Turlas Watering Hole Kampagne: Firefox-Erweiterung spielt mit Instagram

Turlas Watering Hole Kampagne: Firefox-Erweiterung missbraucht Instagram

Turla versucht sich immer noch am Einsatz von Watering Hole Techniken, um potenzielle interessante Opfer in ihre C&C-Infrastruktur zu locken.

Turla versucht sich immer noch am Einsatz von Watering Hole Techniken, um potenzielle interessante Opfer in ihre C&C-Infrastruktur zu locken.

Einige Taktiken bei APT-Attacken sterben nie aus. Ein gutes Beispiel dafür liefert nun Turlas Watering Hole Kampagne. Turla, welche schon Regierungen, Regierungsoffizielle oder Diplomaten angriffen – Beispiele finden sich in diesem Paper – versucht sich immer noch am Einsatz von Watering Hole Techniken, um potenzielle interessante Opfer in ihre C&C-Infrastruktur zu locken. Tatsächlich benutzt die cyberkriminelle Gang diese Taktik bereits seit mindestens 2014 mit nur kleinen Änderungen in ihrer Verfahrensweise.

Eine Watering Hole Attacke kompromittiert Webseiten, die von potenziellen Zielen möglicherweise aufgerufen werden. Die Leute hinter Turla haben es gerne auf Webseiten von Botschaften abgesehen. Im Februar 2017 veröffentlichten Forcepoint einen Blogpost, der einige kompromittierte Webseiten auflistet.

Wir überwachen die Entwicklungen der Turla Kampagnen natürlich genau und haben vor kurzem bemerkt, dass sie die Technik nun wiederverwenden. Das beobachteten wir seit ein paar Monaten nicht mehr.

Initiale Kompromittierung

Im IoC-Abschnitt weiter unten gibt es eine Liste von Websites, die in der Vergangenheit verwendet wurden, um zu Turlas Watering Hole C&C-Server umzuleiten. Wie es bei dieser Gruppe üblich ist, gibt es viele Webseiten, die direkt mit Botschaften auf der ganzen Welt zusammenhängen.

Die Besucher der Webseiten werden durch an der originalen Seite angehangenen Snippets an bösartige Server weitergeleitet. Die in den letzten Monaten verwendeten Skripte waren alle dem folgenden ähnlich:
!– Clicky Web Analytics (start) –>

Die Angreifer haben einen Link zu Clicky, einem Echtzeit-Web-Analytics-Framework, hinzugefügt. Sie ergänzen den Framework-Namen mit der Absicht, das angehängte Skript durch eine flüchtige oder nicht-fachkundige Untersuchung legitimieren zu lassen. Und dass, obwohl es beim Angriff tatsächlich nicht verwendet wird. Aus dem obigen Skript geht hervor, dass das angehangene Skript versucht, ein weiteres (mentalhealthcheck.net/update/counter.js) zu laden. Das ist ein Server, den die Turla-Bande benutzt, um Fingerprint-Skripte – Skripte zur Sammlung von Informationen wie des verwendeten Computersystems – an interessante Opfer auszuteilen. Vor Clicky waren Verweise zum Google Analytics-Skript bei der Turla-Gruppe in Mode. Im IoCs Abschnitt kann man die verschiedenen Watering Hole C&C-Server entnehmen, die wir in den letzten paar Monaten aufgespürt haben. Alle diese C&C-Server sind legitime aber kompromittierte Server.

Der nächste Schritt des Angriffs ist die Verteilung des Fingerprint-JavaSkripts unter interessanten Zielen. Dafür filtern die C&C-Server Besucher eines bestimmten IP-Bereichs. Befinden sich Opfer in dem abgesteckten IP-Bereich, erhalten sie das Fingerprint-Skript. Wenn nicht, erhalten sie ein gutartiges Skript: eine JS-Implementierung des MD5-Hash-Algorithmus. Im Folgenden zeigen wir einen Auszug aus dem entschleierten Skript, das von Opfern aus einem abgesteckten IP-Bereich empfangen wird:

Dieses Javascript wird eine JS-Bibliothek namens PluginDetect herunterladen, welches die Möglichkeit besitzt, Informationen über im Browser installierte Plugins zu sammeln. Die gesammelten Informationen werden dann an den C&C-Server gesendet.

Das Skript wird auch versuchen, ein sogenanntes Super Cookie zu setzen, das alle zukünftig vom Benutzer aufgerufenen Seiten bei Surfen aufzeichnet.

Für diejenigen, die mit der Watering Hole Kampagne vertraut sind, ist klar, dass Turla immer noch mit ihren alten und öffentlich bekannten aber bewährten Methoden agiert.

Firefox-Erweiterung

Während unserer Überwachung ist uns ein sehr interessantes Sample aufgefallen. Einige erinnern sich vielleicht an den Pacifier APT Bericht von BitDefender. Dieser beschreibt eine Spearfishing-Kampagne, ausgelöst durch ein schädliches MS Word-Dokument, dass an verschiedene Institutionen auf der ganzen Welt versendet wurde. Diese Schad-Dokument setzte eine Backdoor ab. Heute wissen wir, dass es sich dabei um Skipper handelte – einer First Stage Backdoor, die von Turla benutzt wird.

Dieser Bericht enthält auch eine Beschreibung einer Firefox-Erweiterung, die von der gleichen Art von bösartigem Dokument bereitgestellt wird. Nun stellt sich heraus, dass wir wahrscheinlich ein Update dieser Firefox-Erweiterung gefunden haben. Es ist eine JavaScript-Backdoor, die in ihrer Implementierung anders als die im Pacifier APT-Bericht ist, sich aber mit ähnlichen Funktionalitäten präsentiert.

Turla

Wir haben festgestellt, dass diese Erweiterung durch eine kompromittierte Website einer Schweizer Sicherheitsfirma verteilt wurde. Ahnungslose Besucher der Website wurden gebeten, die bösartige Erweiterung zu installieren. Die Erweiterung ist eine einfache Hintertür, aber mit einer interessanten Art, die C&C-Domain aufzurufen.

Die Verwendung von Instagram

Die Erweiterung verwendet eine bit.ly URL, um Turlas C&C-Server zu erreichen. Der URL-Pfad ist allerdings nirgendwo im Code der Erweiterung zu finden. Tatsächlich erhält man den C&C-Pfad durch Kommentare, die unter einem bestimmten Instagram-Post abgesetzt wurden. Der Pfad, der in unserem analysierten Sample verwendet wurde, war ein zunächst unauffälliger Kommentar unter einem Foto vom offiziellen Instagram-Account von Britney Spears.

© https://www.instagram.com/p/BO8gU41A45g/

Die Erweiterung geht alle Foto-Kommentare durch und berechnet je einen Hash-Wert. Wenn der Hash mit 183 übereinstimmt, wird er den folgenden regulären Ausdruck auf den Kommentar anwenden, um den Pfad der bit.ly URL zu erhalten:

(?:\\u200d(?:#|@)(\\w)

Unter allen Kommentaren gibt es nur einen, der in Frage kommt. Dieser Kommentar wurde am 6. Februar veröffentlicht, während das Originalfoto Anfang Januar veröffentlicht wurde. Nimmt man den Kommentar und führt ihn im RegEx aus, erhält man folgende bit.ly URL:

http://bit.ly/2kdhuHX

Wenn wir ein bisschen genauer auf den regulären Ausdruck schauen, sehen wir, dass das Skript entweder @ | # oder das Unicode-Zeichen \ 200d sucht. Dieses Zeichen ist eigentlich ein non-printable character namens ‚Zero Width Joiner‘. Normalerweise wird er verwendet, um emojis zu trennen. Das Einfügen des eigentlichen Kommentars oder das Betrachten der Quelle verdeutlicht, dass der non-printable character dazu verwendet wird, jedes einzelne Zeichen des bit.ly-Pfads anzuzeigen:

smith2155<200d>#2hot ma<200d>ke lovei<200d>d to <200d>her, <200d>uupss <200d>#Hot <200d>#X

Die Auflösung des verkürzten Links führt zu static.travelclothes.org/dolR_1ert.php, einem schon in der Vergangenheit benutzten Watering Hole C&C-Server.

Wie es bei allen bit.ly Links der Fall ist, kann man sich eine Statistik ausgeben lassen, wie oft auf den Link geklickt wurde.

Turla

Wie man der Grafik entnehmen kann, weist der Pfad nur 17 Hits auf. Die niedrige Zahl könnte darauf hinweisen, dass es sich nur um einen Testlauf handelte.

Technische Analyse

Die Firefox-Erweiterung implementiert eine einfache Backdoor. Diese sammelt zunächst Informationen über das laufende System und sendet diese dann AES-verschlüsselt an den C&C-Server. Das Verhalten ist ähnlich dem, wie es im Pacifier APT White Paper beschrieben ist.

Die Backdoor-Komponente besitzt die Möglichkeit, vier verschiedene Arten von Befehlen auszuführen:

  • Eine beliebige Datei ausführen
  • Datei zum C&C-Server hochladen
  • Download einer Datei vom C&C-Server
  • Verzeichnisinhalt lesen – Detailliste inklusive Größe und Datum zum C&C senden

Wir glauben, dass das nur ein Test der Turla-Bande war. Die nächste Version der Erweiterung, wird bestimmt ganz anders aussehen. Es gibt mehrere APIs, die von Erweiterungen verwendet werden, die in zukünftigen Versionen von Firefox aber wieder verschwinden.

Unser Sample verwendet beispielsweise XPCOM, um Dateien auf Festplatte zuschreiben und sdk / system / child_process, um einen Prozess zu starten. Ab Firefox Version 57 wird Firefox diese Add-Ons nicht mehr laden und damit die Verwendung der APIs verhindern. Eine einfache Portierung alter Add-ons ist also nicht möglich.

Schlussfolgerung

Es ist sehr interessant, dass die Turla-Gang Social Media für sich entdeckt hat, um den Pfad zu einem ihrer C&C-Server zu generieren. Dieses Verhalten wurde in der Vergangenheit aber auch schon bei anderen cyberkriminellen Banden, wie bei den „Dukes“, beobachtet. Angreifer, die Social Media verwenden, um eine C&C-Pfad zu erstellen, erschweren das Leben für Verteidigende. Erstens ist es schwierig, bösartigen Traffic in sozialen Netzwerken von legitimem Verkehr zu unterscheiden. Zweitens gibt es den Angreifern mehr Flexibilität, wenn es darum geht, die C&C-Adresse zu ändern und alle Spuren zu verwischen. Interessant ist auch, dass sie eine alte Art des Fingerprintings wieder aufgreifen und neue Wege finden, den C&C-Server-Abruf noch etwas komplexer zu gestalten.

Für jegliche Anfragen, oder zur Sample-Einreichung, die im Zusammenhang mit dem Thema stehen, verweisen wir auf: threatintel@eset.com.

Danksagung

Wir danken Clement Lecigne von der Google Threat Analysis Group für seine Hilfe bei der Erforschung dieser Malware-Kampagne.

IoCs

Firefox-Erweiterung Hash

File nameSHA-1
html5.xpi5ba7532b4c89cc3f7ffe15b6c0e5df82a34c22ea
html5.xpi8e6c9e4582d18dd75162bcbc63e933db344c5680

Beobachtete kompromittierte Webseiten, die auf Fingerprinting-Server umleiten

Mit der Texterstellung sind alle Seiten sauber oder zeigen auf tote Fingerprinting-Server.

URLDescription
hxxp://www.namibianembassyusa.orgNamibia Embassy – USA
hxxp://www.avsa.orgAfrican Violet Society of America
hxxp://www.zambiaembassy.orgZambian Embassy – USA
hxxp://russianembassy.orgRussian Embassy – USA
hxxp://au.intAfrican Union
hxxp://mfa.gov.kgMinistry of Foreign Affairs – Kyrgyzstan
hxxp://mfa.uzMinistry of Foreign Affairs – Uzbekistan
hxxp://www.adesyd.esADESyD - Asociación de Diplomados Españoles en Seguridad y Defensa
hxxp://www.bewusstkaufen.atweb portal for sustainable consumption in Austria
hxxp://www.cifga.esCifga Laboratory working on development of marine toxin standards
hxxp://www.jse.orgJuventudes Socialistas de España (JSE)
hxxp://www.embassyofindonesia.orgEmbassy of Indonesia – USA
hxxp://www.mischendorf.attown of Mischendorf – Austria
hxxp://www.vfreiheitliche.atPolitical party in Bregenz, Austria
hxxp://www.xeneticafontao.comFontao Genetics, S.A. established in 1998 is responsible for the management of the Centre for Animal Selection and Reproduction of Galicia breeds Holstein, Rubia Gallega
hxxp://iraqiembassy.usEmbassy of Iraq – USA
hxxp://sai.gov.uaManagement of road safety (Ukraine)
hxxp://www.mfa.gov.mdMinistry of Foreign Affairs – Moldova
hxxp://mkk.gov.kgState Personnel Service - Kyrgyzstan

Kompromittierte Webseiten, die als First Stage Watering Hole C&C verwendet wurden:

  • hxxp://www.mentalhealthcheck.net/update/counter.js (hxxp://bitly.com/2hlv91v+)
  • hxxp://www.mentalhealthcheck.net/script/pde.js
  • hxxp://drivers.epsoncorp.com/plugin/analytics/counter.js
  • hxxp://rss.nbcpost.com/news/today/content.php
  • hxxp://static.travelclothes.org/main.js
  • hxxp://msgcollection.com/templates/nivoslider/loading.php
  • hxxp://versal.media/?atis=509
  • hxxp://www.ajepcoin.com/UserFiles/File/init.php (hxxp://bit.ly/2h8Lztj+)
  • hxxp://loveandlight.aws3.net/wp-includes/theme-compat/akismet.php
  • hxxp://alessandrosl.com/core/modules/mailer/mailer.php

Image credits: ©David Robson/Flickr

Hier können Sie mitdiskutieren