XDSpy – neue APT‑Gruppe entdeckt | WeLiveSecurity

XDSpy – neue APT‑Gruppe entdeckt

ESET-Forscher haben eine neue APT-Gruppe entdeckt, die seit 2011 Regierungen in Osteuropa und auf dem Balkan ausspioniert.

ESET-Forscher haben eine neue APT-Gruppe entdeckt, die seit 2011 Regierungen in Osteuropa und auf dem Balkan ausspioniert.

Es ist selten, dass eine APT-Gruppe neun Jahre lang weitgehend unentdeckt bleibt. Aber XDSpy ist genau das gelungen. Die zuvor undokumentierte Spionagegruppe ist schon seit 2011 aktiv und hat, mit Ausnahme eines Warnhinweises des belarussischen CERT im Februar 2020, in der Öffentlichkeit nur sehr wenig Beachtung gefunden. In der Zwischenzeit konnte die Gruppe viele Regierungsorganisationen und private Unternehmen in Osteuropa und auf dem Balkan kompromittieren.

Dieser Blogpost ist eine Zusammenfassung mit aktualisierten Informationen zu den Kompromittierungsvektoren und Kompromittierungsindikatoren (IoC) unserer Forschungsergebnisse, wie wir sie auf der Virus Bulletin 2020 Konferenz vorgestellt haben (siehe ebenfalls im Paper und der Präsentation).

Angriffsziele von XDSpy

Die Ziele der XDSpy-Gruppe befinden sich in Osteuropa und auf dem Balkan. Es sind in erster Linie Regierungsstellen, darunter Verteidigungs- und Außenministerien, sowie private Unternehmen. Abbildung 1 zeigt eine Karte der Länder bekannter Opfer gemäß ESET-Telemetrie.

Abbildung 1. Karte der XDSpy-Opfer gemäß ESET-Telemetrie (Weißrussland, Moldawien, Russland, Serbien und Ukraine)

Attribution

Nach sorgfältiger Recherche konnten wir XDSpy nicht mit einer öffentlich bekannten APT-Gruppe verknüpfen:

  • Wir konnten keine Code-Ähnlichkeit mit anderen Malware-Familien feststellen.
  • Wir konnten keine Überschneidungen in der Netzwerkinfrastruktur feststellen.
  • Uns ist keine andere APT-Gruppe bekannt, die auf diese spezifischen Länder und Branchen abzielt.

Darüber hinaus ist die Gruppe seit mehr als neun Jahren aktiv. Hätte es eine solche Überschneidung gegeben, dann wären sie, unserer Meinung nach, schon vor langer Zeit bemerkt und die Gruppe entdeckt worden.

Wir glauben, dass die Entwickler in der Zeitzone UTC+2 oder UTC+3 arbeiten könnten, die auch die Zeitzone der meisten Ziele ist. Nach unseren Recherchen arbeiteten sie nur von Montag bis Freitag, was auf eine berufliche Tätigkeit hindeutet.

Angriffsvektoren

XDSpy-Betreiber scheinen hauptsächlich Spearphishing-E-Mails zu verwenden, um ihre Ziele anzugreifen. Tatsächlich ist dies der einzige Angriffsvektor, den wir beobachten konnten. Die E-Mails variieren jedoch in der Regel geringfügig: Einige enthalten einen Anhang, während andere einen Link zu einer schädlichen Datei enthalten. Die erste Schicht der schädlichen Datei oder des schädlichen Anhangs ist im Allgemeinen ein ZIP- oder RAR-Archiv.

Abbildung 2 zeigt ein Beispiel für eine XDSpy-Spearphishing-E-Mail, die im Februar 2020 gesendet wurde.

Abbildung 2. Spearphishing-E-Mail, die von den XDSpy-Betreibern im Februar 2020 gesendet wurde

Grob übersetzt heißt es in der E-Mail:

Guten Tag!

Ich sende Ihnen eine Kopie des Briefes und der Fotomaterialien, die auf den Ergebnissen der Arbeit basieren. Klicken Sie auf den Link zum Herunterladen: Fotomaterial_11.02.2020.zip

Wir warten bis zum Ende des Arbeitstages auf eine Antwort.

Der Link verweist auf ein ZIP-Archiv, das eine LNK-Datei ohne jegliche Täuschungsdokumente enthält. Wenn das Opfer darauf doppelklickt, lädt das LNK ein zusätzliches Skript herunter, das XDDown, die Hauptkomponente der Malware, installiert.

Nachdem unser Artikel beim Virus Bulletin eingereicht worden war, haben wir die Gruppe weiter beobachtet und nach einer Pause zwischen März und Juni 2020 wurden sie wieder tätig. Ende Juni 2020 konnten die Betreiber ihre Angriffe durch die Ausnutzung einer Schwachstelle im Internet Explorer (CVE-2020-0968), die im April 2020 gepatcht wurde, verbessern. Anstatt einem Archiv mit einer LNK-Datei bereitzustellen, lieferte der C&C-Server nun eine RTF-Datei. Diese lud nach dem Öffnen eine HTML-Datei herunter, die die oben genannte Schwachstelle ausnutzt.

CVE-2020-0968 gehört zu einer Reihe von ähnlichen Sicherheitslücken in der IE-Legacy-JavaScript-Engine, die in den letzten zwei Jahren entdeckt wurden. Zu dem Zeitpunkt, als die Lücke von XDSpy ausgenutzt wurde, waren online keine Proof-of-Concept-Informationen und nur sehr wenige Informationen zu dieser spezifischen Sicherheitsanfälligkeit verfügbar. Deswegen glauben wir, dass XDSpy diesen Exploit entweder von einem Broker gekauft oder selbst einen 1-Day-Exploit entwickelt hat, bei dem man frühere Exploits als Inspiration genutzt hat.

Es ist interessant, dass dieser Exploit Ähnlichkeiten mit Exploits aufweist, die zuvor in DarkHotel-Kampagnen verwendet wurden (siehe Abbildung 3). Er ist auch fast identisch mit dem Exploit, der in der Operation Domino im September 2020 verwendet wurde und von Belarus aus auf VirusTotal hochgeladen wurde.

Da wir nicht glauben, dass XDSpy mit DarkHotel verknüpft ist und Operation Domino ganz anders aussieht als XDSpy, ist es wahrscheinlich, dass die drei Gruppen denselben Exploit-Broker verwenden.

Abbildung 3. Teile des Exploit-Codes, einschließlich des Anfangs, ähneln denen, die in einer von JPCERT beschriebenen DarkHotel-Kampagne verwendet werden

Schließlich nutzt die Gruppe im Jahr 2020 mindestens zweimal ein COVID-19-Thema für ihre Angriffe. Das geschah erstmals im Februar 2020 in einer Spearphishing-Kampagne gegen belarussische Institutionen. Im September 2020 wurde dieses Thema dann gegen russischsprachige Ziele wiederverwendet. Das Archiv enthielt eine schädliche Windows-Skriptdatei (WSF), die XDDown herunterlädt (siehe Abbildung 4). Die offizielle Website rospotrebnadzor.ru wurde als Lockvogel verwendet (siehe Abbildung 5).

Abbildung 4. Teil des Skripts, das XDDown herunterlädt

Abbildung 5. Teil des Skripts, das die Täuschungs-URL öffnet

Malware-Komponenten

Abbildung 4 zeigt die Malware-Architektur in einem Szenario, in dem der Kompromiss über eine LNK-Datei erfolgt, wie dies im Februar 2020 der Fall war.

Abbildung 6. Malware-Architektur von XDSpy. XDLoc und XDPass werden in keiner bestimmten Reihenfolge gelöscht.

XDDown ist die wichtigste Malware-Komponente und ausschließlich ein Downloader. Sie verbleibt auf dem System indem sie einen herkömmlichen Run-Key verwendet. Sie lädt zusätzliche Plugins mithilfe des HTTP-Protokolls vom fest codierten C&C-Server herunter. Die HTTP-Antworten enthalten PE-Binärdateien, die mit einem fest codierten Zwei-Byte-XOR-Schlüssel verschlüsselt sind.

Während unserer Recherche haben wir folgende Plugins entdeckt:

  • XDRecon: Sammelt grundlegende Informationen zum Computer des Opfers (Computername, aktueller Benutzername und Volume-Seriennummer des Hauptlaufwerks).
  • XDList: Durchsucht das Laufwerk C: nach interessanten Dateien (.accdb, .doc, .docm, .docx, .mdb, .xls, .xlm, .xlsx, .xlsm, .odt, .ost, .ppt, .pptm , .ppsm, .pptx, .sldm, .pst, .msg, .pdf, .eml, .wab) und leitet die Pfade dieser Dateien weiter. Es können auch Screenshots gemacht werden.
  • XDMonitor: Ähnlich wie XDList. Es überwacht auch Wechseldatenträger, um die Dateien zu weiterzuleiten, die einer interessanten Erweiterung entsprechen.
  • XDUpload: Leitet eine fest codierte Liste von Dateien aus dem Dateisystem an den C&C-Server weiter (siehe Abbildung 5). Die Pfade wurden von XDList und XDMonitor an die C&C-Server gesendet.

Abbildung 7. Schleife zum Hochladen einer fest codierten Liste von Dateien auf den C&C-Server (teilweise redigiert)

    • XDLoc: Sammelt SSIDs in der Nähe (z. B. Wi-Fi-Zugangspunkte), wahrscheinlich um die Computer des Opfers zu lokalisieren.
    • XDPass: Ermittelt gespeicherte Kennwörter aus verschiedenen Anwendungen wie Webbrowsern und E-Mail-Programmen.

    Weitere Informationen zu den verschiedenen Malware-Komponenten finden Sie im Whitepaper.

Fazit

XDSpy ist eine Cyberspionagegruppe, die seit mehr als neun Jahren größtenteils unentdeckt geblieben ist und in den letzten Monaten sehr aktiv war. Sie ist hauptsächlich daran interessiert, Dokumente von Regierungsorganisationen in Osteuropa und auf dem Balkan zu stehlen. Dieser Angriffsfokus ist ziemlich ungewöhnlich und macht XDSpy zu einer interessanten Gruppe, die man beobachten sollte.

Die technischen Fähigkeiten der Gruppe variieren tendenziell ein wenig. Sie verwendet seit neun Jahren dieselbe Malware-Architektur, hat jedoch kürzlich eine vom Anbieter gepatchte Sicherheitsanfälligkeit ausgenutzt, für die allerdings kein öffentlicher Proof-of-Concept existierte, einen sogenannten 1-Tages-Exploit.

Für Anfragen oder Sampleeinreichungen zum Thema kontaktieren Sie uns unter threatintel@eset.com.

Besonderer Dank geht an Francis Labelle für seine Arbeit an dieser Untersuchung.

Indicators of Compromise

The comprehensive list of Indicators of Compromise (IoCs) and samples can be found in our GitHub repository.

Malware components

SHA-1ESET detection nameDescription
C125A05CC87EA45BB5D5D07D62946DAEE1160F73JS/TrojanDropper.Agent.OAZSpearphishing email (2015)
99729AC323FC8A812FA2C8BE9AE82DF0F9B502CALNK/TrojanDownloader.Agent.YJMalicious LNK downloader
63B988D0869C6A099C7A57AAFEA612A90E30C10FWin64/Agent.VBXDDown
BB7A10F816D6FFFECB297D0BAE3BC2C0F2F2FFC6Win32/Agent.ABQBXDDown (oldest known sample)
844A3854F67F4F524992BCD90F8752404DF1DA11Win64/Spy.Agent.CCXDRecon
B333043B47ABE49156195CC66C97B9F488E83442Win64/Spy.Agent.CCXDUpload
83EF84052AD9E7954ECE216A1479ABA9D403C36DWin64/Spy.Agent.CCXDUpload
88410D6EB663FBA2FD2826083A3999C3D3BD07C9Win32/Agent.ABYLXDLoc
CFD43C7A993EC2F203B17A9E6B8B392E9A296243Win32/PSW.Agent.OJSXDPass
3B8445AA70D01DEA553A7B198A767798F52BB68ADOC/Abnormal.VMalicious RTF file that downloads the CVE-2020-0968 exploit
AE34BEDBD39DA813E094E974A9E181A686D66069Win64/Agent.ACGXDDown
5FE5EE492DE157AA745F3DE7AE8AA095E0AFB994VBS/TrojanDropper.Agent.OLJMalicious script (Sep 2020)
B807756E9CD7D131BD42C2F681878C7855063FE2Win64/Agent.AEJXDDown (most recent as of writing)

Filenames / Paths

%APPDATA%\Temp.NET\archset.dat
%APPDATA%\Temp.NET\hdir.dat
%APPDATA%\Temp.NET\list.dat
%TEMP%\tmp%YEAR%%MONTH%%DAY%_%TICK_COUNT%.s
%TEMP%\fl637136486220077590.data
wgl.dat
Windows Broker Manager.dat
%TEMP%\Usermode COM Manager.dat
%TEMP%\Usermode COM Manager.exe
%APPDATA%\WINinit\WINlogon.exe
%APPDATA%\msprotectexp\mswinexp.exe
%APPDATA%\msvdemo\msbrowsmc.exe
%APPDATA%\Explorer\msdmcm6.exe
%APPDATA%\Explorer\browsms.exe

Network

Used in 2019-2020

downloadsprimary[.]com
filedownload[.]email
file-download[.]org
minisnowhair[.]com
download-365[.]com
365downloading.com
officeupdtcentr[.]com
dropsklad[.]com
getthatupdate[.]com
boborux[.]com
easytosay[.]org
daftsync[.]com
documentsklad[.]com
wildboarcontest[.]com
nomatterwhat[.]info
maiwegwurst[.]com
migration-info[.]com
jerseygameengine[.]com
seatwowave[.]com
cracratutu[.]com
chtcc[.]net
ferrariframework[.]com

Old network infrastructure

62.213.213[.]170
93.63.198[.]40
95.215.60[.]53
forgeron[.]tk
jahre999[.]tk
omgtech.000space[.]com
podzim[.]tk
porfavor876[.]tk
replacerc.000space[.]com
settimana987[.]tk

MITRE ATT&CK techniques

Note: This table was built using version 7 of the MITRE ATT&CK framework.

TacticIDNameDescription
Initial AccessT1566.001Phishing: Spearphishing AttachmentXDSpy has sent spearphishing emails with a malicious attachment.
T1566.002Phishing: Spearphishing LinkXDSpy has sent spearphishing emails with a link to a malicious archive.
ExecutionT1203Exploitation for Client ExecutionXDSpy has exploited a vulnerability (CVE-2020-0968) in Internet Explorer (triggered by a malicious RTF file).
T1204.001User Execution: Malicious LinkXDSpy has lured targets to download malicious archives containing malicious files such as LNK.
T1204.002User Execution: Malicious FileXDSpy has lured targets to execute malicious files such as LNK or RTF.
PersistenceT1547.001Boot or Logon Autostart Execution: Registry Run Keys / Startup FolderXDDownload persists using the Run key.
DiscoveryT1033System Owner/User DiscoveryXDRecon sends the username to the C&C server.
T1082System Information DiscoveryXDRecon sends the computer name and the main drive Volume Serial Number to the C&C server.
T1083File and Directory DiscoveryXDList and XDMonitor monitor the local system and the removable drive. A list of interesting paths, that matches a list of hardcoded extension, is sent to the C&C server.
CollectionT1005Data from Local SystemXDUpload exfiltrates files from the local drive. The paths of the files to be uploaded are hardcoded in the malware samples.
T1025Data from Removable MediaXDMonitor exfiltrates files from removable drives.
T1113Screen CaptureXDList, XDMonitor and XDUpload take screenshots and send them to the C&C server.
T1119Automated CollectionXDMonitor exfiltrates files from removable drives that match specific extensions.
XDUpload exfiltrates local files that are located at one the paths hardcoded in the malware samples.
Command and ControlT1071.001Application Layer Protocol: Web ProtocolsXDSpy uses HTTP for command and control.
T1573.001Encrypted Channel: Symmetric CryptographyXDDownload downloads additional components encrypted with a 2-byte static XOR key.
ExfiltrationT1020Automated ExfiltrationXDMonitor and XDUpload automatically exfiltrate collected files.
T1041Exfiltration Over C2 ChannelXDSpy exfiltrate stolen data using the C&C channel.

Newsletter-Anmeldung

Hier können Sie mitdiskutieren