Okrum‑Backdoor gegen diplomatische Einrichtungen in Europa | WeLiveSecurity

Okrum‑Backdoor gegen diplomatische Einrichtungen in Europa

ESET-Forscher entdeckten Cyber-Angriffe auf diplomatische Einrichtungen in Europa. Dahinter stecken die Ke3chang-Gang und die Backdoor Okrum.

ESET-Forscher entdeckten Cyber-Angriffe auf diplomatische Einrichtungen in Europa. Dahinter stecken die Ke3chang-Gang und die Backdoor Okrum.

In diesem Blogpost fassen wir die Erkenntnisse aus dem ESET Whitepaper: Okrum and Ketrican: An overview of recent Ke3chang group activity zusammen.

Die Ke3chang-Gruppe (auch als APT15 bekannt) ist eine Cybergang, die wahrscheinlich von China aus agiert. Ihre Aktivitäten reichen zurück bis ins Jahr 2010, wie aus dem FireEye-Bericht aus dem Jahr 2013 über Operation Ke3chang hervorgeht – eine Cyberspionage-Kampagne auf diplomatische Einrichtungen in Europa.

Wir verfolgten die schädlichen Aktivitäten der Gruppierung und entdeckten dabei eine bisher unbekannte Malware-Variante mit starker Verknüpfung zu Ke3chang. Wir tauften die Backdoor „Okrum“. Laut ESET-Telemetriedaten tauchte das Hintertürchen erstmals im Dezember 2016 auf. Damals wurden diplomatische Einrichtungen in der Slowakei, Belgien, Chile, Guatemala und Brasilien bis über den gesamten Zeitraum des Jahres 2017 angegriffen.

Seit dem Jahr 2015 sind uns außerdem neue Versionen bereits veröffentlichter Malware-Varianten bekannt, die wir auch der Ke3chang-Gruppe zuordnen. Es handelt sich um die BS2005 Backdoors aus Operation Ke3chang und um die RoyalDNS-Backdoor, worüber die NCC Group im Jahr 2018 berichtete.

Anmerkung: Neue Versionen der Ke3chang-Malware aus den Jahren 2015-2019 werden von ESET-Sicherheitsprodukten als Win32/Ketrican erkannt und in unserem Whitepaper und in diesem Blogpost als Ketrican-Backdoors/-Samples bezeichnet (mit dem entsprechenden Jahr gekennzeichnet).

Cybercrime-Untersuchungen im zeitlichen Verlauf

2015: Ketrican

In 2015 entdeckten wir neue auffällige Cyber-Aktivitäten in Europa. Die für Cyberattacken verantwortliche Gruppe schien besonderes Interesse an der Slowakei zu hegen, da von dort die meisten Malware-Samples stammen. Betroffen waren aber auch Kroatien, Tschechien und andere Länder.

Unsere technische Analyse der bei diesen Angriffen verwendeten Malware ergab enge Verknüpfungen zu den BS2005-Backdoors der Ke3chang-Operation sowie zu einer verwandten TidePool-Malware-Familie, die Palo Alto Networks im Jahr 2016 aufdeckte.

2016-2017: Okrum

Die Geschichte setzte sich Ende des Jahres 2016 fort. Damals entdeckten wir die neue, bisher unbekannte, Backdoor – Okrum. Uns fiel auf, dass sich die Verantwortlichen auf dieselben Ziele in der Slowakei konzentrierten, wie es schon beim Ketrican-Backdoor im Jahr 2015 der Fall war.

2017: Ketrican und RoyalDNS

Allmählich verdeutlichte sich die Verflechtung zwischen Okrum und Ketrician. Wir entdeckten, dass man die Okrum-Backdoor benutzte, um die Ketrican-Backdoor (2017er Kompilierung) auf Computern zu verteilen.

Im Jahr 2017 wurden dieselben Ziele wieder durch die Okrum-Malware kompromittiert. Dieses Mal benutzten die Cyberangreifer eine neue Version der RoyalDNS-Schadsoftware und die 2017er Ketrican-Backdoor.

2018: Ketrican

Im Jahr 2018 enttarnten wir eine neue Ketrican-Backdoor-Version, die allerlei Code-Verbesserung aufwies.

2019: Ketrican

Die Ke3chang-Cybergang ist auch in diesem Jahr aktiv. Im März begegnete uns ein neues Ketrican-Sample. Aus diesem geht hervor, dass man dieselben Ziele wie im Jahr 2018 anvisierte.

Insgesamt zeigt der zeitliche Verlauf, dass sich die Angreifer auf eine Gruppe von Zielen fokussierten, aber verschiedene bösartige Tools gegen diese einsetzten. Dabei offenbarten sie das bisher unbekannte Malware-Projekt Okrum. Abbildung 1 zeigt die Aktivitäten der Ke3chang-Cybergruppe und die von ESET erkannten Backdoors Okrum, Ketrican und RoyalDNS.

Abbildung 1: Aktivität von Ke3chang und die von ESET entdeckten Backdoors Okrum, Ketrican und RoyalDNS

Abbildung 1: Aktivität von Ke3chang und die von ESET entdeckten Backdoors Okrum, Ketrican und RoyalDNS

Verbindung zur Ke3chang-Cybergang

Bei den Untersuchungen stellte sich heraus, dass die nach dem Jahr 2015 gefundenen Backdoors Okrum, Ketrican und RoyalDNS in Verbindung mit den Aktivitäten der Ke3chang-Gruppe. Auch die Backdoors weisen einen Konnex untereinander auf. Hier die wichtigsten Erkenntnisse:

  • Die Ketrican-Backdoors aus den Jahren 2015 – 2019 stammen alle von einer Malware ab, die in Operation Ke3chang zum Einsatz kam.
  • Die im Jahr 2017 von ESET erkannte RoyalDNS-Backdoor ähnelt der RoyalDNS-Backdoor, die in zuvor bekanntgewordenen Cyber-Angriffen auftauchte.
  • Okrum steht in Verbindung zu den Ketrican-Backdoors, da es für die Verteilung einer neu kompilierten Ketrican-Backdoor im Jahr 2017 verantwortlich war.
  • Okrum, Ketrican und RoyalDNS richten sich gegen dieselbe Art von Einrichtungen. Einige Okrum-Betroffene wurden bereits zuvor Opfer mehrerer Ketrican-/RoyalDNS-Backdoors.
  • Okrum verhält sich ähnlich wie bereits vorher analysierte Ke3chang-Malware. Das Hintertür-Programm ist mit grundlegenden Backdoor-Befehlen ausgestattet und verlässt sich auf die manuelle Eingabe von Shell-Commands sowie das Ausführen von externen Tools zur Cyberspionage.

Okrum – Eine Backdoor der Ke3chang-Cybergang

Verteilung der Okrum-Backdoor und deren Ziele

Unseren Telemetrie-Daten nach zu urteilen, wurde Okrum dazu genutzt, diplomatische Einrichtungen in der Slowakei, Belgien, Chile, Guatemala und Brasilien auszuspionieren. Besonderes Interesse hatten die Cyberspione an der Slowakei.

Die Malware-Operatoren versuchten den schädlichen Traffic zu den C&C-Servern innerhalb des regulären Netzwerkverkehrs zu verstecken – beispielsweise in dem sie einen legitim-aussehenden Domain-Name registrierten. Slowakische Samples ahmten zum Beispiel ein slowakisches Maps-Portal (support.slovakmaps[.]com) nach. Auf ähnliche Weise versuchten auch Malware-Samples aus einem Spanisch sprechenden Land ihr wahres Vorhaben zu verschleiern. Hier registrierten die Cyberkriminellen den Domain-Name misiones.sportesisco[.]com.

Wie die Okrum-Malware allerdings erst auf die Geräte der Opfer gelangen konnte, bleibt rätselhaft.

Technische Details der Okrum-Backdoor

Das Hintertürchen-Programm besteht aus einer dynamischen Programmbibliothek (.dll), die durch zwei vorher auftretende Komponenten installiert und geladen wird. Während unserer Untersuchung änderte man die Implementierung der beiden Komponenten häufiger. Alle paar Monate wechselten die Malware-Entwickler die Implementierung des Okrum-Loaders und -Installers aktiv, um eventuellen Erkennungen durch Antivirus-Programme vorzubeugen. Deren Funktion blieb jedoch immer dieselbe. Zum Zeitpunkt der Erstellung dieses Beitrags, erkennen ESET-Antivirenprogramme sieben unterschiedliche Loader-Versionen und zwei Installer.

Der Okrum-Payload versteckt sich in einer PNG-Bilddatei. Was der User zu Gesicht bekommt, ist beispielsweise das Logo vom Internet Explorer, wie in Abbildung 2. Die Okrum-Loader sind aber in der Lage, verschlüsselte extra Bytes an Daten aus der PNG-Datei zu extrahieren. Dieses „Extra“ sieht man dem Bild nicht an. Diese Technik ist auch als Steganographie bekannt. Malware-Entwickler nutzten das, um verborgen gespeicherte Daten an Antiviren-Programmen vorbei zu schmuggeln.

Abbildung 2: Eine harmlos aussehende PNG-Bilddatei enthält eine verborgene und verschlüsselte .DLL

Abbildung 2: Eine harmlos aussehende PNG-Bilddatei enthält eine verborgene und verschlüsselte .DLL

Der Funktionsumfang von Okrum ist im Vergleich zu anderen Backdoors relativ klein. Die Okrum-Entwickler beschränkten sich auf grundlegende Backdoor-Befehle wie das Downloaden und Hochladen von Dateien und dem Ausführen von Dateien und Shell-Commands. Die meisten schädlichen Aktivitäten müssen durch Shell-Befehle initiiert werden oder man greift gleich ganz auf andere Tools und Software zurück. Auf diese gängige Praxis der Ke3chang-Cybergang wurde bereits in den Beiträgen von Intezer und NCC Group hingewiesen.

Es stellte sich heraus, dass Okrum auf verschiedene externe Tools zurückgreift. Dazu gehören Keylogger, Password Dump und Network Session Tools. Auch die Ketrican-Backdoors, die von uns zwischen den Jahren 2015 – 2019 entdeckt wurden, verwenden ähnliche Werkzeuge. Wir können nur mutmaßen, warum die Ke3chang-Gruppe auf diese Technik setzte. Vielleicht erfüllt die Kombination aus einfachem Backdoor und externen Tools ganz die Ansprüche der Cyberkriminellen. Ihnen entsteht auch weniger Entwicklungsaufwand. Möglicherweise ist das auch nur ein Versuch, verhaltensbasierten Malware-Entdeckungen zu entgehen.

Zu den von uns beobachteten Anti-Erkennungs-Techniken gehören die Anwendung von Steganographie im PNG-Bild, die Verwendung verschiedener Anti-Emulations- und Anti-Sandbox-Tricks sowie dar häufige Wechsel der Implementierung von Loader und Installer.

Fazit

Wir haben die Verknüpfung zwischen älterer Ke3chang-Malware und der neu entdeckten Okrum-Backdoor analysiert. Mit großer Sicherheit kann man behaupten, dass Okrum auch von der Ke3chang-Cybergang stammt. Ihre Handlungen, ausgehend vom Jahr 2015 bis jetzt, deuten darauf hin, dass sie weiterhin aktiv ist und daran arbeitet, Malware-Code im Laufe der Zeit zu verbessern.

Die ESET-Erkennungsnamen und andere Indicators of Compromise für diese Malware-Kampagne findet man im umfassenden ESET Whitepaper: „Okrum and Ketrican: An overview of recent Ke3chang group activity“.

MITRE ATT&CK techniques

TacticIDNameDescription
ExecutionT1059Command-Line InterfaceOkrum’s backdoor uses cmd.exe to execute arbitrary commands.
T1064ScriptingThe backdoor uses batch scripts to update itself to a newer version.
T1035Service ExecutionThe Stage 1 loader creates a new service named NtmsSvc to execute the payload.
PersistenceT1050New ServiceTo establish persistence, Okrum installs itself as a new service named NtmSsvc.
T1060Registry Run Keys / Startup FolderOkrum establishes persistence by creating a .lnk shortcut to itself in the Startup folder.
T1053Scheduled TaskThe installer component tries to achieve persistence by creating a scheduled task.
T1023Shortcut ModificationOkrum establishes persistence by creating a .lnk shortcut to itself in the Startup folder.
Privilege EscalationT1134Access Token ManipulationOkrum can impersonate a logged on user's security context using a call to the ImpersonateLoggedOnUser API.
Defense EvasionT1140Deobfuscate/Decode Files or InformationThe Stage 1 loader decrypts the backdoor code, embedded within the loader or within a legitimate PNG file. A custom XOR cipher or RC4 is used for decryption.
T1107File DeletionOkrum’s backdoor deletes files after they have been successfully uploaded to C&C servers.
T1158Hidden Files and DirectoriesBefore exfiltration, Okrum’s backdoor uses hidden files to store logs and outputs from backdoor commands.
T1066Indicator Removal from ToolsOkrum underwent regular technical improvements to evade antivirus detection.
T1036MasqueradingOkrum establishes persistence by adding a new service NtmsSvc with the display name Removable Storage in an attempt to masquerade as a legitimate Removable Storage Manager.
T1027Obfuscated Files or InformationOkrum's payload is encrypted and embedded within the Stage 1 loader, or within a legitimate PNG file.
T1497Virtualization/Sandbox EvasionThe Stage 1 loader performs several checks on the victim's machine to avoid being emulated or executed in a sandbox.
Credential AccessT1003Credential DumpingOkrum was seen using MimikatzLite and modified Quarks PwDump to perform credential dumping.
DiscoveryT1083File and Directory DiscoveryOkrum was seen using DriveLetterView to enumerate drive information.
T1082System Information DiscoveryOkrum collects computer name, locale information, and information about the OS and architecture.
T1016System Network Configuration DiscoveryOkrum collects network information, including host IP address, DNS and proxy information.
T1049System Network Connections DiscoveryOkrum used NetSess to discover NetBIOS sessions.
T1033System Owner/User DiscoveryOkrum collects the victim user name.
T1124System Time DiscoveryOkrum can obtain the date and time of the compromised system.
CollectionT1056Input CaptureOkrum was seen using a keylogger tool to capture keystrokes.
ExfiltrationT1002Data CompressedOkrum was seen using a RAR archiver tool to compress data.
T1022Data EncryptedOkrum uses AES encryption and base64 encoding of files before exfiltration.
T1041Exfiltration Over Command and Control ChannelData exfiltration is done using the already opened channel with the C&C server.
Command And ControlT1043Commonly Used PortOkrum uses port 80 for C&C.
T1090Connection ProxyOkrum identifies a proxy server if it exists and uses it to make HTTP requests.
T1132Data EncodingThe communication with the C&C server is base64 encoded.
T1001Data ObfuscationThe communication with the C&C server is hidden in the Cookie and Set-Cookie headers of HTTP requests.
T1071Standard Application Layer ProtocolOkrum uses HTTP for communication with its C&C.
T1032Standard Cryptographic ProtocolOkrum uses AES to encrypt network traffic. The key can be hardcoded or negotiated with the C&C server in the registration phase.

Hier können Sie mitdiskutieren