Hyvä Joohn: Sofacy Groupin maailmanlaajuinen kampanja

Tämä viesti on saatavilla myös osoitteessa: 日本語 (japaniksi)

Kuten edellisessä Cannon-työkalua koskevassa blogissamme viitattiin, Sofacy-ryhmä (AKA Fancy Bear, APT28, APT28, STRONTIUM, Pawn Storm, Sednit) on hyökännyt sinnikkäästi eri valtionhallinnon ja yksityisten organisaatioiden kimppuun eri puolilla maailmaa lokakuun 2018 puolivälistä marraskuun 2018 puoliväliin. Suurin osa kohteista oli Natoon liittyneitä kansallisvaltioita, mutta myös useita entisiä Neuvostoliiton kansallisvaltioita oli kohteena. Hyökkäyksissä käytettiin pääasiassa Zebrocy-työkalun variantteja, joita olemme analysoineet aiemmin. Pienempi osa toimitusasiakirjoista toimitti Cannonin tai ESETin raportoiman Zebrocy Delphi -muunnoksen. Sen jälkeen, kun aloimme seurata Zebrocy-työkalun käyttöä vuoden 2015 puolivälistä lähtien, olemme havainneet, että tämän työkalun käyttöönoton taajuus on kasvanut merkittävästi. Verrattuna muihin Sofacy-ryhmään liitettyihin takaovityökaluihin Zebrocyn käyttö hyökkäyskampanjoissa on paljon yleisempää.

Toimintaryhmä, josta kerromme yksityiskohtaisesti tässä blogissa, pyörii ensisijaisesti yhteisen tekijän nimen ympärillä, jota käytetään jokaisessa toimitusasiakirjassa: Joohn. Ensimmäinen kiinnostava näytteemme oli toimitusasiakirja, jossa käytettiin tiedostonimeä crash list(Lion Air Boeing 737).docx ja joka toimitti Zebrocy-työkalun. Hyödyntämällä AutoFocus-uhkatietoalustamme yhdessä VirusTotalista kerättyjen tietojen kanssa pystyimme metatiedoissa ja käyttäytymisessä havaittujen artefaktien perusteella löytämään Cannon-työkalun sekä useita muita toimitusasiakirjoja, hyötykuormia ja kohteita. Kaikkien näiden hyökkäysten hyökkäysvektori näyttää olevan spear-phishing, jossa käytetään laillisille sähköpostipalveluntarjoajille rekisteröityjä sähköpostitilejä väärennettyjen sähköpostiosoitteiden tai aiemmin vaarannettujen tilien sijaan. Tilien nimet näyttävät visuaalisesti samankaltaisilta kuin laillisten viranomaisorganisaatioiden tai muiden luotettavien kolmansien osapuolten nimet. Toimitusasiakirjat olivat toiminnallisesti kaikki samankaltaisia, ja niissä käytettiin Microsoft Wordin etämallitoimintoa haitallisten makrojen hakemiseen ensimmäisestä vaiheesta C2 ja lopulta alkuperäisen hyötykuorman lataamiseen ja suorittamiseen. Suurin osa toimitusasiakirjoista sisältää geneerisen houkuttelukuvan, jossa uhria pyydetään ottamaan makrot käyttöön ilman lisäsisältöä, ja vastustajat näyttävät luottavan pelkästään houkuttelutiedostojen nimiin houkutellakseen uhrit käynnistämään haitallisen asiakirjan.

Kaiken kaikkiaan sieppasimme yhdeksän aseellistettua asiakirjaa 17. lokakuuta 2018 ja 15. marraskuuta 2018 väliseltä ajalta, jotka kaikki jakoivat saman Joohn-tekijänimen ja toimittivat joko Zebrocy- tai Cannon-muunnoksia. Tietoaineistomme kohdesäde ulottuu neljään maanosaan kattaen valtion virastot liittovaltion tasolla aina paikallishallinnon virastoihin asti. Teimme kerättyjen tietojen avulla myös aikajana-analyysin, jonka avulla saimme selville, miten Sofacy-ryhmä ajoitti hyökkäyksensä Dear Joohn -kampanjassa ja miten se on saattanut laatia hyökkäyksensä automatisoitujen työkalujen avulla.

Hyökkäyksen yksityiskohdat

Alkaen 17. lokakuuta 2018 keräsimme yhteensä yhdeksän lähetysasiakirjaa, jotka lähetettiin lukuisille organisaatioille eri puolilla maailmaa. Kohteisiin kuului Pohjois-Amerikassa sijaitseva ulkoasiainorganisaatio, Euroopassa sijaitsevia ulkoasiainorganisaatioita sekä entisen Neuvostoliiton valtioiden hallintoyksiköitä. Löysimme myös todisteita mahdollisesta kohdentamisesta paikallisiin lainvalvontaviranomaisiin eri puolilla maailmaa, kattaen Pohjois-Amerikan, Australian ja Euroopan. Telemetriamme osoitti myös, että kohteena voivat olla kansalaisjärjestöt, markkinointiyritykset sekä lääketeollisuuden organisaatiot. Kaikki hyökkäykset tehtiin spear-phishing-hyökkäysten avulla käyttäen sähköpostitilejä, jotka oli rekisteröity Tšekin tasavallassa sijaitsevan suositun verkkopalveluntarjoajan Seznamin maksuttomaan sähköpostipalveluun. Esimerkki näkyy kuvassa 1.

Kuva 1 Esimerkki Dear Joohn -hyökkäyksissä toimitetusta spear-phishing-sähköpostiviestistä

Tässä kampanjassa Sofacy-ryhmä näyttäisi tukeutuneen pitkälti tiedostonimiin houkutellessaan uhreja laukaisemaan aseellistettuja asiakirjoja. Tiedostonimet vaihtelivat aiheista, jotka viittasivat Brexitiin, Lion Airin maahansyöksyyn ja viimeaikaisiin raketti-iskuihin Israelissa. Koko luettelo tiedostonimistä, jotka pystyimme keräämään, on taulukossa 1. Vaikka tiedostonimet näyttivät olevan hyvin kohdennettuja ja uhreja koskevia, asiakirjojen varsinainen houkuttelusisältö oli paljon yleisluontoisempaa, kuten kuvassa 2 näkyy.

Kuva 2 Yleinen houkuttelukuva

Marraskuussa 2018 vastustaja vaihtoi taktiikkaa ja alkoi ottaa käyttöön ei-yleisluontoista houkuttelusisältöä aseistetuissa asiakirjoissaan. Keräsimme kolme näytettä, jotka kohdistuivat tuolloin voimakkaasti Natoon liittoutuneisiin kansallisvaltioihin ja joissa käytettiin kolmea erilaista houkutinta, kuten kuvassa 3 näkyy.

Kuva 3 Kohdennettu houkutinsisältö

Yhden asiakirjan kohdalla uhrille esitellään näennäisesti hämärtynyt asiakirja, jossa on Naton EOD-tiiviste ja teksti, jossa viitataan kohteeksi asetettuun kansallisvaltioon. Asiakirjan purkaminen paljasti, että peittämätön kuva oli kuvakaappaus kansilehdestä, joka koski kohteena olevassa kansallisvaltiossa järjestettävää Naton seminaaria. Kahdessa muussa asiakirjassa oli hyvin samankaltaiset houkutukset, joissa kohteelle esitettiin väärennettyä tekstiä ja uhrille annettuja ohjeita siitä, miten asiakirjaa voidaan tarkastella oikein. Mielenkiintoista on, että toinen niistä sisälsi venäjänkieliset ohjeet, mikä saattaa viitata siihen, että kohteena oli venäjänkielinen kansallisvaltio.

Kaikki nämä aseistetut asiakirjat käyttivät hyökkäyksissään samaa taktiikkaa. Kun asiakirja avattiin, siinä hyödynnettiin Microsoft Wordin kykyä hakea etämalli ja ladata sen jälkeen haitallinen makroasiakirja, kuten kuvassa 4 näkyy.

Kuva 4 Microsoft Word yrittää ladata etämallin

Jos C2-palvelin on aktiivinen asiakirjan avaamisen aikaan, se hakee onnistuneesti haitallisen makron ja lataa sen samassa Microsoft Word -istunnossa. Uhri näkee sitten kehotuksen Enable Content (Ota sisältö käyttöön), kuten minkä tahansa haitallisen makroasiakirjan kohdalla, kuten kuvassa 5 näkyy. Jos C2-palvelin ei ole aktiivinen tällä hetkellä, lataus epäonnistuu, eikä uhri saa kehotusta Enable Content (Ota sisältö käyttöön), koska makroa ei ladata.

Kuva 5 Etämalliasiakirja, jossa käyttäjää pyydetään napsauttamaan ”Enable Content” (Ota sisältö käyttöön) makron suorittamiseksi

Klusterointi

Lokakuun ja marraskuun aalloissa käytetyillä lähetysasiakirjoilla oli paljon yhtäläisyyksiä, kuten taulukosta 1 nähdään, minkä ansiosta saimme klusteroitua toiminnan yhteen. Merkittävintä oli, että tekijän nimeä Joohn käytettiin toistuvasti jokaisessa toimitusasiakirjassa. Marraskuun ryhmittelyssä oli pieni poikkeama, sillä kolme keräämäämme näytettä käytti edelleen Joohn-tekijänimeä viimeisin muutos -kentässä, mutta palasi oletusarvoiseen USER/user-tekijänimeen luoja-kentässä.

Taulukko 1 Dear Joohn -hyökkäyskampanjassa nähtyjä jakeluasiakirjoja

Taulukossa 1 esitettyjen jakeluasiakirjojen hakemilla etämallinnusdokumenteilla oli myös yhteinen tekijäinimitys, ja niissä käytettiin merkkijonoa xxx.Taulukossa 2 näkyvät jakeluasiakirjojen tämän hyökkäyskampanjan yhteydessä lataamat etämallinnukset. Tämän raportin taulukoissa ja tekstissä viitataan näytteisiin lyhennetyllä versiolla niiden SHA256-hashista luettavuuden parantamiseksi. Täydelliset hashit ja metatiedot ovat saatavilla CSV-muodossa täällä.

Taulukko 2 Dear Joohn -lähetysasiakirjojen lataamat etämallit

Taulukosta 1 nähdään, että lähetysasiakirjat käyttivät vastaavia etämalleja neljältä C2-palvelimelta, jotka sijaitsivat seuraavissa IP-osoitteissa:

• 185.203.118198
• 145.249.105165
• 188.241.58170
• 109.248.14842

Nämä alkuperäiset C2-IP-osoitteet eivät ainoastaan isännöineet etämalleja, jotka myöhemmin latasivat ensimmäisen vaiheen Zebrocy- tai Cannon-hyötykuormat, vaan IP-osoitteet isännöivät myös itse ensimmäisen vaiheen hyötykuormien C2-palvelinta. Kaikki Dear Joohn -kampanjassa käytetyt C2-osoitteet olivat IP-pohjaisia, eikä infrastruktuurin tutkiminen tuonut esiin merkittäviä päällekkäisyyksiä tai suhteita aiempaan Zebrocy- tai Sofacy-infrastruktuuriin. Dear Joohn -kampanjan visuaalinen esitys on nähtävissä kuvassa 6.

Kuva 6 Artefaktien relaatiokaavio

Loimme toiminnan aikajanan keräämiemme tietojen perusteella ja havaitsimme, että hyökkäyspäivämäärät ryhmittyivät tiiviisti kahteen aaltoon lokakuun puolivälissä ja marraskuun puolivälissä, kuten näemme kuvasta 7 taulukon 3 aikaleimojen avulla.

Taulukko 3 Toimitusasiakirjojen aikaleimat (kaikki kellonajat UTC:ssä)

Kuvio 7 Dear Joohnin aikajana

Käytössämme olevien aikaleimojen perusteella neljä toimitusasiakirjaa luotiin alun perin 11. syyskuuta 2018 klo 04:22 UTC. Näitä neljää muutettiin sitten kaikki samana päivänä ja kellonaikana 13. lokakuuta 2018 08:21. Kolme eri C2-paikkaa, jotka on upotettu näihin toimitusasiakirjoihin, mutta joissa on täsmälleen sama aikaleimaus, voivat viitata automaattisen työkalun käyttöön. Komentorivipohjaisen tunkeutumistestaustyökalupaketin, kuten Phisheryn, käyttäminen voisi mahdollistaa yksinkertaisen skriptauksen, jolla voidaan luoda useita asiakirjoja samaan aikaan eri syötteillä. Tämän jälkeen oli keskimäärin kaksi viikkoa aikaa, ennen kuin näitä asiakirjoja näkyi ensimmäisen kerran luonnossa. Kaikkiaan näiden neljän asiakirjan luomisesta hyökkäykseen kului keskimäärin noin 46 päivää. Dear Joohn -kampanjan hyökkäysten modulaarisen luonteen perusteella pitkä aika alkuperäisestä luomisesta hyökkäykseen voi viitata siihen, että kampanja ei ollut vielä valmis käyttöönotettavaksi, koska etäpohjia, hyötykuormia tai infrastruktuuria oli vielä kehitettävä. Toinen mahdollinen skenaario on, että vastustajalla saattoi olla tietty aika, jonka se halusi hyökkäyksen toteuttamiseen, ja aikajanan perusteella on selvää, että hyökkäyksen kohteena oli kaksi erillistä aikataulua, toinen lokakuun 2018 puolivälissä tai lopussa ja toinen marraskuun 2018 puolivälissä. Kampanjan edetessä Dear Joohn -kampanjan operatiivinen vauhti kiihtyi, ja kokonaisaika asiakirjan luomisesta ensimmäiseen havaitsemiseen laski keskimäärin noin kahteen päivään.

Vertailtaessa toimitettujen toimitusasiakirjojen aikaleimoja taulukossa 2 esitettyjen etäluovutettujen malliasiakirjojen aikaleimoihin havaitsemme, että hyökkäykseen kuluva aika korreloi suoraan siihen, milloin malleja on viimeksi muutettu. Keskimäärin oli 13,8 tunnin ero sen välillä, milloin operaattori on viimeksi koskenut malliasiakirjaan, ja sen välillä, milloin toimitusasiakirja havaitaan ensimmäisen kerran luonnossa. Tämä saa meidät uskomaan, että toimitusasiakirjojen luominen oli todellakin osa lavastuspyrkimystä, jossa ensin luotiin asiakirja alun perin, muutettiin sitä kommunikoimaan C2:n kanssa ja sitten luotiin etäkäytössä oleva malliasiakirja juuri ennen varsinaisen hyökkäyksen käynnistämistä.

Ajoitusleimojen avulla tehty analyysi ei kuitenkaan ole aina vakuuttava. Yksi tutkimistamme asiakirjoista, jonka tiedostonimi oli Rocket attacks on Israel.docx (SHA256: 34bdb5b364..), sisälsi epäjohdonmukaisia luonti- ja viimeisimmän muokkauksen aikaleimoja, ja viimeisimmän muokkauksen aikaleima oli ennen luonti- ja muokkausleimaa. Mahdollinen selitys tälle on se, että asiakirja kopioitiin toiseen järjestelmään, jossa järjestelmäaika oli asetettu väärin, ja tallennettiin sitten väärällä ajalla. Tämä asiakirja oli myös ensimmäinen marraskuun puolivälin klusterissa, jossa käytettiin käyttäjän/USER kirjoittajanimeä Joohnin sijasta, mikä tukee entisestään skenaariota, jonka mukaan asiakirja kopioitiin järjestelmien välillä.

Hyötykuormat

Tämän hyökkäyskampanjan jakeluasiakirjat latasivat etämalleja, joiden makrot asensivat erilaisia ensimmäisen vaiheen hyötykuormia. Cannon-työkalua lukuun ottamatta kaikki ensimmäisen vaiheen työkalut ovat Zebrocy-troijalaisen muunnelmia. Tässä kampanjassa toimitetut Zebrocy-muunnokset oli kirjoitettu useilla eri kielillä, kuten Delphi, C# ja VB.NET. Tiedot tässä hyökkäyksessä toimitetuista ensimmäisen vaiheen hyötykuormista on lueteltu taulukossa 4.

Taulukko 4 Aiheeseen liittyvissä hyökkäyksissä toimitetut hyötykuormat

Tässä hyökkäyskampanjassa toimitettu Zebrocyn Delphi-variantti on hyvin samankaltainen kuin aiemmassa, kesäkuussa 2018 julkaistussa Zebrocy-tutkimuksessamme käsitelty Delphi-lataaja. Vaikka tämä Delphi-variantti tunnettiin, tässä hyökkäyskampanjassa toimitetut C#- ja VB.NET-variantit olivat aiemmin tuntemattomia. Mielenkiintoinen huomio näistä hyötykuormista on, että kaikki tässä kampanjassa toimitetut Delphi-hyötykuormat oli pakattu UPX:llä, kun taas yksikään muista hyötykuormista ei ollut pakattu. Voimme vain arvailla tarkkaa syytä, mutta on todennäköistä, että Sofacy pakkasi vain Delphi-variantit yrittäessään lisätä kiertämistä, sillä Zebrocyn Delphi-variantti tunnetaan ja sitä on analysoitu laajalti.

Keräämällä ja analysoimalla lisää Cannon-näytteitä uskomme löytäneemme myös Delphillä kirjoitetun Cannon-variantin. Olemme nähneet Sofacyn käyttävän useita eri kieliä luodakseen Zebrocy-troijalaisen variantteja, joten vaikuttaa sopivalta, että ryhmä loisi lisää Cannonin variantteja myös useilla eri ohjelmointikielillä.

C# Cannon

Siinä aikana, kun alun perin julkaisemassamme blogissa esittelimme Cannon-työkalun, pystyimme keräämään lisää Cannon-näytteitä saadaksemme paremman ymmärryksen Cannon-troijalaisen alkuperästä. Näyttää siltä, että ensimmäinen tunnettu näyte Cannonista luotiin 18. huhtikuuta 2018, ja sen jälkeen näytteitä on tullut ainakin seitsemän lisää. Taulukossa 5 näkyvät tunnetut Cannon-näytteet, niiden laatimisajankohta ja sen C2-viestintään käytetyt sähköpostitilit.

Taulukko 5 Kerätyt C# Cannon -näytteet

Kuten alkuperäisessä blogissamme mainittiin, C2-viestintänä toiminut toimijan hallitsema sähköpostiosoite oli sahro.bella7post.cz, mutta kaikissa aiemmissa Cannon-näytteissä käytettiin sym777.gpost.cz. Lisäksi kaikki aiemmat Cannon-näytteet käyttivät kae.mezhnosh-tilinimeä vastaanottaakseen sähköposteja toimijalta, kun taas tilien vebek.morozh30, g0r7tsa45s ja marvel.polezha avulla lähetettiin sähköposteja toimijalle.

Kuten raportoimme aiemmassa analyysissämme Cannonista, työkalu kirjautuu sähköpostitilille POP3S:n avulla ja etsii sähköposteja, joilla on tietty tiedostonimi, jonka se tallentaa järjestelmään ja suorittaa. Alkuperäinen analysoimamme näyte etsi liitetiedostoa, jonka tiedostonimi oli auddevc.txt, mutta muut Cannon-näytteet ovat sen sijaan etsineet seuraavia tiedostonimiä:

Delphi Cannon

Etsiessämme lisää Cannon-näytteitä löysimme toisenkin työkalun, joka käytti C2-viestintäänsä sähköposteja. Alkuperäinen päällekkäisyys perustui tiedostonimeen wmssl.exe, jota pidettiin suoritettavan tiedoston nimenä, jonka Cannon siirtäisi wmssl.txt-liitteen asentamaan ja suorittamaan toissijaisen hyötykuorman. Alkuperäinen analyysi osoitti, että kyseessä saattoi olla heikko yhteys, mutta kun keräsimme lisää näytteitä Delphi Cannonista, löysimme lisää yhteyksiä. Taulukossa 6 esitetään keräämämme Delphi Cannon -näytteet, mukaan lukien näyte 215f7c08c2… joka on hyvin samankaltainen kuin ESETin tutkimuksessa käsitelty troijalainen.

Taulukko 6 Kerätyt Delphi Cannon -näytteet

Taulukossa 6 esitetyt kokoamisajat viittaavat siihen, että Cannonin Delphi-variantti on vanhempi kuin alun perin raportoitu versio, sillä ensimmäinen tunnettu Delphi-näyte koottiin tammikuussa 2018 ja ensimmäinen tunnettu Cannon-näyte koottiin huhtikuussa 2018. Cannonin Delphi-versio ei käytä laillisia verkkopohjaisia sähköpostipalveluja C2-viestintäänsä, vaan se käyttää sähköpostitilejä toimijan omistamassa verkkotunnuksessa ambcomissioncom. Tämä toimijan hallitsema verkkotunnus linkittyy laajempaan Sofacy-infrastruktuuriin, kuten ThreatConnect on raportoinut. Vaikka Delphi Cannon käyttää POP3S- ja SMTPS-palveluja C2-viestintäänsä Cannonin tavoin, sitä vastaan on luultavasti helpompi puolustautua, koska se käyttää toimijan omistamaa verkkotunnusta, jonka puolustajat voivat helposti estää, eikä laillista sähköpostipalveluntarjoajaa, kuten Seznamia.

Delphi-muunnoksen vanhin tunnettu näyte (SHA256: 5a02d4e5f6…) tarjosi meille paljon vahvemman yhteyden tämän Delphi Cannonin ja Cannonin välille, sillä tämä näyte kerää järjestelmätietoja ja lähettää ne C2-sähköpostiosoitteeseen, joka sisältää käynnissä olevan prosessin polun liitettynä merkkijonoon Running place. Kuvassa 8 oleva kuvakaappaus Cannon-näytteen inf-metodista (SHA256: 4405cfbf28…) osoittaa kerätyt tiedot, jotka siirretään C2:lle sähköpostitse, erityisesti RunningPlace- ja LogicalDrives-otsikkojonojen avulla:

Kuva 8 Cannonin käyttämä inf-menetelmä

Vertaillessamme kahta Cannon-varianttia löysimme Delphi-Cannon-näytteestä (SHA256: 5a02d4e5f6…) menetelmän, joka osoittaa Running place- ja Logical_Drivers-otsikkojoukkojen käytön keräämäänsä ja C2:lle sähköpostitse lähetettävään järjestelmätietoon. Vaikka ne eivät olekaan täsmälleen samanlaisia, kuvassa 9 näkyvät nämä samankaltaiset otsikkojonot, ja se vahvistaa olettamustamme, että nämä kaksi muunnosta todella liittyvät toisiinsa:

Kuva 9 Delphi Cannonin ja Cannonin samankaltaisuudet

Kuten taulukosta 6 nähdään, yhteen Delphi Cannon-näytteistä (SHA256: cac630c11c..) ei liity yhtään siihen liittyvää sähköpostiosoitetta, koska näytteellä ei näyttäisi olevan C2-toimintoja. Sen sijaan tämä näyte lukee ”tehtäviä” tiedostosta nimeltä ta.bin, johon toisen tuntemattoman työkalun on sitten kirjoitettava ja käsiteltävä C2-toimintoja. On myös mielenkiintoista, että tällä näytteellä on sama resurssinimi (L30), joka sisältää samoja salattuja sähköpostiosoitteita kuin muutkin taulukossa 6 olevat näytteet, jotka käyttävät C2-sähköpostina [email protected] (kuten ecc5805898..), mutta se ei sisällä mitään koodia resurssin käyttämiseen tai sen sisällön purkamiseen.

VB.NET Zebrocy -muunnos

VB.NET-muunnos (SHA256: e5aece694d..) on hyvin samankaltainen kuin muut tunnetut Zebrocy-muunnokset. Se sisältää tallennusmuistin sarjanumeron C2-majakkana käyttämässään URL-osoitteessa, jonka se saa Scripting.FileSystemObject-olion avulla kutsuakseen GetDriveNamea ympäristöön Environment.SpecialFolder.LocalApplicationData tallennetusta polusta. Sen jälkeen se käyttää GetDriveName-toiminnolla saatua tallennustilavuutta ja kutsuu GetDrive-toimintoa saadakseen tallennusvälineen sarjanumeron. Tämän jälkeen VB.NET-variantti kerää järjestelmätiedot ja käynnissä olevat prosessit muiden Zebrocy-varianttien tapaan suorittamalla seuraavat komennot:

systeminfo & tasklist

Järjestelmätietojen, käynnissä olevien prosessien ja kuvakaappauksen lähettämiseen C2-palvelimelle käytettävä URL-osoite on:

hxxp://109.248.14842/agr-enum/progress-inform/cube.php?res=

VB.NET-variantti Zebrocysta käyttää HTTP POST -pyyntöä yllä olevaan URL-osoitteeseen kerättyjen tietojen välittämiseen, joista osa sisältyy HTTP POST -tietoihin, jotka ovat rakenteeltaan seuraavanlaisia (huomaa välilyönnit ennen ja jälkeen amperandia ”&”):

data= & arg=

C# Zebrocy -variantti

Zebrocyn C#-versio on toiminnallisuuksiltaan samankaltainen kuin muutkin variaatiot, mutta sillä on myös useita yksilöllisiä ominaisuuksia, jotka on syytä käsitellä. Muiden Zebrocy-työkalujen tavoin C#-variantti kerää tallennustilavuuden sarjanumeron, jota käytetään C2-palvelimelle lähetettävissä lähtevissä majakoissa. Tässä versiossa työkalu käyttää Windows API:n GetVolumeInformation-funktiota saadakseen C:-aseman sarjanumeron. Tämä Zebrocy-variantti ottaa myös kuvakaappauksen, jonka se lähettää C2-palvelimelle JPEG-muodossa.

Merkittävin muutos tässä Zebrocy-variantissa käytetyn ohjelmointikielen lisäksi on tapa, jolla työkalu kerää järjestelmätiedot ja käynnissä olevat prosessit. Systeminfo- ja tasklist-komentojen sijasta Zebrocyn C#-variantti käyttää WMI-kyselyjä näiden tietojen keräämiseen. Työkalu suorittaa seuraavan luettelon WMI-kyselyistä:

• wmic logicaldisk get Caption, Description,VolumeSerialNumber,Size,FreeSpace
• wmic diskdrive get Model, SerialNumber
• wmic computersystem get Manufacturer, Model, Name, SystemTypec
• wmic os get Caption, OSArchitecture, OSLanguage,SystemDrive,MUILanguages
• wmic process get Caption,ExecutablePath

Järjestelmätietojen, käynnissä olevien prosessien ja kuvakaappauksen lähettämiseen C2-palvelimelle käytettävä URL-osoite on:

hxxp://145.249.105165/resource-store/varastokeskus-palvelu/check.php?fm=

Zebrocyn C#-variantti käyttää HTTP POST -pyyntöä yllä olevaan URL-osoitteeseen välittääkseen kerätyt tiedot, joista osa sisältyy HTTP POST -tietoihin, jotka ovat rakenteeltaan seuraavat:

spp= &spvg=

Johtopäätökset

Sofacy-ryhmä jatkaa hyökkäyksiään organisaatioita vastaan eri puolilla maailmaa samankaltaisia taktiikoita ja tekniikoita käyttäen. Havaitsimme sen toteuttavan hyökkäyksiä spear-phishing-sähköpostiviesteillä loka-marraskuun vaihteessa hyödyntäen usein ajankohtaisia tapahtumia tiedostonimissä houkutellakseen vastaanottajia avaamaan haitalliset liitetiedostot. Ryhmä käyttää näissä hyökkäyksissä selvästi mieluiten Zebrocyn kaltaista yksinkertaista latausohjelmaa ensimmäisen vaiheen hyötykuormana. Ryhmä jatkaa Zebrocyn uusien muunnelmien kehittämistä lisäämällä VB.NET- ja C#-versiot, ja vaikuttaa siltä, että se on käyttänyt myös Cannon-työkalun eri muunnelmia aiemmissa hyökkäyskampanjoissa.

Palo Alto Networksin asiakkaita suojaavat tässä blogissa käsitellyt hyökkäykset:

• Kaikki käsitellyt toimitusasiakirjat ja hyötykuormat on havaittu WildFiressä haitallisilla tuomioilla
• Traps estää makroilla kuormitetut asiakirjat merkinnällä Epäilyttävä makro havaittu
• C2-URL-osoitteet on luokiteltu komento- ja valvontatoiminnoiksi
• AutoFocus-asiakkaat voivat saada lisätietoja Zebrocy- ja Cannon-tunnisteiden avulla

Indicators of Compromise

Delivery Hashes

2cfc4b3686511f959f14889d26d3d9a0d06e27ee2bb54c9afb1ada6b8205c55f

c20e5d56b35992fe74e92aebb09c40a9ec4f3d9b3c2a01efbe761fa7921dd97f

abfc14f7f708f662046bfcad81a719c71a35a8dc5aa111407c2c93496e52db74

40318f3593bca859673827b88d65c5d2f0d80a76948be936a60bda67dff27be9

5749eb9d7b8afa278be24a4db66f122aeb323eaa73a9c9e52d77ac3952da5e7d

af77e845f1b0a3ae32cb5cfa53ff22cc9dae883f05200e18ad8e10d7a8106392

34bdb5b364358a07f598da4d26b30bac37e139a7dc2b9914debb3a16311f3ded

79bd5f34867229176869572a027bd601bd8c0bc3f56d37443d403a6d1819a7e5

77ff53211bd994293400cb3f93e3d3df6754d8d477cb76f52221704adebad83a

Remote Template Hashes

f1e2bceae81ccd54777f7862c616f22b581b47e0dda5cb02d0a722168ef194a5

86bb3b00bcd4878b081e4e4f126bba321b81a17e544d54377a0f590f95209e46

2da5a388b891e42df4ed62cffbc167db2021e2441e6075d651ecc1d0ffd32ec8

0d7b945b9c912d205974f44e3742c696b5038c2120ed4775710ed6d51fbc58ef

fc69fb278e12fc7f9c49a020eff9f84c58b71e680a9e18f78d4e6540693f557d

ed8f52cdfc5f4c4be95a6b2e935661e00b50324bee5fe8974599743ccfd8daba

b9f3af84a69cd39e2e10a86207f8612dd2839873c5839af533ffbc45fc56f809

Remote Template URLs

hxxp://188.241.58170/live/owa/office.dotm

hxxp://185.203.118198/documents/Note_template.dotm

hxxp://185.203.118198/documents/Note_template.dotm

hxxp://145.249.105165/doc/temp/release.dotm

hxxp://145.249.105165/messages/content/message_template.dotm

hxxp://188.241.58170/version/in/documents.dotm

hxxp://109.248.14842/officeDocument/2006/relationships/templates.dotm

hxxp://109.248.14842/office/thememl/2012/main/attachedTemplate.dotm

hxxp://109.248.14842/office/thememl/2012/main/attachedTemplate.dotm

Zebrocy Hashes

5173721f3054b92e6c0ff2a6a80e4741aa3639bc1906d8b615c3b014a7a1a8d7

61a1f3b4fb4dbd2877c91e81db4b1af8395547eab199bf920e9dd11a1127221e

6ad3eb8b5622145a70bec67b3d14868a1c13864864afd651fe70689c95b1399a

9a0f00469d67bdb60f542fabb42e8d3a90c214b82f021ac6719c7f30e69ff0b9

b41480d685a961ed033b932d9c363c2a08ad60af1d2b46d4f78b5469dc5d58e3

c91843a69dcf3fdad0dac1b2f0139d1bb072787a1cfcf7b6e34a96bc3c081d65

e5aece694d740ebcb107921e890cccccc5d7e8f42471f1c4ce108ecb5170ea1e92

Zebrocy C2 URL:t

hxxp://188.241.58170/local/s3/filters.php

hxxp://185.203.118198/en_action_device/center_correct_customer/drivers-i7-x86.php

hxxp://145.249.105165/resource-store/varastokeskus-keskuspalvelu/check.php

hxxp://109.248.14842/agr-enum/progress-inform/cube.php

Cannon Hashes

861b6bc1f9869017c48930af5848930dd037fb70fc506d8a7e43e1a0dbd1e8cb

4405cfbf28e0dfafa9ea292e494f385592383d2476a9c49d12596b8d22a63c47

174effcdeec0b84c67d7dc23351418f6fa4825550d595344214cc746f1a01c1a

a23261e2b693750a7009569df96ec4cf61e57acc9424c98d6fe1087ff8c659ce

651d5aab82e53711563ce074c047cbaa0703931673fa3ad20933d6a63c5c3b12

68df0f924ce79765573156eabffee3a7bb0fa972d2b67d12dd91dea3ec255d24

61a1f3b4fb4dbd2877c91e81db4b1af8395547eab199bf920e9dd11a1127221e

5a02d4e5f6d6a89ad41554295114506540f0876e7288464e4a70c9ba51d24f12

d06be83a408f4796616b1c446e3637009d7691c131d121eb165c55bdd5ba50b4

78adc8e5e4e86146317420fa3b2274c9805f6942c9973963467479cb1bbd4ead

054c5aa73d6b6d293170785a82453446429c0efc742df75979b760682ac3026b

cac630c11c4bf6363c067fbf7741eae0ec70238d9c5e60d41f3ed8f65b56c1d1

ecc5805898e037c2ef9bc52ea6c6e59b537984f84c3d680c8436c6a38bdecdf4

215f7c08c2e3ef5835c7ebc9a329b04b8d5215773b7ebfc9fd755d93451ce1ae

Cannon Related Emails

sym777.gpost.cz

kae.mezhnoshpost.cz

vebek.morozh30post.cz

g0r7tsa45spost.cz

marvel.polezhapost.cz

sahro.bella7post.cz

trala.cosh2post.cz

Bishtr.cam47post.cz

Lobrek.chizhpost.cz

Cervot.woprovpost.cz

heatlth500ambcomissioncom

trash023ambcomissioncom

trasler22ambcomissioncom

rishit333ambcomissioncom

tomasso25ambcomissioncom

kevin30ambcomissioncom