Tim lovaca na pretnje iz Symanteca, divizije Broadcoma, otkrio je novu špijunsku kampanju koju sprovodi Palmerworm grupa (poznata i pod imenom BlackTech) koja koristi potpuno novi paket prilagođenog malvera i cilja organizacije u Japanu, na Tajvanu, u SAD i Kini.
Napadi su se dogodili 2019. godine, a nastavili su se i u 2020. godini, ciljajući organizacije u sektorima medija, građevinarstva, inženjeringa, elektronike i finansija. Primetili smo da je grupa koristila prethodno nepoznat malver u tim napadima.
U ovoj kampanji, Palmerworm koristi kombinaciju prilagođenog malvera, alata s dvostrukom namenom i living off the land taktiku (taktika u kojoj napadači koriste softver i alate koji već postoje u okruženju žrtve). Palmerworm grupa je aktivna barem od 2013., dok je prva aktivnost u ovoj kampanji zabeležena avgusta 2019. godine.
Taktika, alatke i procedure
Primećeno je da Palmerworm u ovim napadima koristi kako alate s dvostrukom namenom, tako i prilagođeni malver.
Među porodicama prilagođenog malvera koje smo videli da koriste, našli su se:
•Backdoor.Consock
•Backdoor.Waship
•Backdoor.Dalwit
•Backdoor.Nomri
Nije primećeno da je grupa koristila ove malver porodice u prethodnim napadima – moguće je da su to novorazvijeni alati, ili evolucija starijih Palmerworm alata. Malver koji je Palmerworm koristio u prošlosti uključivao je:
•Backdoor.Kivars
•Backdoor.Pled
Prilagođeni malver koji je grupa koristila u ovoj kampanji nije poznat od ranije, ali drugi elementi napada imaju sličnosti sa prošlim Palmerworm kampanjama, što nas dovodi do zaključka da ista grupa sprovodi ovu kampanju.
Pored četiri pomenuta backdoora, takođe smo primetili da grupa koristi prilagođeni loading alat i alat za izviđanje mreže, koje Symantec detektuje kao trojanca i Hacktool. Grupa je takođe koristila nekoliko alata dvostruke namene, uključujući:
•Putty – može se koristiti za daljinsko pristupanje, kako bi se izvukli podaci i poslali napadačima
•PSExec – legitiman Microsoftov alat koji napadači mogu da zloupotrebe za bočno kretanje kroz mrežu žrtve
•SNScan – ovaj alat se može koristiti za izviđanje mreže, za pronalaženje drugih potencijalnih meta na mrežama žrtave
•WinRAR – alatka za arhiviranje koja se može koristiti za komprimovanje datoteka (potencijalno radi lakšeg slanja nazad napadačima) kao i za izdvajanje datoteka iz zipovanih foldera.
Sve ove alate sa dvostrukom namenom često eksploatišu maliciozni akteri poput Palmerworma, a primećeno je i to da APT grupe (Advanced Persistent Threat – napredne perzistentne pretnje), poslednjih godina sve više koriste living off the land taktiku uz korišćenje alata sa dvostrukom namenom. Ovi alati obezbeđuju napadačima dobar stepen pristupa sistemima žrtava bez potrebe da kreiraju komplikovani prilagođeni malver koji se lakše može povezati s određenom grupom.
U ovoj kampanji, Palmerworm takođe koristi ukradene sertifikate za potpisivanje kôda kojim potpisuju svoj payload, što čini da payload izgleda legitimnije, a samim tim i da ga bezbednosni softver teže otkriva. Od ranije je poznato javnosti da je Palmerworm koristio ukradene sertifikate za potpisivanje kôda u prethodnim napadačkim kampanjama.
Nismo utvrdili koji je vektor infekcije Palmerworm koristio za dobijanje inicijalnog pristupa mrežama žrtava u ovoj kampanji, ali znamo da je u prošlosti grupa koristila ciljane, “spear-phishing” imejlove kako bi obezbedila pristup mrežama žrtava.
Žrtve
Symantec je identifikovao više žrtava u ovoj kampanji, u brojnim industrijama, uključujući medije, građevinarstvo, inženjering, elektroniku i finansije. Sve medijske, elektronske i finansijske kompanije bile su stacionirane na Tajvanu, sedište inženjerske kompanije bilo je u Japanu, a građevinska kompanija u Kini. Očigledno je da Palmerworm ima veliko interesovanje za kompanije u ovom regionu istočne Azije.
Takođe smo posmatrali aktivnosti Palmerworm grupe u SAD, međutim, nismo uspeli da identifikujemo sektor kompanija koje su bile na meti.
Aktivnosti Palmerworma prvi put su primećene u avgustu 2019. godine, kada je aktivnost uočena na mreži tajvanske medijske kompanije i građevinske kompanije u Kini. Grupa je ostala aktivna na mreži te medijske kuće godinu dana, a aktivnost na nekim mašinama u toj zemlji nedavno je zabeležena u avgustu 2020. godine.
Palmerworm je takođe nekoliko meseci bio prisutan na mrežama građevinske i finansijske kompanije. Međutim, grupa je provela samo nekoliko dana na mreži japanske inženjerske kompanije u septembru 2019. godine, a nekoliko nedelja na mreži jedne kompanije za elektroniku u martu 2020. godine. Provela je oko šest meseci na jednoj od američkih mašina na kojima smo posmatrali aktivnost.
Finansije, mediji i građevinska industrija, čini se, predstavljaju sektore od najvećeg interesa za Palmerworm u ovoj kampanji. Ranije je bilo prijava Palmerworm napada na medijski sektor.
Šta napadači žele?
Iako se ne može videti šta je Palmerworm izvukao od ovih žrtava, smatra se da se radi o špijunskoj grupi i najverovatnije joj je motiv krađa informacija od ciljanih kompanija.
Kako da znamo da je ovo Palmerworm?
Iako prilagođeni malver koji je korišćen u ovom napadu nije malver koji je Palmerworm ranije koristio, neke od uzoraka identifikovanih u ovom istraživanju drugi vendori detektuju kao PLEAD, a to je poznata Palmerworm (Blacktech) porodica malvera. Takođe smo otkrili i korišćenje infrastrukture koja je ranije pripisivana Palmerwormu.
Korišćenje alata dvostruke namene od strane grupe takođe je viđeno u prethodnim kampanjama u kojima je Palmerworm identifikovan kao akter, dok je lokacija njenih žrtava takođe tipična za geografsku regiju koju je Palmerworma ciljao tokom pređašnjih kampanja. Upotreba ukradenih sertifikata za potpisivanje kôda takođe je primećena u prethodnim napadima Palmerworma. Svi ovi faktori jasno govore da ovu aktivnost možemo pripisati Palmerwormu.
Symantec ne pripisuje Palmerwormovu aktivnost bilo kojoj specifičnoj geografskoj regiji, međutim tajvanski zvaničnici su javno izjavili da veruju da Blacktech, koji mi vodimo pod imenom Palmerworm, ima podršku kineske vlade.
Zaključak
APT grupe su i dalje veoma aktivne u 2020. godini, a upotreba alata dvostruke namene i „living off the land“ taktike čini sve težim otkrivanje njihove aktivnosti. To naglašava potrebu za sveobuhvatnim bezbednosnim rešenjem koje je sposobno da otkrije ovu vrstu aktivnosti.
Zaštita
Trenutno su dostupne sledeće mere zaštite za klijenata od Palmerworm aktivnosti:
•Backdoor.Consock
•Backdoor.Waship
•Backdoor.Dalwit
•Backdoor.Nomri
•Backdoor.Kivars
•Backdoor.Pled
•Hacktool (alat za hakovanje)
•Trojan Horse (Trojanski konj)
Tim lovaca na pretnje čini grupa stručnjaka za bezbednost unutar Symanteca čija je misija da istražuju ciljane napade, doprinesu unapređenju zaštite u Symantec proizvodima i prezentuju analize koje pomažu klijentima da adekvatno odgovore na napade.