Věděli jste, že i CAPTCHA, běžně používaná k ověření, zda nejste robot, může být zneužita k šíření malwaru? Útočníci využívají falešné CAPTCHA stránky, které uživatele přimějí ke spuštění škodlivých skriptů v PowerShell a následné instalaci a spuštění škodlivého kódu. Významnou pozornost věnujeme tento týden Číně a z velmi dobrých důvodů. Ministerstvo spravedlnosti USA nařídilo narušení botnetu Raptor Train, který používala APT skupina Flax Typhoon, spravovaný významnou čínskou kyberbezpečnostní firmou Integrity Tech. Třetí téma přináší nové poznatky ohledně čínské špionážní kampaně známé jako Crimson Palace.

Příjemné čtení.

Tým Cybule

Obsah:

• Falešná CAPTCHA využívá ověřování k šíření malwaru
• Ministerstvo spravedlnosti USA nařídilo zásah proti botnetu Raptor Train a identifikovalo čínskou společnost Integrity Technology jako jeho správce
• Kampaň Crimson Palace pokračovala i v roce 2024

Falešná CAPTCHA využívá ověřování k šíření malwaru

(6.9.2024, Hackerdose, 16.9.2024, Martin Haller)

Falešné CAPTCHA představují nový a nebezpečný druh podvodného útoku, který zneužívá běžný proces ověřování uživatelů ke spuštění škodlivého kódu. Zatímco většina útoků spojených s CAPTCHA se soustředí na push notifikace a phishing, tento útok využívá falešnou stránku CAPTCHA na adrese antibotx.b-cdn[.]net/captcha-verify.html. Po kliknutí na známé tlačítko “I’m not a bot” je uživatel přiměn spustit škodlivý PowerShell skript, který následně stáhne a aktivuje malware. Útok je nebezpečný tím, že vyžaduje aktivní spolupráci uživatele a spoléhá se na funkce integrované v operačním systému Windows. Vzhledem k tomu, že příkaz je spuštěn přímo v rámci systému, tradiční antivirové programy mají problém tento typ útoku odhalit.

Co potřebujete vědět:

• Útok začíná ve chvíli, kdy uživatel navštíví nebezpečnou webovou stránku, pravděpodobně obsahující reklamy třetích stran. Tyto reklamy mohou přesměrovat uživatele na škodlivou stránku s falešnou CAPTCHA. Ta se tváří jako legitimní a obsahuje známé tlačítko „Nejsem robot“, které běžně slouží k ověření lidského uživatele.
• Kliknutím na toto tlačítko se však spustí PowerShell příkaz, který se nepozorovaně zkopíruje do uživatelovy schránky. Další fáze útoku nastává, když falešná CAPTCHA vyzve uživatele k otevření dialogu RUN pomocí klávesové zkratky Windows + R. Následně je uživatel instruován, aby vložil obsah schránky (který byl již nahrazen škodlivým příkazem) a potvrdil jej stisknutím klávesy Enter.
• Tímto krokem dojde k provedení PowerShell příkazu, který stáhne a spustí škodlivý soubor s názvem trans08.exe. Příkaz zkopírovaný do schránky je zakódovaný řetězec v Base64, který maskuje škodlivé instrukce. Tento řetězec po dekódování obsahuje následující skutečný příkaz:

Příkaz (hackerdose)

• Nástroj mshta, běžně používaný k spouštění Microsoft HTML aplikací (HTA), je v tomto případě zneužit ke stažení malwaru. Stažený soubor trans08.exe funguje jako trojský kůň, který útočníkům umožňuje převzít kontrolu nad infikovaným počítačem nebo odcizit citlivá data. Po stažení se pokouší připojit zpět ke svému řídicímu a kontrolnímu serveru (C2) a vykonává další škodlivé aktivity. Malware zároveň využívá klamavou taktiku, když se vydává za produkt společnosti Microsoft Corporation, včetně falešného jména vývojáře, aby zmátl uživatele a bezpečnostní systémy.

Komentář Cybule: Během analýzy bylo zjištěno, že malware dokáže rozpoznat, zda pracuje v kontrolovaném prostředí, jako je sandbox nebo virtuální počítač. Pokud takové prostředí detekuje, odmítne se spustit nebo připojit k serveru, čímž se vyhýbá detekci bezpečnostními výzkumníky. Dále se zjistilo, že spustitelný soubor není kompatibilní se staršími verzemi systému Windows. Na systémech se systémem Windows 7 nebo starším se nespustí a vrací chybu s hlášením, že aplikace není platnou aplikací Win32. To naznačuje, že malware je zaměřen na modernější systémy, což by mohlo zvýšit jeho účinnost, zejména na neopravených či méně zabezpečených novějších verzích Windows. Tento nový způsob útoku se výrazně liší od běžných podvodů souvisejících s CAPTCHA.

Ministerstvo spravedlnosti USA nařídilo zásah proti botnetu Raptor Train a identifikovalo čínskou společnost Integrity Technology jako jeho správce

(18.9.2024, The Record, Justice.gov, Black Lotus Labs)

Ministerstvo spravedlnosti oznámilo dne 19. září, že v rámci soudně schválené operace byla úspěšně narušena činnost botnetu Raptor Train, který zahrnoval více než 260 000 SOHO zařízení ve Spojených státech a po celém světě. Podle zveřejněné obžaloby, spravovala botnet čínská společnost Integrity Technology Group (známá také jako Yongxin Zhicheng) se sídlem v Pekingu. Integrity Tech spravovala botnet od poloviny roku 2021. Kompromitovaná zařízení se nachází v Severní Americe, Jižní Americe, Evropě, Africe, jihovýchodní Asii a Austrálii. Black Lotus Labs, bezpečnostní tým společnosti Lumen, analyzovala botnet Raptor Train a označuje ho za rozsáhlý, vícevrstvý botnet skládající se ze SOHO a IoT zařízení, který je využíván čínským aktérem Flax Typhoon (známý také jako Ethereal Panda a RedJulliett). Téměř 50 % všech nakažených zařízení se nacházelo v USA, ale celková geografická distribuce byla globální (viz tabulka níže). Mezi napadená zařízení patřily routery společností D-Link a Draytek, datová úložiště QNAP NAS a bezpečnostní kamery Hikvision a AXIS. Obecně platí, že starší zařízení, která již nemají podporu od výrobce, jsou více náchylná k infekci, ale mnoho kompromitovaných zařízení v botnetu řízeném společností Integrity Tech pravděpodobně stále výrobci stále podporují.

Struktura botnetu Raptor Train (Black Lotus Labs)

Geografická distribuce infikovaných zařízení (National Security Agency)

Co potřebujete vědět:

• Jedná se letos již o druhý zásah proti infrastruktuře aktéra s napojením na ČLR. V lednu 2024 došlo k zásahu proti botnetu KV-Botnet, který využívala APT skupina Volt Typhoon. Ředitel FBI Christopher Wray uvedl, že narozdíl od Volt Typhoon, který se zaměřoval na internetové routery k budování svého botnetu, Flax Typhoon infikoval hardware internetu věcí (IoT), jako jsou bezpečnostní kamery, videorekordéry a úložná zařízení – věci běžně nalezené ve velkých i malých organizacích.
• Ředitel FBI rovněž uvedl, že se v průběhu zásahu Flax Typhoon pokusil o přesun na novou infrastrukturu a podnikl DDoS útok proti FBI, která tento pokus zneutralizovala a zároveň během několika hodin identifikovala novou infrastrukturu skupiny. „V tu chvíli, když jsme se začali zaměřovat na jejich nové servery, si aktéři pravděpodobně uvědomili, že proti nim stojí FBI a naši partneři, a s tímto uvědoměním v podstatě sami zničili svou novou infrastrukturu a opustili svůj botnet.“
• Integrity Technology je společnost registrovaná na Šanghajské burze s více než 500 zaměstnanci. Zdaleka nejde o první čínskou společnost, která je spojována s účastí na kybernetických útocích. Čínské kyberofenzivní firmy Chengdu 404 a I-Soon patří mezi známé případy. Nicméně v případě Integrity Tech jde o doposud největší “úlovek” z hlediska veřejného profilu firmy. I-Soon nebo Chengdu 404 byly do svého odhalení mimo ČLR neznámé entity. Integrity Tech se podílí na organizaci Tianfu Cup a letos založeného Matrix Cup, dvou nejvýznamnějších hackerských soutěží v ČLR.
• Tianfu Cup a Matrix Cup jsou reakcí na zákaz účasti čínských výzkumníků na mezinárodních soutěžích z roku 2018 a regulaci z roku 2021 zakazující hlášení a zveřejňování zranitelností mimo zákonem definovaný proces, ve kterém má velmi prominentní roli čínská rozvědka MSS. Matrix Cup je spolupořádán společností Qihoo 360, významnou čínskou kybernetickou bezpečnostní firmou, zatímco Tianfu Cup spolupořádá Qi An Xin, další významná bezpečnostní společnost v ČLR. Tianfu Cup funguje od roku 2018. Qi An Xin vznikl oddělením od Qihoo 360 a obě společnosti mají velmi silné vazby na MSS. Seznam organizátorů obsahuje další prominentní hráče jako je Huawei, Alibaba, Beijing Topsec (součást Činské lidové osvobozenecké armády – PLA), VenusTech a (opět) Qihoo 360.

Komentář Cybule: Flax Typhoon je čínský aktér, který se specializuje na kybernetickou špionáž proti Tchaj-wanu, byť to není zcela exkluzivní zaměření a mezi jejich oběti patří i instituce v Japonsku a USA. Podle dostupných informací není zřejmé jestli se dá položit rovnítko mezi Integrity Tech a Flax Typhoon. Pravděpodobně se jedná o dvě různé organizace, kdy Integrity Tech udržuje a poskytuje infrastrukturu, kterou propůjčuje (či pronajímá) Flax Typhoon a dalším aktérům. Model kdy jedna entita udržuje síť složené z legitimní infrastruktury nebo z infikovaných zařízení (případně kombinace obojího) se označuje jako Operational Relay Box sítě a poprvé byl zdokumentovaný společností Mandiant v květnu 2024. Nicméně se jedná o taktiku, která je čínskými (ale i ruskými) aktéry používaná pravděpodobně mnohem déle. V mnoha případech bude ORB těžko odlišitelný od botnetu, který je vytvořený samotným aktérem. Vzhledem k poznatkům z úniku informací od I-Soon a veřejně známým vazbám společností jako jsou Qihoo 360, Qi An Xin a Beijing Topsec na MSS, resp. PLA, je velmi pravděpodobné, že Integrity Tech nebude zdaleka polsední čínskou společností, která bude identifikována jako operátor ORB sítě.

Kampaň Crimson Palace pokračovala i v roce 2024

(10.9.2024, Sophos)

V červnu jsme představili v té době aktivní čínskou kyberšpionážní kampaň, kterou společnost Sophos pojmenovala Crimson Palace. Kampaň je významná tím, že analytici identifikovali hned tři čínské APT skupiny. Analýza Sophos je identifikuje jako Cluster Alpha, Bravo a Charlie:

• Cluster Alpha (STAC1248) vykazuje podobnosti s aktérem jako BackdoorDiplomacy (známý také jako Vixen Panda, Ke3Chang nebo APT15).
• Cluster Bravo (STAC1807) je přisuzován nové skupině Unfading Sea Haze.
• Cluster Charlie (STAC1305) je podobný skupině APT41, resp. její “podskupinu”, kterou společnost Trend Micro sleduje jako Earth Longzhi.

Podle zjištění společnosti Sophos všechny tři uskupení v srpnu 2023 ukončila svou činnost v systémech oběti, kterou byla nejmenovaná vládní instituce v Jihovýchodní Asii. Cluster Charlie však po několika týdnech obnovil svou aktivitu, přičemž změnil svůj přístup a nasadil nový keylogger. Z původních tří uskupení byl Cluster Charlie jediným, který se vrátil k cílové oběti. Na druhou stranu, aktivita Clusteru Bravo, který byl původně činný pouze tři týdny v březnu 2023, byla detekována u nejméně 11 dalších organizací.

Časová osa aktivity Cluster Charlie v období od září 2023 do května 2024 (Sophos)

Co potřebujete vědět:

• Cluster Charlie přerušil aktivitu v srpnu 2023 poté, co Sophos zablokoval jeho jeho C2 nástroje. Na konci záři se aktér vrátil s novým postupem a nástroji. Obnovená aktivita začala pokusy o obcházení blokací ze strany Sophos přepínáním na různé C2 kanály a změnou způsobu nasazení nástrojů pro obnovení C2 komunikace.
• Cluster Charlie upravil své aktivity několika způsoby. Mezi hlavní změny patřil přechod na open-source a běžně dostupné nástroje k obnovení své přítomnosti poté, co Sophos odhalil a zablokoval jejich vlastní nástroje. Mezi další změny patřilo využití nástrojů a technik, které používali Cluster Alpha a Cluster Bravo.
• Zcizení informací se zpravodajskou hodnotou zůstávalo cílem Cluster Charlie i po obnovení aktivity. Nicméně hlavní úsilí směřovalok obnovení původní přítomnosti a rozšíření přístupu v síti oběti.
• Období od září 2023 do června 2024 se vyznačovalo neustalým soupeřením mezi obránci a útočníkem, který se vytrvale snažil obcházet ochranná opatření Sophosu. V září 2024 je útočník stále aktivní.
• Cluster Charlie je spojován se skupinou APT41, která je také známa jako soukromá ofenzivní společnost Chengdu 404.
• Aktivita Cluster Bravo v období po srpnu 2023 cílila na sítě alespoň 11 dalších organizací a agentur, opět v regionu Jihovýchodní Asie. Dále Sophos identifikoval několik organizací, jejichž infrastruktura byla využita pro šíření malwaru. Aktér si dal zálěžet na tom, aby infikovaná infrastruktura patřila organizaci, kterí působí ve stejném odvětví, jako zamýšlená oběť. Rozšířená aktivita Cluster Bravo se odehrávala od ledna do června 2024.

Komentář Cybule: Analýza Sophosu ukazuje, že APT skupiny se snadno nevzdají svých cílů ani po odhalení jejich aktivity. Sophos odhalil kampaň Crimson Palace a květnu 2023. Dva ze tří původně aktivních aktérů přesunuli svou pozornost na nové cíle, nicméně Cluster Charlie je aktivní i v září 2024. Útočníci napojení na stát, včetně privátních kontraktorů jako je Chengdu 404, si mohou dovolit věnovat čas a lidské zdroje na dlouhodobé operace. V době, kdy je jejich aktivita skryta, si připravují alternativní cesty do napadeného systému právě pro případ, kdy dojde k jejich odhalení. Může tak snadno dojít k situaci, kdy útočník zná síť oběti lépe, než její správci. Pro obránce to samozřejmě znamená, že odhalení incidentu je jen začátek dlouhé a komplikované cesty, v lepším případě vedoucí k ukončení aktivity útočníka, v horším případě vedoucí k obnoveným pokusům o jeho vyhození z napadené sítě.