S blížícím se koncem roku je čas na bilancování nejen v osobním životě, ale i v oblasti kybernetické bezpečnosti. Tento rok byl bohatý na incidenty, nové techniky, útočníky i odhalení. V posledním předvánočním čísle našeho blogu se zaměříme na dvě významná témata. Prvním je aktivita ruského aktéra Turly, který nadále využívá opakující praxi převzetí infrastruktury jiných útočníkům, čímž zvyšuje efektivitu a komplikuje detekci. Druhým tématem jsou sofistifikované spyware kampaně zaměřené na Android zařízení, které nasazují ruští i čínští útočníci, a které ukazují, jak mohou být citlivá data uživatelů na mobilních platformách zneužita.
Ať je váš rok 2025 bezpečný a klidný – nejen doma, ale i v kyberprostoru.
Tým Cybule
Obsah:
- Turla využívá infrastrukturu pakistánského Transparent Tribe a opakuje tak svou historicky zavedenou praxi s převzetí infrastruktury jiných útočníků
- Nové spywary Gamaredonu BoneSpy a PlainGnome cílí na uživatele Androidu
- Čínské úřady používají spyware EagleMsgSpy ke sledování obyvatel
Turla využívá infrastrukturu pakistánského Transparent Tribe a opakuje tak svou historicky zavedenou praxi s převzetí infrastruktury jiných útočníků
(04.12.2024, Microsoft)
Ruský státní aktér známý jako Secret Blizzard (aka Turla, Waterbug, Venomous Bear, Snake) v posledních sedmi letech opakovaně využíval nástroje a infrastrukturu nejméně šesti dalších skupin, včetně státem podporovaných aktérů a kyberzločineckých organizací. Kromě toho se zaměřil na kompromitovanou infrastrukturu, kde jiní útočníci již provedli exfiltraci dat, aby tyto informace využil pro své špionážní účely. Jeho cílem jsou především vládní instituce, ministerstva zahraničních věcí, obrany, velvyslanectví a společnosti působící v obranném průmyslu, přičemž k špionáži používá široké spektrum prostředků, jako jsou backdoory s peer-to-peer funkcemi a C2 servery. Během útoků skupina shromažďuje dokumenty, soubory PDF a e-maily, přičemž se zaměřuje na informace politického významu a pokročilý výzkum s potenciálním dopadem na mezinárodní politiku. Z veřejně známých kampaní Secret Blizzard například v roce 2017 přistoupil k infrastruktuře íránského státem podporovaného útočníka Hazel Sandstorm (také OilRig, APT-34), v roce 2022 použil malware Andromeda k nasazení backdoorů KopiLuwak a QuietCanary a rovněž zneužil infrastrukturu kazašského aktéra Storm-0473 (Tomiris). Společnost Microsoft Threat Intelligence ve spolupráci s Black Lotus Labs identifikovala C2 provoz pocházející z infrastruktury Storm-0156, která byla rovněž využita pro sběr dat z kampaní v Afghánistánu a Indii. Tento sofistikovaný přístup ukazuje schopnost Secret Blizzard přizpůsobovat se různým operačním prostředím a efektivně využívat cizí kompromitace pro vlastní špionážní cíle.
Co potřebujete vědět:
- Od listopadu 2022 zaznamenal Microsoft Threat Intelligence kompromitaci C2 infrastruktury špionážní skupiny se sídlem v Pákistánu, kterou sledujeme jako Storm-0156. Secret Blizzard použil backdoor Storm-0156 k nasazení vlastních backdoorů do kompromitovaných zařízení. Kromě toho byly nástroje skupiny Secret Blizzard nasazeny na virtuální privátní servery (VPS), na kterých jsou uložena exfiltrovaná data skupiny Storm-0156. Zatím není známo, jak přesně Secret Blizzard infiltruje infrastrukturu Storm-0156. V některých případech Storm-0156 používala C2 servery delší dobu před zásahem Secret Blizzard, jindy však k přístupu došlo až po nasazení nástrojů.
- Na VPS servery Storm-0156 pravidelně nasazuje nástroj ArsenalV2%.exe, označovaný Microsoftem jako Arsenal. Tento nástroj, postavený na multiplatformním frameworku QtFramework, umožňuje ovládání kompromitovaných zařízení, nahrávání i stahování souborů a zaznamenávání dat o síťových událostech. Arsenal při své činnosti vytváří databáze ConnectionInfo.db a DownloadPriority.db, které obsahují:
- Informace o nahraných souborech a identitu uživatelů, kteří je nahráli.
- Detaily o napadených zařízeních, jako je IP adresa, lokalita, verze operačního systému a nainstalovaný antivirový software.Síťové informace, včetně trvání připojení a časových značek.
- Zpočátku nasadil Secret Blizzard na servery Storm-0156 C2 fork backdooru TinyTurla. Od října 2023 však Secret Blizzard převážně používá backdoor .NET, který Microsoft Threat Intelligence označuje jako TwoDash spolu s nástrojem pro monitorování schránky označovaným jako Statuezy.
- Secret Blizzard využil privilegovaný přístup k infrastruktuře Storm-0156 pro převzetí kontroly nad jejími backdoory, jako je CrimsonRAT, který byl pozorován v kampaních Storm-0156 v roce 2023 a dříve, a Golang známý jako Wainscot. Storm-0156 často zneužívá legitimní aplikaci Credential Backup and Restore Wizard (credwiz.exe), přejmenovanou na názvy jako cridviz.exe nebo crezly.exe, která je zranitelná vůči technice DLL-sideloadingu, k načítání škodlivých payloadů prostřednictvím souboru DUser.dll. Secret Blizzard typicky ukládá své payloady do jiných adresářů, než jaké používá Storm-0156, ale stejně jako Storm-0156 využívá credwiz.exe k načítání vlastních škodlivých DLL souborů, například duser.dll. Tyto DLL mohou obsahovat jednoduché backdoory jako MiniPocket nebo dříve zmíněný TwoDash .NET. Sdílení stejného legitimního spustitelného souboru credwiz.exe a podobných názvů payloadů naznačuje, že Secret Blizzard může úmyslně maskovat své aktivity jako operace Storm-0156.
- Secret Blizzard také využívá Search-Order-Hijacking, kdy nasazuje backdoor TwoDash jako soubor oci.dll do adresáře
c:\windows\system32a používá Microsoft Distributed Transaction Coordinator (msdtc.exe) k DLL-sideloadingu tohoto payloadu. V srpnu 2024 společnost Microsoft odhalila, že Secret Blizzard využíval kompromitace CrimsonRAT vytvořené Storm-0156 v březnu 2024. CrimsonRAT byl zneužit ke stažení a spuštění backdooru TwoDash kontrolovaného přímo Secret Blizzard. Dále byly zaznamenány případy, kdy Secret Blizzard přistupoval k CrimsonRAT na cílových zařízeních v Indii. Jeden z těchto nasazených backdoorů využíval C2 server hostovaný na infrastruktuře Contabo (ur253.duckdns[.]org:45.14.194[.]253), který byl v lednu, únoru a září 2024 použit k nasazení nástroje pro sledování schránky.
Kompromitace indrastruktury Storm-0156 (Microsoft)
Komentář Cybule: Použití této techniky Secret Blizzard poukazuje na její přístup k diverzifikaci vektorů útoku, včetně strategických kompromitací webu (watering holes) a kampaní typu „adversary-in-the-middle“ (AiTM), které jsou v Rusku pravděpodobně realizovány prostřednictvím zákonem nařízených odposlechových systémů, jako je například „Systém operativně pátracích činností“ (SORM).
Propojení skupin Secret Blizzard a Storm-0156 ukazuje na rostoucí sofistikovanost kyberšpionážních operací. Využívání cizí infrastruktury nejenže snižuje náklady na budování vlastní, ale také komplikuje identifikaci primárního aktéra. Nasazení nástroje Arsenal odhaluje, jak důležité jsou pro útočníky detaily o napadených systémech a síťových aktivitách. Pro obranu proti podobným hrozbám je klíčová schopnost rychle detekovat neobvyklé aktivity na C2 serverech a implementace pokročilých nástrojů pro síťovou analýzu. Vědomí, že útočníci mohou kompromitovat i infrastrukturu jiných aktérů, ukazuje na nutnost spolupráce mezi bezpečnostními týmy, které by měly sdílet informace a indikátory kompromitace (IoC) s cílem lépe čelit těmto hrozbám.
Nové spywary Gamaredonu BoneSpy a PlainGnome cílí na uživatele Androidu
(11.12.2024, Lookout)
Ruské státem podporované APT skupině známé jako Gamaredon (Primitive Bear, Shuckworm), spojené s Federální bezpečnostní službou (FSB), byly společností Lookout připsány dva nové spywary pro Android, nazvané BoneSpy a PlainGnome. BoneSpy i PlainGnome se zaměřují na rusky mluvící oběti v bývalých sovětských státech. BoneSpy se používá minimálně od roku 2021 a je založen na open-source sledovacím softwaru DroidWatcher. Zatímco PlainGnome se poprvé objevil letos a přestože má mnoho překrývajících se funkcí s BoneSpy, nezdá se, že by byl vyvinut ze stejné kódové základny.
Co potřebujete vědět:
- Ruská státem podporovaná APT skupina známá jako Gamaredon byla připsána dvěma novým spywarem pro Android, nazvaným BoneSpy a PlainGnome. Jde o první případ, kdy tato skupina využila rodiny malwaru zaměřené výhradně na mobilní zařízení ve svých útočných kampaních. Podle analýzy společnosti Lookout spyware cílí na bývalé sovětské státy a zaměřuje se na rusky hovořící oběti. Oba nástroje sbírají data jako: SMS zprávy, seznamy hovorů, audio z telefonních hovorů, fotografie z kamer zařízení, polohu zařízení, seznamy kontaktů.
- BoneSpy je v provozu pravděpodobně od roku 2021, zatímco PlainGnome byl poprvé odhalen začátkem tohoto roku. Cíle kampaně pravděpodobně zahrnují Uzbekistán, Kazachstán, Tádžikistán a Kyrgyzstán na základě analýzy vzorků ve VirusTotal. Zatím však nejsou důkazy, že by malware cílil na Ukrajinu, která byla dosud hlavním zájmem skupiny. V září 2024 společnost ESET uvedla, že Gamaredon neúspěšně zkoušel proniknout do cílů v několika zemích NATO, včetně Bulharska, Lotyšska, Litvy a Polska, během dubna 2022 a února 2023.
- Společnost Lookout spekuluje, že cílení na Uzbekistán, Kazachstán, Tádžikistán a Kyrgyzstán může souviset se zhoršujícími se vztahy těchto zemí s Ruskem po zahájení invaze na Ukrajinu. Připsání nového malwaru skupině Gamaredon vychází z používání dynamických DNS poskytovatelů a podobností v IP adresách, které odkazují na C2 domény velící a řídící používané jak v mobilních, tak v desktopových kampaních.
- BoneSpy a PlainGnome se liší v jednom klíčovém aspektu: BoneSpy, odvozený z open-source spywaru DroidWatcher, je samostatná aplikace. PlainGnome je tzv. “dropper,” který instaluje sledovací modul, jenž je v něm zabudovaný. Vyžaduje, aby oběť udělila oprávnění k instalaci dalších aplikací pomocí funkce REQUEST_INSTALL_PACKAGES.
- Mechanismus distribuce těchto aplikací není zcela jasný, ale pravděpodobně zahrnuje cílené sociální inženýrství. Aplikace se mohou maskovat jako nástroje na sledování stavu baterie, aplikace na prohlížení fotografií, falešná aplikace Samsung Knox nebo jako funkční, ale infikovaná verze aplikace Telegram.
Komentář Cybule: Nasazení Android malwaru od Gamaredon potvrzuje trend rostoucího zacílení kybernetických operací na mobilní zařízení. Tento posun odpovídá globální závislosti na mobilních platformách, které často obsahují cenná data, ale zároveň jsou méně zabezpečené než tradiční systémy. Organizace i jednotlivci by měli věnovat zvýšenou pozornost tomu, odkud stahují aplikace, a zvážit implementaci mobilních bezpečnostních řešení.
Čínské úřady používají spyware EagleMsgSpy ke sledování obyvatel
(11.12.2024, Lookout)
Na analýzu firmy Lookout se podíváme i v dnešním posledním příspěvku, který se zaměří na spyware používáný čínským Ministerstvem veřejné bezpečnosti. EagleMsgSpy je sofistikovaný sledovací nástroj vyvinutý společností Wuhan Chinasoft Token Information Technology, který je primárně využíván čínskou policii od roku 2017. Výzkumníci společnosti Lookout identifikovali, že infrastruktura EagleMsgSpy se překrývá s doménami používanými veřejnými bezpečnostními úřady, což naznačuje široké využití v různých regionech Číny. Tento nástroj je součástí širšího souboru sledovacích aplikací používaných čínskými úřady k monitorování a kontrole komunikace a aktivit jednotlivců považovaných za podezřelé.
Public Security Bureau spojená s používáním EagleMsgSpy (Lookout)
Co potřebujete vědět:
- Varianta EagleMsgSpy z roku 2017 obsahuje hardcoded adresu příkazového a řídícího (C2) serveru, která odpovídala IP adrese dvou čínských vládních webových stránek: domény zfga.gov.cna ytga.gov.cn slouží jako veřejně přístupné stránky pro Yantai Public Security Bureau a jeho pobočky.
- Public Security Bureau je organizační jednotka čínského Ministerstva veřejné bezpečnosti (MVB) na nižší než centrální úrovni (např. provincie, město nebo zvláštní zóna). MVB je centrálním státním orgánem pro policii, ale mezi jeho pravomoce patří i různé aspekty „politické bezpečnosti,“ kam patří sledování disidentů, etnických menšin a dalších jednotlivců a skupin, které jsou považovány za hrozbu režimu Komunistické strany Číny.
- Instalace EagleMsgSpy zjevně vyžaduje fyzický přístup státních orgánů. Instalační komponent, který pravděpodobně spustí pracovník MVB s přístupem k odemčenému zařízení, je zodpovědný za dodání ‚headless‘ sledovacího modulu, který zůstává na zařízení a shromažďuje rozsáhlá citlivá data. Lookout se domnívá, že fyzický přístup je jediný distribuční mechanismus a ani instalační soubor, ani payload nebyly pozorovány na Google Play nebo jiných obchodech s aplikacemi.
- EagleMsgSpy shromažďuje rozsáhlé množství dat o cílovém zařízení:
- Shromažďuje všechny zprávy z aplikací QQ, Telegram, Viber, WhatsApp a WeChat.
- Nahrává záznamy obrazovky prostřednictvím funkce Media Projection.
- Zachycuje snímky obrazovky.
- Zachycuje zvukové záznamy zařízení během hovorů.
- Shromažďuje metadata o hovorech (call logs).
- Shromažďuje kontakty v zařízení.
- Shromažďuje SMS zprávy.
- Sestavuje seznam nainstalovaných aplikací na zařízení.
- Získává GPS souřadnice.
- Mapuje wifi a síťová připojení.
- Sestavuje seznam souborů ve vnějším úložišti.
- Shromažďuje záložky z prohlížeče zařízení.
- Po shromáždění dat jsou tato data uložena v dočasné skryté složce na zařízení pro pozdější exfiltraci. Datové soubory jsou poté komprimovány a chráněny heslem před odesláním na příkazový a řídící (C2) server.
Komentář Cybule: Čínské úřady provozují rozsáhlý ekosystém sledování obyvatel. Čínská skupina Evasive Panda využívala automatické aktualizace aplikace Tencent QQ pro distribuci sledovacího malwaru MsgBot. Sledování nemusí nutně vyžadovat vzdálenou kompromitaci cílového zařízení Čínské úřady mají řadu možností k získání fyzického přístupu k mobilním telefonům. V roce 2019 informovala média o spywaru, který na zařízení instalovali příslušníci čínské pohraniční stráže při kontrolách na hraničních přechodech v oblasti Sin-ťiang, kde menšinové etnikum Ujgurů čelí rozsáhlé perzekuci, včetně opatření, kterou řada organizací označuje za genocidní.