PortDoor – Neue chinesische APT-Backdoor-Attacke

Neue Backdoor-Attacke einer chinesischen APT-Gruppierung zielt auf russischen Verteidigungssektor

Inhaltsverzeichnis

Das Cybereason Nocturnus Team

Das Cybereason Nocturnus Team hat die jüngsten Entwicklungen des RoyalRoad Tool, auch bekannt als 8.t Dropper/RTF Exploit Builder, verfolgt. Im Laufe der Jahre hat sich dieses Tool zu einem Teil des Arsenals verschiedener chinesischer Bedrohungsakteure wie Tick, Tonto Team und TA428 entwickelt, welche RoyalRoad regelmäßig für gezielte Spear-Phishing Angriffe auf hochrangige Ziele einsetzen.

Bei der Analyse neu entdeckter RoyalRoad-Samples, die in freier Wildbahn beobachtet wurden, entdeckte das Nocturnus-Team eines, das nicht nur anomale Merkmale aufweist, sondern auch PortDoor-Malware liefert, eine bisher nicht dokumentierte Backdoor, die von einem Bedrohungsakteur entwickelt wurde, der wahrscheinlich im Auftrag chinesischer staatlicher Interessen arbeitet.

Laut dem untersuchten Inhalt des Phishing-Köders war das Ziel des Angriffs ein Generaldirektor des Rubin Design Bureau, einem in Russland ansässigen Rüstungsunternehmen, das Atom-U-Boote für die russische Marine entwickelt.

Du hast einen Sicherheitsvorfall?
Vertraue bei Auffälligkeiten unseren zertifizierten IT Forensikern.
Jetzt Anfragen

Key Findings

RoyalRoad-Varianten sind in der Entwicklung: Die untersuchte Variante des RoyalRoad-Systems ändert ihren verschlüsselten Payload von der bekannten Datei “8.t” auf einen neuen Dateinamen: “e.o”. Weitere neue Varianten befinden sich wahrscheinlich ebenfalls in der Entwicklung.

Bislang nicht dokumentierte Backdoors: Die neu entdeckte RTF-Variante von RoyalRoad enthält eine getarnte Backdoor namens PortDoor, die auf Verschleierung und Persistenz ausgelegt ist.

Angriffsziele: Der Bedrohungsakteur hat es speziell auf das Rubin Design Bureau abgesehen, einen Teil des russischen Verteidigungssektors, der U-Boote für die Marine der Russischen Föderation entwickelt.

Umfangreiche Malware-Funktionen: PortDoor verfügt über mehrere Funktionalitäten, darunter die Fähigkeit zur Aufklärung, Profilerstellung, nachladen zusätzlicher Payloads, Privilegienerweiterung, Prozessmanipulation, statische Erkennung, Antiviren-Umgehung, One-Byte-XOR-Verschlüsselung, Offenlegung von AES-verschlüsselten Daten und mehr.

Die APT-Gruppe operiert im Auftrag chinesischer Staatsinteressen: Die gesammelten Beweise wie der Angriffsvektor, der Art des Social-Engineerings die Verwendung von RoyalRoad gegen ähnliche Ziele und andere Gemeinsamkeiten zwischen dem neu entdeckten Backdoor-Beispielen und anderer bekannter chinesischer APT-Malware weisen alle auf einen Bedrohungsakteur hin, der im Auftrag chinesischer staatlicher Interessen operiert.

Analyse des Spear-Phishing-Angriffs

Einführung in Royalroad

RoyalRoad ist ein Tool, das RTF-Dokumente generiert, welche die folgenden Sicherheitslücken in Microsofts Equation Editor ausnutzen: CVE-2017-11882, CVE-2018-0798 und CVE-2018-0802. RoyalRoad wird hauptsächlich von Bedrohungsakteuren verwendet, von denen angenommen wird, dass sie im Auftrag chinesischer Staatsinteressen operieren (z. B. Tick, Tonto Team, TA428, Goblin Panda, Rancor).

RoyalRoad weist recht einheitliche Merkmale auf, und die meisten der bewaffneten RTF-Dokumente lassen in der Regel eine verschlüsselte Datei namens “8.t” fallen, die – einmal entschlüsselt – eine Vielzahl von Payloads für verschiedene Bedrohungsakteure liefern kann.

In diesem Bericht wird eine Abweichung von den “klassischen” RoyalRoad-Merkmalen diskutiert. Der Name des abgelegten Objekts wurde von der sehr konsistenten Namenskonvention “8.t” auf den neuen Dateinamen “e.o” geändert.

Spear-Phishing E-Mail liefert RoyalRoad RTF

Der anfängliche Angriffsvektor ist eine Spear-Phishing E-Mail, die an den “…Generaldirektor Igor Vladimirovich” im Rubin Design Bureau adressiert ist, einem U-Boot-Forschungszentrum des “Gidropribor”-Konzerns in St. Petersburg, das Unterwasserwaffen wie U-Boote entwirft:
RoyalRoad
Bei dem E-Mail-Anhang handelt es sich um ein Malware infiziertes RTF-Dokument, das mit einem RoyalRoad Payload versehen wurde und dessen Inhalt eine allgemeine Ansicht eines autonomen Unterwasserfahrzeugs beschreibt:
RoyalRoad1
Der Erstellungszeitpunkt der RTF ist auf das Jahr 2007 verschoben, vermutlich um Ermittlungs- oder Entdeckungsbemühungen zu vereiteln. Zeitverschiebung ist eine bekannte Technik, die von Bedrohungsakteuren verwendet wird, um zu versuchen, unter dem Radar zu bleiben:
History

Sobald das RTF-Dokument geöffnet und ausgeführt wurde, wird eine Microsoft Word-Add-In-Datei im Microsoft Word-Startordner abgelegt. Diese Technik wird verwendet, um die Erkennung der automatischen Ausführung zu umgehen. Word muss dann neu gestartet werden, um die Add-In-Datei auszulösen, wodurch sie weniger auffällt.

Im Gegensatz zum üblichen Dateinamen “8.t”, der bei den meisten RoyalRoad-Payloads beobachtet wird, verwendet diese neue RoyalRoad-Variante die Namenskonvention “e.o” für die temporäre Datei-Nutzlast, die schließlich als “winlog.wll” in den MS Word-Startordner geschrieben wird:

portdoor11
Die Ausführung der RTF-Datei und abgelegte Dateien auf der Festplatte
Detail_portdoor

Cybereason-Erkennung der PortDoor-Backdoor

Portdoor Backdoor Analyse

Bei dem Payload mit dem Namen “winlog.wll” handelt es sich um eine bisher nicht dokumentierte Backdoor. Zu ihren Hauptfunktionen gehören:

  • Sammeln von Informationen und Erstellen von Profilen auf dem Rechner des Opfers
  • Empfangen von Befehlen und Herunterladen zusätzlicher Payloads vom C&C-Server
  • Kommunikation mit dem C&C-Server über Raw-Socket sowie HTTP über Port 443 mit Unterstützung für Proxy-Authentifizierung,
  • Privilegienerweiterung und Prozessmanipulation,
  • Dynamische API-Auflösung zur Umgehung der statischen Erkennung
  • Ein-Byte-XOR-Verschlüsselung von sensiblen Daten und Konfigurationsstrings
  • Die gesammelten Informationen werden AES-verschlüsselt, bevor sie an den C&C-Server gesendet werden

Detaillierte Analyse

Die DLL selbst hat mehrere Exportfunktionen, die von DllEntry00 bis DllEntry33 reichen. Die meisten dieser Exporte geben lediglich Sleep-Loops zurück, eine wahrscheinliche Anti-Analyse-Maßnahme. Die Hauptfunktionalität befindet sich in den DllEntry28 und DllEntry18:

DLL-exporte
DLL-Exporte der PortDoor-Backdoor

Um an die Konfigurationsinformationen zu gelangen, entschlüsselt die Backdoor zunächst die Zeichenketten mit einem hartcodierten 0xfe-XOR-Schlüssel:

Zeichenketten
Entschlüsselungsroutine für Zeichenketten
Die entschlüsselten Daten enthalten die folgenden Konfigurationsinformationen:
Speicher
Die entschlüsselten Zeichenketten im Speicher
Decrypted string
Purpose
45.63.27[.]162
C&C address
Kr*^j4
N/A
B-JDUN
Victim identifier
58097616.tmp
Data file name written to %temp%
0987654321fedcba
AES-CBC key
Während der Analyse war die Kommunikation mit dem C&C nicht erfolgreich so dass einige Informationen der Analyse unvollständig sind. Im Anschluss an die Debugger-Präsenzprüfung und die String-Entschlüsselung erstellt die Malware eine zusätzliche Datei in %temp% mit dem hartcodierten Namen “58097616.tmp” und schreibt den GetTickCount-Wert multipliziert mit einer Zufallszahl in diese Datei:
geschrieben

Dies kann als zusätzliche Kennung für das Ziel und auch als Platzhalter für das bisherige Verifizierung dieser Malware verwendet werden.

Die Malware versucht dann, eine Verbindung mit dem C&C aufzubauen, der die Übertragung von Daten mit TCP über Raw Sockets oder HTTPS mit der CONNECT-Methode unterstützt. Darüber hinaus scheint die Backdoor proxy-fähig zu sein und unterscheidet zwischen zwei HTTP-Antworttypen: “200”-Antwort und “407” (Proxy-Authentifizierung erforderlich):

HTTP-Header
Hardcodierte HTTP-Header mit Proxy-Unterstützung

PortDoor hat auch die Fähigkeit Privilegien zu erreichen, indem es die Access Token Theft-Technik anwendet, um explorer.exe-Token zu stehlen und auszuführen.

Proxy-Unterstützung
Access Token Theft von explorer.exe
Schließlich wartet die Malware auf weitere Anweisungen vom C&C, um ihre Ausführung fortzusetzen. Dies geschieht über den folgenden Switch-Case:
Einige der im Switch-Case implementierten Methoden
Zum Beispiel sammelt der get_pc_info()-Fall grundlegende PC-Informationen, die an den C&C gesendet werden, wobei die Zeichenfolge “B-JDUN” höchstwahrscheinlich als eindeutige Kennung für die Kampagne/das Opfer verwendet wird:
infizierten
Die gesammelten Informationen über den infizierten PC

Bevor die Informationen an den C&C-Server gesendet werden, verwendet die Backdoor AES, um die gestohlenen PC-Informationsdaten zu verschlüsseln:

AES-verschlüsselte
AES-verschlüsselte Informationen, die auf dem PC gesammelt wurden
Die Hauptfunktionalität des C&C-Befehls der Backdoor ist in der folgenden Tabelle zusammengefasst:
ase
Action
0x08
Get PC info, concat with the “B-JDUN” identifier
0x30
List running processes
0x31
Open process
0x41
Get free space in logical drives
0x42
Files enumeration
0x43
Delete file
0x44
Move file
0x45
Move file
0x28
Open file for simultaneous operations
0x29
Write to file
0x2a
Close handle

0x2b

Open file and write directly to disk
0x01
Look for the “Kr*^j4” string
0x10
Create pipe, copy data from it and AES encrypt
0x11
Write data to file, append with “\n”
0x12
Write data to file, append with “\n”

Eine weitere Anti-Analyse-Technik, die von der PortDoor-Backdoor verwendet wird, ist die dynamische API-Auflösung. Die Backdoor ist in der Lage, die meisten ihrer Hauptfunktionen zu verbergen und die statische Erkennung verdächtiger API-Aufrufe zu vermeiden, indem sie ihre API-Aufrufe dynamisch auflöst, anstatt statische Importe zu verwenden:

Auflösung
Dynamische API-Auflösung
Die Ausführung der PortDoor Backdoor DLL wird von der Cybereason Defense Platform erkannt:
portdoor
PortDoor Backdoor DLL wie von Cybereason erkannt

Die Zuordnung

Zum Zeitpunkt dieser Analyse wurden noch nicht genügend Informationen gesammelt, um die neu entdeckte Backdoor mit 100% Sicherheit einer bekannten Gruppe zuzuordnen. Es gibt jedoch einige bekannte chinesische APT-Gruppen, die Ähnlich wie die Angreifer agieren.

Basierend auf früheren Arbeiten von nao_sec konnte das Nocturnus-Team feststellen, dass die in diesem Blog besprochene RTF-Datei mit dem RoyalRoad v7, eine Header-Kodierung “b0747746” besitzt. Diese wurde zuvor im Zusammenhang mit dem Tonto Team, TA428 und Rancor beobachtet:

Gutschrift
RoyalRoad-Attributionsmatrix. Gutschrift: nao_sec

Sowohl das Tonto-Team als auch TA428 wurden in der Vergangenheit bei Angriffen auf russische Organisationen beobachtet, insbesondere bei Angriffen auf Ziele in den Bereichen Forschung und Verteidigung. Beispielsweise wurde bereits berichtet, dass das Tonto Team in der Vergangenheit russische Organisationen mit der Bisonal-Malware angegriffen hat.

Beim Vergleich der Spear-Phishing-E-Mails und schadhaften Dokumente in diesen Angriffen mit zuvor untersuchten Phishing-E-Mails und Köderdokumente, die vom Tonto-Team für Angriffe auf russische Organisationen verwendet wurden, gibt es gewisse Ähnlichkeiten im sprachlichen und visuellen Stil, den die Angreifer in den Phishing-E-Mails und Dokumenten verwenden.

Die neu entdeckte Backdoor scheint keine signifikanten Code-Ähnlichkeiten mit bereits bekannter Malware aufzuweisen, die von den oben genannten Gruppen verwendet wird. Abgesehen von anekdotischen Ähnlichkeiten, die bei Backdoors durchaus üblich sind, was uns zu dem Schluss führt, dass es sich nicht um eine Variante einer bekannten Malware handelt, sondern tatsächlich um neuartige Malware, die erst kürzlich entwickelt wurde.

Schließlich sind wir uns auch bewusst, dass andere bekannte oder noch unbekannte Gruppen hinter dem Angriff und der Entwicklung der PortDoor-Backdoor stecken könnten. Wir hoffen, dass im Laufe der Zeit und mit mehr gesammelten Beweisen die Zuordnung konkreter werden kann.

Fazit

RoyalRoad war in den letzten Jahren eine der am häufigsten verwendeten RTF-Angriffe im Umfeld chinesischer Bedrohungsakteure. RoyalRoad wird meist in der anfänglichen Kompromittierungsphase gezielter Angriffe beobachtet, in der die Opfer durch Spearphishing dazu verleitet werden, Dokumente zu öffnen, die wiederum Schwachstellen im Microsoft Equation Editor ausnutzen, um verschiedene Malware zu installieren.

In diesem Bericht haben wir die jüngsten Änderungen am RoyalRoad System besprochen, die von einigen seiner gut dokumentierten und vorhersehbaren Indikatoren abweichen. Dies ist möglicherweise ein Hinweis darauf, dass die Bedrohungsakteure, die ihn einsetzen, versuchen, “low hanging fruits” zu vermeiden.
Darüber hinaus berichteten wir über die Entdeckung der neuartigen PortDoor-Backdoor, einem bisher nicht dokumentierten und getarnten Tool, das den Angreifern Zugang zu den Rechnern ihrer Ziele gewährt, um Informationen zu sammeln und zusätzliche Payloads zu installieren.

Zum Zeitpunkt der Erstellung dieses Berichts ist noch unklar, welcher Bedrohungsakteure hinter der neuen Backdoor stecken, wir haben jedoch zwei potenzielle Verdächtige identifiziert, auf die das Profil passt. Derzeit sind nicht genügend Informationen verfügbar, um die genannte Hypothese mit hoher Sicherheit zu beweisen.