifer ein großes Netzwerk von Wasserlöchern, die die Besucher mit chirurgischer Präzision attackieren.

Hier einige der eingeschleusten Websites:

turla
Die Website des Rathauses von Pinor, Spanien

turla
Eine Website, die das Unternehmertum in einer Grenzregion von Rumänien fördert

turla
Palästinensisches Außenministerium

Insgesamt haben wir über 100 eingeschleuste Websites identifiziert. Derzeit finden sich die meisten eingeschleusten Websites in Rumänien.

Es folgt eine Statistik zu den eingeschleusten Websites:

turla

Die Verteilung ist offensichtlich willkürlich und spiegelt die Interessen der Angreifer wider. In Rumänien befinden sich beispielsweise viele der infizierten Sites in der Mures-Region, während in Spanien viele der infizierten Websites zu kommunalen Regierungen (Rathäuser) gehören.

Die Mehrzahl der infizierten Sites verwendet das Content Management System TYPO3, was als Indiz dafür gewertet werden könnte, dass die Angreifer eine spezielle Sicherheitslücke in dieser Plattform ausnutzen.

Die infizierten Websites laden remote JavaScript in den Browser des Opfers:

turla

Das Script „sitenavigatoin.js“ ist ein Pinlady-artiges Browser- und Plugin-Detektions-Skript, das wiederum auf ein PHP-Skript umleitet, das manchmal main.php oder wreq.php genannt wird. Manchmal registrieren die Angreifer die .JPG-Erweiterung mit dem PHP-Handler auf dem Server, wobei sie die „JPG“-Dateien benutzen, um die PHP-Skripte auszuführen:

turla
Profiling Skript

Das Hauptskript „wreq.php“, „main.php“ oder „main.jpg“ führt eine Reihe von Aufgaben aus. Wir haben mehrere Versionen dieses Skriptes lokalisieren können, die verschiedene Ausnutzungsmechanismen ausprobieren.

Eine Version dieses Skriptes versucht den Internet Explorer der Versionen 6, 7 und 8 auszunutzen:

turla
Internet Explorer Ausnutzungsskript

Leider wurden die Internet Explorer-Exploits noch nicht wiederhergestellt.

Eine neuere Version versucht Oracle Sun Java und Adobe Flash Player auszunutzen:

turla
Java und Flash Player Ausnutzungsskripts

Obwohl die Flash Player-Exploits nicht wiederhergestellt werden konnten, gelang es uns, an die Java-Exploits zu kommen:

Name MD5
allj.html 536eca0defc14eff0a38b64c74e03c79
allj.jar f41077c4734ef27dec41c89223136cf8
allj64.html 15060a4b998d8e288589d31ccd230f86
allj64.jar e481f5ea90d684e5986e70e6338539b4
lstj.jar 21cbc17b28126b88b954b3b123958b46
lstj.html acae4a875cd160c015adfdea57bd62c4

Die Java-Dateien nutzen eine bekannte Sicherheitslücke aus, und zwar CVE-2012-1723 in verschiedenen Konfigurationen.

Die von diesem Java-Exploits gelieferte Payload sieht folgendermaßen aus:

MD5: d7ca9cf72753df7392bfeea834bcf992

Das Java-Exploit verwendet einen speziellen Loader, der versucht, die endgültige Payload der Epic-Backdoor in explorer.exe einzuschleusen. Die aus dem Java-Exploit extrahierte Backdoor enthält hart kodiert das folgende C&C:

www.arshinmalalan[.]com/themes/v6/templates/css/in.php

Dieses C&C ist zum aktuellen Zeitpunkt noch online, obgleich es auf eine derzeit gesperrte Seite auf „hxxp://busandcoachdirectory.com[.]au“ verweist. Die vollständige Liste der C&C-Server finden Sie im Anhang.

Die Angreifer hinter Epic Turla sind extrem flexibel, wenn es darum geht verschiedene Exploits oder unterschiedliche Angriffsmethoden einzusetzen – je nach dem, was gerade verfügbar ist. Gerade erst haben wir beobachtet, wie sie noch eine weitere Technik in Kombination mit Wasserloch-Attacken anwandten. Diese Technik macht sich Social Engineering zunutze, um den Nutzer dazu zu bringen, einen gefälschten Flash Player (MD5: 030f5fdb78bfc1ce7b459d3cc2cf1877):

turla

oder eine gefälschte Microsoft Security Essentials App zu starten (MD5: 89b0f1a3a667e5cd43f5670e12dba411):

turla

Die gefälschte Anwendung ist mit einem gültigen digitalen Zertifikat von der Sysprint AG signiert:

Seriennummer: ‎00 c0 a3 9e 33 ec 8b ea 47 72 de 4b dc b7 49 bb 95
Daumenabdruck: ‎24 21 58 64 f1 28 97 2b 26 22 17 2d ee 62 82 46 07 99 ca 46

turla
Gültige Signatur von der Sysprint AG auf dem Epic-Dropper

Diese Datei wurde von der Website des Außenministeriums von Tadschikistan verbreitet, unter „hxxp://mfa[.]tj/upload/security.php“.

Bei dieser Datei handelt es sich um eine .NET-Applikation, die eine verschlüsselte Ressource enthält. Die transportiert die schädliche Datei mit der MD5 7731d42b043865559258464fe1c98513.

Das ist eine Epic-Backdoor die sich mit den folgenden C&Cs mit der allgemeinen internen ID von 1156fd22-3443-4344-c4ffff verbindet:

hxxp://homaxcompany[.]com/components/com_sitemap/
hxxp://www.hadilotfi[.]com/wp-content/themes/profile/

Eine vollständige Liste der URLs der C&C-Server, die wir aus den Samples rekonstruieren konnten, finden Sie im technischen Anhang.

Die Command-and-Control-Infrastruktur von Epic

Die Epic-Backdoors werden von einem riesigen Netzwerk gehackter Server gesteuert, die die C&C-Funktionalität bereitstellen.

Das riesige Netzwerk, das von den Epic Turla-Angreifern gesteuert wird, hat viele Funktionen. Beispielsweise fungieren die Mutterschiffe sowohl als Ausnutzungs-Sites als auch als Command-and-Control-Paneele für die Malware.

Im Großen und Ganzen ergibt sich das folgende Bild:

turla
Der Lebenszyklus von Epic Turla

Die erste Ebene der Command-and-Control-Proxies kommuniziert normalerweise mit einer zweiten Ebene von Proxies, die wiederum mit dem „Mutterschiff“-Server kommunizieren. Bei dem Mutterschiff-Server handelt es sich üblicherweise um einen VPS, der die Kontroll-Paneel-Software ausführt, die benutzt wird, um mit den Opfern zu interagieren. Die Angreifer betreiben das Mutterschiff unter Verwendung eines Netzwerks von Proxy- und VPN-Servern zur Wahrung der Anonymität. Die Mutterschiffe funktionieren ebenso wie die Ausnutzungsserver, die bei den Wasserloch-Attacken eingesetzt werden, und stellen den Opfern Java, IE oder gefälschte Anwendungen bereit.

Es ist uns auch gelungen, an eine Kopie eines der Mutterschiffe zu kommen, wodurch wir einen gewissen Einblick in die Operation erhielten.

Auf dem Mutterschiff läuft ein Passwort geschütztes Kontrollpaneel.

uroburos_14

Login zum Kontrollpaneel des Epic-Mutterschiffs

Einmal ins Kontrollpaneel eingeloggt, erhalten die Angreifer einen allgemeinen Überblick über das System, inklusive Anzahl der interessanten potentiellen Ziele:

turla
Epic-Kontrollpaneel, Statusüberblick

Eine besonders interessante Datei auf dem Server ist task.css, in der die Angreifer die IP-Bereiche definieren, an denen sie interessiert sind. Um die Datei zu ändern, verwenden sie den „Task editor“ aus dem Menü. In Abhängigkeit von den „tasks“ entscheiden sie, ob sie die Besucher infizieren oder nicht. In diesem Fall haben wir herausgefunden, dass sie zwei Bereiche angriffen, die zu:

  • „Land A“ – Regierungsnetzwerk
  • „Land B“ – Telekommunikations- und Informationsnetzwerk der Regierung

Bemerkenswert ist allerdings, dass die Tatsache, dass die Angreifer diese Bereiche attackierten, nicht zwangsläufig bedeutet, dass sie auch infiziert wurden. Einige andere unbekannte IPs wurden ebenfalls in der Aufstellung der Ziele beobachtet.

Es gibt zudem eine Datei „except.css“, in der die Angreifer die Gründe festhalten, warum sie bestimmte Besucher nicht infiziert haben. Drei verschiedene Werte sind hier möglich:

  • TRY
  • DON’T TRY -> Version des Browsers und Betriebssystem entsprechen nicht den Bedingungen
  • DON’T TRY -> (2012-09-19 10:02:04) – checktime < 60

Es folgen die „nicht entsprechenden Bedingungen“, die wir in den Protokollen gefunden haben:

  • Windows 7 oder 2008 R2
  • MSIE 8.0
  • Mozilla/4.0 (kompatibel; MSIE 8.0; Windows NT 6.1; WOW64; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET CLR 1.1.4322; .NET4.0C; .NET4.0E)
  • Adobe Shockwave 11.5.1.601
  • Adobe Flash 10.3.181.14
  • Adobe Reader 10.1.0.0
  • Win Media Player 12.0.7601.17514
  • Quick Time null
  • MS Word null
  • Java null

Die Epic- / Tavdig- / Wipbot-Backdoor

In diesem ersten Stadium der Attacke verwenden die Angreifer eine maßgeschneiderte Backdoor. In einige Fällen kommt die Backdoor in Kombination mit dem Exploit für die Sicherheitslücke CVE-2013-5065 EoP daher und ist stark obfuskiert, wodurch die Analyse noch erschwert wird.

Mit Hilfe des Exploits für die Schwachstelle CVE-2013-5065 kann die Backdoor Administratorenrechte auf dem System erlangen und ungehindert laufen. Dieses Exploit funktioniert nur auf nicht gepatchten Microsoft Windows XP-Betriebssystemen.

Andere bekannte Detektionsbezeichnungen für diese Backdoor sind Trojan.Wipbot (Symantec) oder Tavdig.

Die Hauptbackdoor ist ungefähr 60 KB groß und installiert ein C&C-Protokoll auf normale http-Anfragen. Das Kommunikationsprotokoll verwendet xxx-Anfragen in den C&C-Antworten, die die Malware entschlüsselt und verarbeitet. Die Antworten werden über denselben Kanal an das C&C zurückgeschickt.

Das Verhalten der Malware wird von einem Konfigurationsblock definiert. Der Konfigurationsblock enthält üblicherweise zwei hartkodierte C&C-URLs. Wir haben aber auch einen Fall beobachtet, in dem der Konfigurationsblock nur eine URL beinhaltete. Die Konfiguration kann außerdem über das C&C on-the-fly von den Angreifern aktualisiert werden.

Die Backdoor versucht, die folgenden Prozesse zu identifizieren, und beendet sich – wenn sie sie gefunden hat – selbst:

  • tcpdump.exe
  • windump.exe
  • ethereal.exe
  • wireshark.exe
  • ettercap.exe
  • snoop.exe
  • dsniff.exe

Sie enthält eine interne, einmalige ID, die verwendet wird, damit das Opfer von dem C&C identifiziert werden kann. Die meisten Samples, insbesondere alte, haben die ID 1156fd22-3443-4344-c4ffff. Wurde ein Opfer einmal als „interessant“ eingestuft, laden die Angreifer eine weitere Epic-Backdoor hoch, die über eine eindeutige ID zur Kontrolle dieses speziellen Opfers verfügt.

Während des ersten C&C-Aufrufs sendet die Backdoor ein Paket mit den Systeminformationen des Opfers. Alle weiteren Informationen, die an das C&C geschickt werden, sind mit einem Public-Key-Framework verschlüsselt, was eine Dechiffrierung unmöglich macht. Die Befehle vom C&C sind auf sehr einfache Art und Weise verschlüsselt und können beim Abfangen entschlüsselt werden, da der geheime Key in der Malware hartkodiert ist.

Während des Monitorings ist es uns gelungen, viele Befehle abzufangen, die von den Angreifern an die Opfer gesendet wurden und uns einen einmaligen Einblick in diese Operation ermöglichten. Hier ein Blick auf eine der verschlüsselten Server-Antworten:

uroburos_code_2

Ist das Opfer erst einmal infiziert und „checkt“ beim Server „ein'“, senden die Angreifer ein Befehls-Template:

turla

Im nächsten Schritt versuchen die Cyberkriminellen, sich durch das Netzwerk des Opfers zu bewegen, indem sie vordefinierte oder bereits vorher abgegriffene Passwörter verwenden:

turla

Die rekursive Auflistung aller .doc-Dateien ist ebenfalls ein übliches Vorgehen:

turla

Insgesamt haben wir mehrere hundert Befehlspakete, die an die Opfer geliefert wurden, decodiert, und dadurch einen einmaligen Einblick in die interne Arbeit der Angreifer erhalten.

Zusätzlich zu den allgemeinen Durchsuchungen konnten wir auch einige enger eingegrenzte Suchen beobachten, und zwar unter anderem nach:

  • *NATO*.msg
  • eu energy dialogue*.*
  • EU*.msg
  • Budapest*.msg

In diesem Fall waren die Angreifer an E-Mails interessiert, die etwas mit den Themen „NATO“ und „Energiedialog innerhalb der Europäischen Union“ usw. zu tun haben.

Bei einigen C&C-Servern implementierten die Gangster RSA-Verschlüsselung für die C&C-Logs, wodurch eine Dechiffrierung unmöglich wird. Dieses Schema wurde im April 2014 eingeführt.

uroburos_code_3

Seitwärtsbewegung und Upgrade auf raffiniertere Backdoors

Ist ein Opfer erst einmal kompromittiert, laden die Angreifer verschiedene Tools hoch, die für die Seitwärtsbewegung genutzt werden.

Eins dieser Tools, das in den Attacken beobachtet und als „C:Documents and SettingsAll usersStart MenuProgramsStartupwinsvclg.exe“ gespeichert wurde, ist:

Name: winsvclg.exe
MD5: a3cbf6179d437909eb532b7319b3dafe
Compiled: Tue Oct 02 13:51:50 2012

Es handelt sich dabei um ein Keylogger-Tool, das %temp%~DFD3O8.tmp erstellt.
Anmerkung: Der Dateiname kann sich je nach Opfer ändern. Auf dem System des Außenministeriums einer zentralasiatischen Regierung lautete der Dateiname „adobe32updt.exe“.

Neben diesen maßgeschneiderten Tools haben wir auch Standard-Administrationstools beobachtet. Beispielsweise luden die Angreifer häufig „winrs.exe“ auf die Rechner der Opfer:

Name: winrs.exe
MD5: 1369fee289fe7798a02cde100a5e91d8

Dabei handelt es sich um eine mit UPX gepackte Binärdatei, die das Originaltool „dnsquery.exe“ von Microsoft enthält, der ungepackte MD5 lautet: c0c03b71684eb0545ef9182f5f9928ca.

In einigen Fällen wurde ein interessantes Update beobachtet – eine Malware von einer anderen, allerdings verwandten Familie.

Size: 275,968 bytes
MD5: e9580b6b13822090db018c320e80865f
Compiled: Thu Nov 08 11:05:35 2012

Ein weiteres Beispiel:

Size: 218,112 bytes
MD5: 071d3b60ebec2095165b6879e41211f2
Compiled: Thu Nov 08 11:04:39 2012

Diese Backdoor ist raffinierter und gehört der nächsten Ebene von Cyberspionage-Tools an, die von den Turla-Angreifern „Carbon System“ oder Cobra genannt wird. Es ist bekannt, dass mehrere Plugins für das „Carbon System“ existieren.

turla
Decodierte Konfiguration für e9580b6b13822090db018c320e80865f

Anmerkung: Die Command-and-Control-Server www.losguayaberos[.]com und thebesttothbrushes[.]com wurden von Kaspersky Lab in ein Sinkhole geleitet.

Andere an die Opfer gelieferte Pakete beinhalten:

MD5: c7617251d523f3bc4189d53df1985ca9
MD5: 0f76ef2e6572befdc2ca1ca2ab15e5a1

Diese Top-Level-Pakete installieren bei bestätigten Opfern sowohl aktualisierte Epic-Backdoors als auch Backdoors desTurla Carbon-System, und verbinden auf diese Weise die Epic-Operation effektiv mit der Turla Carbon-Operation.

Der Turla Carbon-Dropper aus diesen Paketen hat die folgenden Eigenschaften:

MD5: cb1b68d9971c2353c2d6a8119c49b51f

Von den Autoren wird dies intern „Carbon System“als Teil des „Cobra“-Projekts genannt, wie man an dem Debug-Pfad innen erkennen kann:

turla

Dies fungiert als Dropper für die folgenden Module, sowohl für 32 als auch für 64 bit:

MD5 Ressourcen-Nr.
4c1017de62ea4788c7c8058a8f825a2d 101
43e896ede6fe025ee90f7f27c6d376a4 102
e6d1dcc6c2601e592f2b03f35b06fa8f 104
554450c1ecb925693fedbb9e56702646 105
df230db9bddf200b24d8744ad84d80e8 161
91a5594343b47462ebd6266a9c40abbe 162
244505129d96be57134cb00f27d4359c 164
4ae7e6011b550372d2a73ab3b4d67096 165

Seinem Wesen nach ist das Carbon-System eine erweiterbare Plattform, die anderen Angriffs-Plattformen, wie etwa der Tilded-Plattform oder der Flame-Plattform sehr ähnlich ist. Die Plugins für das Carbon-System sind leicht zu erkennen, da sie immer mindestens zwei Exporte aufweisen mit den Bezeichnungen:

  • ModuleStart
  • ModuleStop

turla
Plugin für das Carbon-System mit den charakteristischen Exporten

Mehrere Epic-Backdoors wurden anscheinend entwickelt, um ebenfalls als Carbon-System-Plugins zu fungieren – sie benötigen einen speziellen Loader, um in Opfersystemen zu starten, die das Carbon-System nicht installiert haben.

Einige Module verfügen über Artefakte, die darauf hinweisen, dass es sich bei dem Carbon System bereits um die Version 3.x handelt, obgleich die exakte Version des Carbon Systems nur sehr selten in den Samples zu sehen ist:

turla

Der Autor des oben stehenden Carbon-Moduls wird in dem Code als „gilg“ bezeichnet, und wird auch als Autor verschiedener anderer Turla-Module genannt.

Kaspersky Lab wird das Turla-Carbon-System in einem gesonderten Aufsatz detailliert behandeln.

turla

Sprachartefakte

Die von einem der Mutterschiff-Server rekonstruierte Payload (bei newsforum.servehttp[.]com/wordpress/wp-includes/css/img/upload.php, MD5: 4dc22c1695d1f275c3b6e503a1b171f5, Compiled: Thu Sep 06 14:09:55 2012) enthält zwei Module – einen Loader/Injector und eine Backdoor. Intern wird die Backdoor „Zagruzchick.dll“ genannt:

uroburos_23

Das Wort „Zagruzchick“ ist russisch und bedeutet „Boot-loader“.

Das Kontrollpaneel für die Epic-Mutterschiffe stellt die Sprache ebenfalls auf Codepage „1251“ ein:

uroburos_code_4

Codepage 1251 wird normalerweise verwendet, um kyrillische Zeichen wiederzugeben.

Es gibt noch weitere Hinweise darauf, dass die Angreifer keine englischen Muttersprachler sind:

  • Password it?s wrong!
  • Count successful more MAX
  • File is not exists
  • File is exists for edit

Bei dem Sample e9580b6b13822090db018c320e80865f, das an mehrere Epic-Opfer als upgegradete Backdoor geliefert wurde, hat die Codepage-Sprache die Einstellung „LANG_RUSSIAN“.

turla

Die Kriminellen hinter der „Epic“-Operation verwenden hauptsächlich gehackte Server, um ihre Proxys zu hosten. Die gehackten Server werden unter Verwendung einer PHP-Webshell kontrolliert. Diese Shell ist passwortgeschützt; das Passwort wird mit dem MD5 Hash gegengecheckt:

turla

Der MD5 „af3e8be26c63c4dd066935629cf9bac8“ wurde von Kaspersky Lab als das Passwort „kenpachi“ aufgelöst. Im Februar 2014 beobachteten wir, dass die Angreifer hinter Miniduke denselben Backdoor auf ihren gehackten Servern benutzten, obwohl diese ein sehr viel stärkeres Passwort benutzten.

Und wieder ist es sehr interessant, dass auch hier die Codepage 1251 in der Webshell verwendet wurde, die für die Darstellung kyrillischer Zeichen benutzt wird.

Es scheint mehrere Verbindungen zwischen Turla und Miniduke zu geben, doch dieses Thema werden wir in einem kommenden Blogpost behandeln.

Opferstatistik

Auf einigen der C&C-Server, die in den Epic-Attacken benutzt wurden, konnten wir detaillierte Opferstatistiken identifizieren, die von den Angreifern zu Debugging-Zwecken gespeichert wurden.

Hier die Länder-Verteilung für die 20 am stärksten betroffenen Länder nach IPs der Opfer:

turla

Gemäß den öffentlichen Informationen, die für die Opfer-IPs verfügbar sind, gehören die folgenden Kategorien zu den Zielen der „Epic“-Operation:

  • Regierung
    • Innenministerium (EU-Land)
    • Wirtschafts- und Handelsministerium (EU-Land)
    • Außenministerium (asiatisches Land, EU-Land)
    • Geheimdienste (Mittlerer Osten, EU-Land)
  • Botschaften
  • Militär (EU-Land)
  • Bildung
  • Forschung (Mittlerer Osten)
  • Pharmaunternehmen
  • Unbekannt (unmöglich aufgrund der IP/der existierenden Daten zu bestimmen)

Fazit

Als G-Data seinen Artikel über Turla veröffentlichte, gab es nur wenige Details darüber, wie die Opfer im Rahmen dieser Malware-Kampagne infiziert werden. Unsere Analyse weist darauf hin, dass es sich hierbei um eine ausgefeilte, mehrstufige Infektion handelt, die mit Epic Turla beginnt. Diese Malware wird benutzt, um Fuß zu fassen und das prominente Opfer zu überprüfen. Ist das Opfer interessant, wird auf das Turla-Carbon-System upgegradet.

Zuletzt beobachteten wir diese Attacke gegen einen Nutzer von Kaspersky Lab am 5. August 2014, was bedeutet, dass die Operation aktuell andauert.

Anmerkung: Die vollständige Analyse der Epic-Attacken steht den Abonnenten des Kaspersky Intelligence Services zur Verfügung. Kontakt: intelreports@kaspersky.com

Detektionsnamen der Kaspersky Lab-Produkte für alle Malware-Samples, die in diesem Blogpost beschrieben werden:

Backdoor.Win32.Turla.an
Backdoor.Win32.Turla.ao
Exploit.JS.CVE-2013-2729.a
Exploit.JS.Pdfka.gkx
Exploit.Java.CVE-2012-1723.eh
Exploit.Java.CVE-2012-1723.ou
Exploit.Java.CVE-2012-1723.ov
Exploit.Java.CVE-2012-1723.ow
Exploit.Java.CVE-2012-4681.at
Exploit.Java.CVE-2012-4681.au
Exploit.MSExcel.CVE-2009-3129.u
HEUR:Exploit.Java.CVE-2012-1723.gen
HEUR:Exploit.Java.CVE-2012-4681.gen
HEUR:Exploit.Java.Generic
HEUR:Exploit.Script.Generic
HEUR:Trojan.Script.Generic
HEUR:Trojan.Win32.Epiccosplay.gen
HEUR:Trojan.Win32.Generic
HackTool.Win32.Agent.vhs
HackTool.Win64.Agent.b
Rootkit.Win32.Turla.d
Trojan-Dropper.Win32.Dapato.dwua
Trojan-Dropper.Win32.Demp.rib
Trojan-Dropper.Win32.Injector.jtxs
Trojan-Dropper.Win32.Injector.jtxt
Trojan-Dropper.Win32.Injector.jznj
Trojan-Dropper.Win32.Injector.jznk
Trojan-Dropper.Win32.Injector.khqw
Trojan-Dropper.Win32.Injector.kkkc
Trojan-Dropper.Win32.Turla.b
Trojan-Dropper.Win32.Turla.d
Trojan.HTML.Epiccosplay.a
Trojan.Win32.Agent.iber
Trojan.Win32.Agent.ibgm
Trojan.Win32.Agentb.adzu
Trojan.Win32.Inject.iujx
Trojan.Win32.Nus.g
Trojan.Win32.Nus.h

The technical Appendix (eng)

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.