In diesem Blogpost fassen wir die Erkenntnisse aus dem ESET Whitepaper: Okrum and Ketrican: An overview of recent Ke3chang group activity zusammen.

Die Ke3chang-Gruppe (auch als APT15 bekannt) ist eine Cybergang, die wahrscheinlich von China aus agiert. Ihre Aktivitäten reichen zurück bis ins Jahr 2010, wie aus dem FireEye-Bericht aus dem Jahr 2013 über Operation Ke3chang hervorgeht – eine Cyberspionage-Kampagne auf diplomatische Einrichtungen in Europa.

Wir verfolgten die schädlichen Aktivitäten der Gruppierung und entdeckten dabei eine bisher unbekannte Malware-Variante mit starker Verknüpfung zu Ke3chang. Wir tauften die Backdoor „Okrum“. Laut ESET-Telemetriedaten tauchte das Hintertürchen erstmals im Dezember 2016 auf. Damals wurden diplomatische Einrichtungen in der Slowakei, Belgien, Chile, Guatemala und Brasilien bis über den gesamten Zeitraum des Jahres 2017 angegriffen.

Seit dem Jahr 2015 sind uns außerdem neue Versionen bereits veröffentlichter Malware-Varianten bekannt, die wir auch der Ke3chang-Gruppe zuordnen. Es handelt sich um die BS2005 Backdoors aus Operation Ke3chang und um die RoyalDNS-Backdoor, worüber die NCC Group im Jahr 2018 berichtete.

Anmerkung: Neue Versionen der Ke3chang-Malware aus den Jahren 2015-2019 werden von ESET-Sicherheitsprodukten als Win32/Ketrican erkannt und in unserem Whitepaper und in diesem Blogpost als Ketrican-Backdoors/-Samples bezeichnet (mit dem entsprechenden Jahr gekennzeichnet).

Cybercrime-Untersuchungen im zeitlichen Verlauf

2015: Ketrican

In 2015 entdeckten wir neue auffällige Cyber-Aktivitäten in Europa. Die für Cyberattacken verantwortliche Gruppe schien besonderes Interesse an der Slowakei zu hegen, da von dort die meisten Malware-Samples stammen. Betroffen waren aber auch Kroatien, Tschechien und andere Länder.

Unsere technische Analyse der bei diesen Angriffen verwendeten Malware ergab enge Verknüpfungen zu den BS2005-Backdoors der Ke3chang-Operation sowie zu einer verwandten TidePool-Malware-Familie, die Palo Alto Networks im Jahr 2016 aufdeckte.

2016-2017: Okrum

Die Geschichte setzte sich Ende des Jahres 2016 fort. Damals entdeckten wir die neue, bisher unbekannte, Backdoor – Okrum. Uns fiel auf, dass sich die Verantwortlichen auf dieselben Ziele in der Slowakei konzentrierten, wie es schon beim Ketrican-Backdoor im Jahr 2015 der Fall war.

2017: Ketrican und RoyalDNS

Allmählich verdeutlichte sich die Verflechtung zwischen Okrum und Ketrician. Wir entdeckten, dass man die Okrum-Backdoor benutzte, um die Ketrican-Backdoor (2017er Kompilierung) auf Computern zu verteilen.

Im Jahr 2017 wurden dieselben Ziele wieder durch die Okrum-Malware kompromittiert. Dieses Mal benutzten die Cyberangreifer eine neue Version der RoyalDNS-Schadsoftware und die 2017er Ketrican-Backdoor.

2018: Ketrican

Im Jahr 2018 enttarnten wir eine neue Ketrican-Backdoor-Version, die allerlei Code-Verbesserung aufwies.

2019: Ketrican

Die Ke3chang-Cybergang ist auch in diesem Jahr aktiv. Im März begegnete uns ein neues Ketrican-Sample. Aus diesem geht hervor, dass man dieselben Ziele wie im Jahr 2018 anvisierte.

Insgesamt zeigt der zeitliche Verlauf, dass sich die Angreifer auf eine Gruppe von Zielen fokussierten, aber verschiedene bösartige Tools gegen diese einsetzten. Dabei offenbarten sie das bisher unbekannte Malware-Projekt Okrum. Abbildung 1 zeigt die Aktivitäten der Ke3chang-Cybergruppe und die von ESET erkannten Backdoors Okrum, Ketrican und RoyalDNS.

Abbildung 1: Aktivität von Ke3chang und die von ESET entdeckten Backdoors Okrum, Ketrican und RoyalDNS

Abbildung 1: Aktivität von Ke3chang und die von ESET entdeckten Backdoors Okrum, Ketrican und RoyalDNS

Verbindung zur Ke3chang-Cybergang

Bei den Untersuchungen stellte sich heraus, dass die nach dem Jahr 2015 gefundenen Backdoors Okrum, Ketrican und RoyalDNS in Verbindung mit den Aktivitäten der Ke3chang-Gruppe. Auch die Backdoors weisen einen Konnex untereinander auf. Hier die wichtigsten Erkenntnisse:

  • Die Ketrican-Backdoors aus den Jahren 2015 – 2019 stammen alle von einer Malware ab, die in Operation Ke3chang zum Einsatz kam.
  • Die im Jahr 2017 von ESET erkannte RoyalDNS-Backdoor ähnelt der RoyalDNS-Backdoor, die in zuvor bekanntgewordenen Cyber-Angriffen auftauchte.
  • Okrum steht in Verbindung zu den Ketrican-Backdoors, da es für die Verteilung einer neu kompilierten Ketrican-Backdoor im Jahr 2017 verantwortlich war.
  • Okrum, Ketrican und RoyalDNS richten sich gegen dieselbe Art von Einrichtungen. Einige Okrum-Betroffene wurden bereits zuvor Opfer mehrerer Ketrican-/RoyalDNS-Backdoors.
  • Okrum verhält sich ähnlich wie bereits vorher analysierte Ke3chang-Malware. Das Hintertür-Programm ist mit grundlegenden Backdoor-Befehlen ausgestattet und verlässt sich auf die manuelle Eingabe von Shell-Commands sowie das Ausführen von externen Tools zur Cyberspionage.

Okrum – Eine Backdoor der Ke3chang-Cybergang

Verteilung der Okrum-Backdoor und deren Ziele

Unseren Telemetrie-Daten nach zu urteilen, wurde Okrum dazu genutzt, diplomatische Einrichtungen in der Slowakei, Belgien, Chile, Guatemala und Brasilien auszuspionieren. Besonderes Interesse hatten die Cyberspione an der Slowakei.

Die Malware-Operatoren versuchten den schädlichen Traffic zu den C&C-Servern innerhalb des regulären Netzwerkverkehrs zu verstecken – beispielsweise in dem sie einen legitim-aussehenden Domain-Name registrierten. Slowakische Samples ahmten zum Beispiel ein slowakisches Maps-Portal (support.slovakmaps[.]com) nach. Auf ähnliche Weise versuchten auch Malware-Samples aus einem Spanisch sprechenden Land ihr wahres Vorhaben zu verschleiern. Hier registrierten die Cyberkriminellen den Domain-Name misiones.sportesisco[.]com.

Wie die Okrum-Malware allerdings erst auf die Geräte der Opfer gelangen konnte, bleibt rätselhaft.

Technische Details der Okrum-Backdoor

Das Hintertürchen-Programm besteht aus einer dynamischen Programmbibliothek (.dll), die durch zwei vorher auftretende Komponenten installiert und geladen wird. Während unserer Untersuchung änderte man die Implementierung der beiden Komponenten häufiger. Alle paar Monate wechselten die Malware-Entwickler die Implementierung des Okrum-Loaders und -Installers aktiv, um eventuellen Erkennungen durch Antivirus-Programme vorzubeugen. Deren Funktion blieb jedoch immer dieselbe. Zum Zeitpunkt der Erstellung dieses Beitrags, erkennen ESET-Antivirenprogramme sieben unterschiedliche Loader-Versionen und zwei Installer.

Der Okrum-Payload versteckt sich in einer PNG-Bilddatei. Was der User zu Gesicht bekommt, ist beispielsweise das Logo vom Internet Explorer, wie in Abbildung 2. Die Okrum-Loader sind aber in der Lage, verschlüsselte extra Bytes an Daten aus der PNG-Datei zu extrahieren. Dieses „Extra“ sieht man dem Bild nicht an. Diese Technik ist auch als Steganographie bekannt. Malware-Entwickler nutzten das, um verborgen gespeicherte Daten an Antiviren-Programmen vorbei zu schmuggeln.

Abbildung 2: Eine harmlos aussehende PNG-Bilddatei enthält eine verborgene und verschlüsselte .DLL

Abbildung 2: Eine harmlos aussehende PNG-Bilddatei enthält eine verborgene und verschlüsselte .DLL

Der Funktionsumfang von Okrum ist im Vergleich zu anderen Backdoors relativ klein. Die Okrum-Entwickler beschränkten sich auf grundlegende Backdoor-Befehle wie das Downloaden und Hochladen von Dateien und dem Ausführen von Dateien und Shell-Commands. Die meisten schädlichen Aktivitäten müssen durch Shell-Befehle initiiert werden oder man greift gleich ganz auf andere Tools und Software zurück. Auf diese gängige Praxis der Ke3chang-Cybergang wurde bereits in den Beiträgen von Intezer und NCC Group hingewiesen.

Es stellte sich heraus, dass Okrum auf verschiedene externe Tools zurückgreift. Dazu gehören Keylogger, Password Dump und Network Session Tools. Auch die Ketrican-Backdoors, die von uns zwischen den Jahren 2015 – 2019 entdeckt wurden, verwenden ähnliche Werkzeuge. Wir können nur mutmaßen, warum die Ke3chang-Gruppe auf diese Technik setzte. Vielleicht erfüllt die Kombination aus einfachem Backdoor und externen Tools ganz die Ansprüche der Cyberkriminellen. Ihnen entsteht auch weniger Entwicklungsaufwand. Möglicherweise ist das auch nur ein Versuch, verhaltensbasierten Malware-Entdeckungen zu entgehen.

Zu den von uns beobachteten Anti-Erkennungs-Techniken gehören die Anwendung von Steganographie im PNG-Bild, die Verwendung verschiedener Anti-Emulations- und Anti-Sandbox-Tricks sowie dar häufige Wechsel der Implementierung von Loader und Installer.

Fazit

Wir haben die Verknüpfung zwischen älterer Ke3chang-Malware und der neu entdeckten Okrum-Backdoor analysiert. Mit großer Sicherheit kann man behaupten, dass Okrum auch von der Ke3chang-Cybergang stammt. Ihre Handlungen, ausgehend vom Jahr 2015 bis jetzt, deuten darauf hin, dass sie weiterhin aktiv ist und daran arbeitet, Malware-Code im Laufe der Zeit zu verbessern.

Die ESET-Erkennungsnamen und andere Indicators of Compromise für diese Malware-Kampagne findet man im umfassenden ESET Whitepaper: „Okrum and Ketrican: An overview of recent Ke3chang group activity“.

MITRE ATT&CK techniques

Tactic ID Name Description
Execution T1059 Command-Line Interface Okrum’s backdoor uses cmd.exe to execute arbitrary commands.
T1064 Scripting The backdoor uses batch scripts to update itself to a newer version.
T1035 Service Execution The Stage 1 loader creates a new service named NtmsSvc to execute the payload.
Persistence T1050 New Service To establish persistence, Okrum installs itself as a new service named NtmSsvc.
T1060 Registry Run Keys / Startup Folder Okrum establishes persistence by creating a .lnk shortcut to itself in the Startup folder.
T1053 Scheduled Task The installer component tries to achieve persistence by creating a scheduled task.
T1023 Shortcut Modification Okrum establishes persistence by creating a .lnk shortcut to itself in the Startup folder.
Privilege Escalation T1134 Access Token Manipulation Okrum can impersonate a logged on user's security context using a call to the ImpersonateLoggedOnUser API.
Defense Evasion T1140 Deobfuscate/Decode Files or Information The Stage 1 loader decrypts the backdoor code, embedded within the loader or within a legitimate PNG file. A custom XOR cipher or RC4 is used for decryption.
T1107 File Deletion Okrum’s backdoor deletes files after they have been successfully uploaded to C&C servers.
T1158 Hidden Files and Directories Before exfiltration, Okrum’s backdoor uses hidden files to store logs and outputs from backdoor commands.
T1066 Indicator Removal from Tools Okrum underwent regular technical improvements to evade antivirus detection.
T1036 Masquerading Okrum establishes persistence by adding a new service NtmsSvc with the display name Removable Storage in an attempt to masquerade as a legitimate Removable Storage Manager.
T1027 Obfuscated Files or Information Okrum's payload is encrypted and embedded within the Stage 1 loader, or within a legitimate PNG file.
T1497 Virtualization/Sandbox Evasion The Stage 1 loader performs several checks on the victim's machine to avoid being emulated or executed in a sandbox.
Credential Access T1003 Credential Dumping Okrum was seen using MimikatzLite and modified Quarks PwDump to perform credential dumping.
Discovery T1083 File and Directory Discovery Okrum was seen using DriveLetterView to enumerate drive information.
T1082 System Information Discovery Okrum collects computer name, locale information, and information about the OS and architecture.
T1016 System Network Configuration Discovery Okrum collects network information, including host IP address, DNS and proxy information.
T1049 System Network Connections Discovery Okrum used NetSess to discover NetBIOS sessions.
T1033 System Owner/User Discovery Okrum collects the victim user name.
T1124 System Time Discovery Okrum can obtain the date and time of the compromised system.
Collection T1056 Input Capture Okrum was seen using a keylogger tool to capture keystrokes.
Exfiltration T1002 Data Compressed Okrum was seen using a RAR archiver tool to compress data.
T1022 Data Encrypted Okrum uses AES encryption and base64 encoding of files before exfiltration.
T1041 Exfiltration Over Command and Control Channel Data exfiltration is done using the already opened channel with the C&C server.
Command And Control T1043 Commonly Used Port Okrum uses port 80 for C&C.
T1090 Connection Proxy Okrum identifies a proxy server if it exists and uses it to make HTTP requests.
T1132 Data Encoding The communication with the C&C server is base64 encoded.
T1001 Data Obfuscation The communication with the C&C server is hidden in the Cookie and Set-Cookie headers of HTTP requests.
T1071 Standard Application Layer Protocol Okrum uses HTTP for communication with its C&C.
T1032 Standard Cryptographic Protocol Okrum uses AES to encrypt network traffic. The key can be hardcoded or negotiated with the C&C server in the registration phase.