Operação In(ter)ception: empresas militares e aeroespaciais na mira de ciberespiões | WeLiveSecurity

Operação In(ter)ception: empresas militares e aeroespaciais na mira de ciberespiões

Para atacar suas vítimas, os ciberespiões usaram engenharia social através do LinkedIn.

Para atacar suas vítimas, os ciberespiões usaram engenharia social através do LinkedIn.

No final do ano passado, descobrimos que foram realizados ataques, entre setembro e dezembro de 2019, direcionados contra empresas aeroespaciais e militares na Europa e no Oriente Médio. Uma investigação colaborativa com duas das empresas europeias afetadas nos permitiu conhecer melhor a operação e descobrir malware ainda não documentado.

Este post explicará como os ataques ocorreram. Caso queira ter acesso a pesquisa completa, confira o nosso white paper (em inglês): Operation In(ter)ception: Targeted attacks against European aerospace and military companies.

Os ataques, que denominamos de Operação In(ter)ception com base em uma amostra de malware relacionada chamada Inception.dll, eram altamente direcionados e claramente tinham a intenção de ficar fora dos radares de detecção.

Para comprometer seus alvos, os atacantes usaram a engenharia social via LinkedIn, escondendo-se atrás de ofertas de emprego atraentes, mas falsas. Depois de estabelecer um contato inicial, os atacantes implantaram seu malware personalizado de vários estágios, juntamente com ferramentas de código aberto modificadas. Além dos malwares, os adversários usavam táticas conhecidas como living off the land para utilizar ferramentas e funções do sistema operacional. Várias técnicas foram usadas para evitar a detecção, incluindo assinatura de código, recompilação regular de malware e a ação de se fazer passar por empresas e softwares legítimos.

Segundo nossa investigação, o objetivo principal da operação era realizar espionagem. No entanto, em um dos casos que investigamos, os atacantes tentaram monetizar o acesso à conta de e-mail de uma das vítimas por meio de um ataque conhecido como BEC (do inglês, Business Email Compromise).

Embora não tenhamos encontrado fortes evidências que vincule esses ataques a um grupo de cibercriminosos conhecido, descobrimos vários elementos que sugerem um possível vínculo com o grupo Lazarus, como as semelhanças em relação ao perfil dos alvos de ataque, o ambiente de desenvolvimento e as técnicas contra análise usadas.

Ataque inicial

Como parte da fase inicial de comprometimento, os atacantes por trás da Operação In(ter)ception criaram contas falsas no LinkedIn, que se faziam passar por consultores de RH de empresas conhecidas nos setores aeroespacial e de defesa. Em nossa investigação, vimos perfis que se faziam passar pela Collins Aerospace (anteriormente Rockwell Collins) e pela General Dynamics, ambas são grandes empresas estadunidenses do setor.

Com os perfis configurados, os atacantes procuraram funcionários das empresas selecionadas como alvo de ataques e enviaram mensagens com ofertas falsas de emprego usando o recurso de mensagens do LinkedIn, como mostra a Figura 1. (Nota: as contas falsas do LinkedIn não existem mais).

Figura 1. Uma oferta de emprego falsa enviada via LinkedIn para funcionários de uma das empresas que foram alvo.

Depois que os atacantes tiveram a atenção dos alvos, eles incluíram arquivos maliciosos na conversa, disfarçados como documentos relacionados à oferta de emprego em questão. A Figura 2 mostra um exemplo dessa comunicação.

Figura 2. Comunicação entre os atacantes e um funcionário em uma das empresas que foram alvo.

Para enviar os arquivos maliciosos, os atacantes usaram o LinkedIn diretamente ou uma combinação de e-mail e OneDrive. No caso do OneDrive, os atacantes usaram contas de e-mail falsas correspondentes aos seus personagens falsos do LinkedIn e incluíram links do OneDrive que hospedavam os arquivos.

O arquivo compartilhado era um arquivo RAR protegido por senha que continha um arquivo LNK. Quando aberto, o arquivo LNK iniciou um prompt de comando que abriu um arquivo PDF remoto no navegador padrão da vítima.

Esse PDF, que aparentemente continha informações salariais das vagas de trabalho, na realidade serviu como isca; em segundo plano, o Command Prompt criou uma pasta e copiou o WMI Commandline Utility (WMIC.exe) para a mesma, renomeando o utilitário no processo. Por fim, ele criou uma tarefa agendada, definida para executar um script XSL remoto periodicamente por meio do WMIC.exe copiado.

Isso permitiu que os atacantes colocassem um “pé dentro” da empresa e ganhassem persistência no computador atacado. A Figura 3 ilustra os estágios que levaram ao comprometimento do dispositivo.

Figura 3. Cenário de ataque desde o contato inicial até o comprometimento.

Ferramentas e técnicas de ataque

Os atacantes por trás da Operação In(ter)ception empregaram várias ferramentas maliciosas, incluindo malware personalizado de vários estágios e versões modificadas de ferramentas de código aberto.

Vimos os seguintes componentes:

  • Downloader personalizado (Estágio 1)
  • Backdoor personalizado (Estágio 2)
  • Uma versão modificada do PowerShdll – uma ferramenta para executar o código do PowerShell sem o uso do powershell.exe
  • Loaders de DLL personalizados usados ​​para executar o malware personalizado
  • DLL Beacon, provavelmente usada para verificar conexões com servidores remotos
  • Uma compilação personalizada do dbxcli: um cliente de linha de comando de código aberto para Dropbox usado para exfiltração de dados

Em um cenário típico, o malware do Estágio 1 – o downloader personalizado – foi baixado pelo script XSL remoto (descrito na seção Compromisso inicial) e executado usando o utilitário rundll32. No entanto, também vimos casos em que os atacantes usavam um de seus loaders de DLL personalizados para executar o malware do Estágio 1. O principal objetivo do downloader personalizado é fazer o download da carga útil do Estágio 2 e executá-la em sua memória.

A carga útil do estágio 2 é um backdoor modular na forma de uma DLL gravada em C++. Periodicamente, envia solicitações ao servidor e executa ações definidas com base nos comandos recebidos, como enviar informações básicas sobre o computador, carregar um módulo ou alterar a configuração. Embora não tenhamos recuperado nenhum módulo recebido pelo backdoor de seu servidor C&C, encontramos indicações de que um módulo foi usado para baixar o PowerShdll.

Além do malware, na tentativa de continuar distante dos adversários, os atacantes usaram a técnica conhecida como “living off the land” para abusar de ferramentas legítimas e funções do sistema operacional para executar várias operações maliciosas. Quanto às técnicas específicas, descobrimos que os atacantes usavam o WMIC para interpretar scripts XSL remotos; e o certutil para decodificar cargas úteis baixadas e codificadas em base64 e rundll32 e regsvr32 para executar seu malware personalizado.

A Figura 4 mostra como os vários componentes interagiram durante a execução do malware.

Figura 4. Fluxo de execução de malware.

Além das técnicas “living off the land”, descobrimos que os atacantes fizeram um esforço especial para que não fossem detectados.

Primeiro, os atacantes disfarçaram seus arquivos e pastas, dando-lhes nomes que soam legítimos. Eles usaram nomes de empresas e softwares conhecidos, como Intel, NVidia, Skype, OneDrive e Mozilla. Por exemplo, encontramos arquivos maliciosos com os seguintes caminhos:

C:\ProgramData\DellTPad\DellTPadRepair.exe

C:\Intel\IntelV.cgi

Curiosamente, não só os arquivos maliciosos foram renomeados – os atacantes também manipularam os utilitários do Windows comprometidos. Eles copiaram os utilitários para uma nova pasta (por exemplo, C:\NVIDIA) e os renomearam (por exemplo, regsvr32.exe foi renomeado para NvDaemon.exe).

Segundo ponto, os atacantes assinaram digitalmente alguns componentes de seus malwares, como o downloader e backdoor personalizado, e a ferramenta dbxcli. O certificado foi emitido em outubro de 2019 – enquanto os ataques estavam ativos – para 16:20 Software, LLC. De acordo com nossa pesquisa, 16:20 Software, LLC é uma empresa existente sediada na Pensilvânia, EUA, constituída em maio de 2010.

Terceiro, descobrimos que o malware do Estágio 1 foi recompilado várias vezes durante a operação.

Por fim, os atacantes também implementaram técnicas contra a detecção em análises em seus malwares personalizados, como achatamento do fluxo de controle e carregamento dinâmico da API.

Coleta de dados e exfiltração

De acordo com nossa pesquisa, os atacantes usaram uma compilação personalizada do dbxcli, um cliente de linha de comando de código aberto para Dropbox, para filtrar os dados coletados de seus alvos. Infelizmente, nem a análise de malware nem a investigação nos permitiram ter uma ideia de quais arquivos os atacantes da Operação In(ter)ception estavam buscando. No entanto, os cargos dos funcionários contactados ​​pelo LinkedIn sugerem que os atacantes estavam interessados ​​em informações técnicas e relacionadas aos negócios.

Ataque a e-mails corporativos

Em um dos casos investigados, os atacantes não pararam apenas na exfiltração de dados – como estágio final da operação, eles tentaram monetizar o acesso à conta de e-mail da vítima por meio de um ataque conhecido como BEC (do inglês, Business Email Compromiso).

Primeiro, aproveitando a comunicação existente nos e-mails da vítima, os atacantes tentaram enganar a um dos clientes de uma das empresas que foram alvo para que realize o pagamento de uma fatura pendente através de uma conta bancária, como pode ser visto na Figura 5. Para uma comunicação mais efetiva com o cliente, eles usaram o endereço de e-mail da empresa atacada.

Neste momento, os atacantes não tiveram êxito – em vez de pagar a fatura, o cliente respondeu com perguntas sobre a quantia solicitada. Como os atacantes pediram que o cliente pagasse, o cliente acabou entrando em contato com o endereço de e-mail correto da empresa para falar sobre o problema, “disparando um alarme” do lado da empresa que foi atacada.

Figura 5. E-mail BEC enviado da conta de e-mail comprometida da vítima.

Possíveis atribuições

Embora nossa investigação não tenha revelado evidências convincentes vinculando os ataques a um cibercriminoso conhecido, identificamos vários indícios que sugerem um possível vínculo com o grupo Lazarus. Particularmente, encontramos semelhanças no perfil de seus alvos de ataque, no uso de contas falsas do LinkedIn, no ambiente de desenvolvimento e nas técnicas para burlar análises. Além disso, vimos uma variante do malware do Estágio 1 que continha uma amostra do Win32/NukeSped.FX, que pertence a um conjunto de ferramentas maliciosas que a ESET atribui ao grupo Lazarus.

Conclusão

Nossa pesquisa descobriu uma operação altamente direcionada, notável por seu atraente esquema de engenharia social baseado no LinkedIn, malware modular personalizado e truques de evasão de detecções. Curiosamente, enquanto a Operação In(ter)ception mostrava todos os sinais de ciberespionagem, os atacantes aparentemente também tinham um objetivo financeiro, conforme evidenciado pela tentativa de ataque BEC.

Agradecimentos especiais a Michal Cebák por seu trabalho nesta investigação.

Para obter a descrição completa dos ataques, bem como a análise técnica do malware não documentado anteriormente e dos Indicadores de Comprometimento (IoCs), confira o nosso white paper: Operation In(ter)ception: Targeted attacks against European aerospace and military companies.

Os IoCs coletados dos ataques também podem ser encontradas no repositório da ESET, no GitHub.

Técnicas de MITRE ATT&CK

TacticIDNameDescription
Initial AccessT1194Spearphishing via ServiceLinkedIn is used to contact the target and provide a malicious attachment.
ExecutionT1059Command-Line Interfacecmd.exe used to create a scheduled task to interpret a malicious XSL script via WMIC.
T1106Execution through APIMalware uses CreateProcessA API to run another executable.
T1086PowerShellA customized .NET DLL is used to interpret PowerShell commands.
T1117Regsvr32The regsvr32 utility is used to execute malware components.
T1085Rundll32The rundll32 utility is used to execute malware components.
T1053Scheduled TaskWMIC is scheduled to interpret remote XSL scripts.
T1047Windows Management InstrumentationWMIC is abused to interpret remote XSL scripts.
T1035Service ExecutionA service is created to execute the malware.
T1204User ExecutionThe attacker relies on the victim to extract and execute a LNK file from a RAR archive received in an email attachment.
T1220XSL Script ProcessingWMIC is used to interpret remote XSL scripts.
PersistenceT1050New ServiceA service is created to ensure persistence for the malware.
T1053Scheduled TaskUpon execution of the LNK file, a scheduled task is created that periodically executes WMIC.
Defense EvasionT1116Code SigningMalware signed with a certificate issued for “16:20 Software, LLC”.
T1140Deobfuscate/Decode Files or Informationcertutil.exe is used to decode base64-encoded malware binaries.
T1070Indicator Removal on HostAttackers attempt to remove generated artifacts.
T1036MasqueradingMalware directories and files are named as, or similar to, legitimate software or companies.
T1027Obfuscated Files or InformationMalware is heavily obfuscated and delivered in base64-encoded form.
T1117Regsvr32The regsvr32 utility is used to execute malware components.
T1085Rundll32The rundll32 utility is used to execute malware components.
T1078Valid AccountsAdversary uses compromised credentials to log into other systems.
T1220XSL Script ProcessingWMIC is used to interpret remote XSL scripts.
Credential AccessT1110Brute ForceAdversary attempts to brute-force system accounts.
DiscoveryT1087Account DiscoveryAdversary queries AD server to obtain system accounts.
T1012Query RegistryMalware has ability to query registry to obtain information such as Windows product name and CPU name.
T1018Remote System DiscoveryAdversary scans IP subnets to obtain list of other machines.
T1082System Information DiscoveryMalware has ability to gather information such as Windows product name, CPU name, username, etc.
CollectionT1005Data from Local SystemAdversary collects sensitive data and attempts to upload it using the Dropbox CLI client.
T1114Email CollectionAdversary has access to a victim’s email and may utilize it for a business email compromise attack
Command and ControlT1071Standard Application Layer ProtocolMalware uses HTTPS protocol.
ExfiltrationT1002Data CompressedExfiltrated data is compressed by RAR.
T1048Exfiltration Over Alternative ProtocolExfiltrated data is uploaded to Dropbox using its CLI client.
T1537Transfer Data to Cloud AccountExfiltrated data is uploaded to Dropbox.

Newsletter

Discussão