In diesem Beitrag fassen wir die Ergebnisse aus dem Whitepaper „Quasar, Sobaken and Vermin: A deeper look into an ongoing espionage campaign“ zusammen.
ESET verfolgte die Angreifer hinter der E-Spionage-Kampagne seit etwa der Mitte des Jahres 2017. Ihre Aktivitäten wurden erstmals im Januar 2018 öffentlich bekannt. Unsere Analysen zeigen, inwieweit die Cyberkriminellen ihre Spionage-Kampagnen durch die Entwicklung neuer Cyberspionage-Tools verbessern.
ESET Telemetrie-Daten zufolge nahmen die Cyber-Angreifer ukrainische Regierungsinstitutionen ins Visier. Dabei gab es einige hunderte Spionage-Opfer in den unterschiedlichen Organisationen. Durch den Einsatz von gut getarnten Remote Access Tools (RATs) gelang es den Attackierenden sensible Daten von den Rechnern der E-Spionage-Opfern zu stehlen.
Vermin, Quasar, Sobaken Detection Map
Wir entdeckten drei Derivate einer .NET-Malware in dieser E-Spionage-Kampagne: Quasar RAT, Sobaken RAT, und ein selbstgeschaffenes RAT namens Vermin. Alle drei Cyber-Spionage-Werkzeuge waren gleichzeitig im Einsatz gegen unterschiedliche Ziele. Bauteile ihrer Infrastruktur gleichen sich. Außerdem kommunizierten sie mit denselben C&C-Servern.
Quasar ist ein Open-Source RAT, das auf Github zur freien Verfügung steht. Wir waren in der Lage, Malware-Kampagnen, bei denen Quasar RAT Quellcode zum Einsatz kam, bis zum Oktober 2015 zurückzuverfolgen.
Sobaken ist eine sehr stark modifiziert Version von Quasar RAT. So verschwanden einige Funktionen, um die ausführbare .exe zu verkleinern. Dazu kamen Anti-Sandbox-Tricks und andere Umgehungstaktiken, um nicht entdeckt zu werden.
Vermin ist eine selbstgeschaffene Backdoor, die zum ersten Mal in der Mitte des Jahres 2016 auftauchte und während der Erstellung dieses Artikels auch weiterhin in Gebrauch war. Genau wie Quasar und Sobaken ist Vermin in .NET geschrieben. Um Analysen zu erschweren, schützt ein kommerzielles .NET Code Protection System wie .NET Reactor oder ein Open-Source Schutz wie ConfuserEX den Quellcode der E-Spionage-Tools.
Vermin ist eine vollumfänglich ausgestattete Backdoor mit mehreren optionalen Komponenten. Die uns letztbekannte Version unterstützt 24 Kommandos, die im Payload implementiert sind. Andere zusätzliche Kommandos werden durch optionale Komponenten realisiert. Dazu zählen beispielsweise Audio-Aufnahmen, Keylogging oder Passwortdiebstahl.
Die von uns untersuchten E-Spionage-Kampagnen bauen auf Social Engineering auf. Es kommen aber auch noch andere Tricks zum Einsatz, damit die Spionage-Opfer leichtfertiger Malware aus beispielsweise E-Mail-Anhängen herunterladen und ausführen. Einige Tricks benutzen das Right-to-Left-Override, um schädliche Dateiendungen in Anhängen zu verschleiern. In E-Mail-Anhängen waren außerdem getarnte RAR-Archive zu finden oder spezielle Kombinationen aus einem Word-Dokument und dem CVE-2017-0199 Exploit.
Alle drei RAT-Varianten installieren sich über denselben Weg in die Computer der E-Spionage-Opfer. Ein Dropper legt die schädliche Payload-Datei (von Vermin, Quasar oder Sobaken) in einen Unterordner des %APPDATA%-Ordners. Der Unterordner trägt dabei einen Namen großer legitimer Firmen wie Adobe, Intel oder Microsoft. Danach erstellt die Malware eine geplante Aufgabe, welche die Nutzlast alle zehn Minuten ausführt, um deren Persistenz zu gewährleisten.
Mehrere Maßnahmen sollen sicherstellen, dass die Malware nur auf Computern der Spionage-Opfer ausgeführt wird. Außerdem sollen automatisierte Analysesysteme und Sandboxen vermieden werden. Findet die Schadsoftware kein russisches oder ukrainisches Tastaturlayout beendet sie sich. Das Gleiche geschieht, wenn die IP-Adressen außerhalb des anvisierten Territoriums liegen oder Antivirenprogramme und Cloud-Anbieter registriert werden. Die Malware verhindert auch dann die weitere Ausführung, wenn sie Usernamen typischer automatisierter Malware-Analyse-Systeme vorfindet. Außerdem prüft sie, ob das operierende System, wie es mit willkürlich generierten URL umgeht und ob eine Verbindung dorthin fehlschlägt – was normalerweise passieren würde.
Die Angreifer haben nicht so viel Aufmerksamkeit erfahren, wie vergleichbare Cyberkriminelle mit ähnlichen prominenten Angriffszielen in der Ukraine. Allerdings bewiesen sie, dass Cyber-Spionage auch durch clevere Social Engineering Methoden funktioniert – ganz ohne hochentwickelte Malware. Das unterstreicht wiederum den Bedarf an Schulungspersonal im Bereich Cybersicherheit; zusätzlich zu einer qualitativ hochwertigen Sicherheitslösung.
Die ESET Detection Names und Indicators of Compromise der E-Spionage-Kampagne sind im umfassenden Whitepaper „Quasar, Sobaken and Vermin: A deeper look into an ongoing espionage campaign“ zu finden.
