Operation SignSight: Supply‑Chain‑Angriff auf Zertifizierungsstelle in Südostasien | WeLiveSecurity

Operation SignSight: Supply‑Chain‑Angriff auf Zertifizierungsstelle in Südostasien

ESET-Forscher haben auf einer vietnamesischen Regierungs-Website einen Supply-Chain-Angriff entdeckt.

ESET-Forscher haben auf einer vietnamesischen Regierungs-Website einen Supply-Chain-Angriff entdeckt.

Nur wenige Wochen nach dem Supply-Chain-Angriff auf die Software Able Desktop ereignete sich ein ähnlicher Angriff auf der Website der Vietnam Government Certification Authority (VGCA): ca.gov.vn. Die Angreifer veränderten zwei der auf dieser Website zum Download verfügbaren Installationsprogramme und fügten eine Hintertür hinzu, um die Benutzer der legitimen Anwendung zu anzugreifen.

ESET-Forscher deckten diesen neuen Supply-Chain-Angriff Anfang Dezember 2020 auf und benachrichtigten die gefährdete Organisation und das VNCERT. Wir glauben, dass die Website bis Ende August 2020 keine kompromittierten Software-Installer ausgeliefert hat. Zudem wird der kompromittierte Installer, laut den ESET-Telemetriedaten, nirgendwo anders verteilt. Die vietnamesische Zertifizierungsstelle bestätigte, dass sie vor unserer Benachrichtigung über den Angriff informiert war und dass die Benutzer benachrichtigt wurden, die die trojanisierte Software heruntergeladen haben.

Supply-Chain-Angriff in Vietnam

In Vietnam sind digitale Signaturen sehr verbreitet, da digital signierte Dokumente die gleiche Durchsetzbarkeit aufweisen wie echte Unterschriften. Gemäß dem Dekret Nr. 130/2018 müssen die zum Signieren von Dokumenten verwendeten kryptografischen Zertifikate von einem der autorisierten Zertifikatanbieter ausgestellt werden, zu denen auch die VGCA gehört, die Teil des Zertifizierungskomitees der Regierung ist. Dieser Ausschuss ist wiederum vom Ministerium für Information und Kommunikation abhängig.

Neben der Ausstellung von Zertifikaten entwickelt und vertreibt die VGCA auch ein Toolkit für digitale Signaturen. Es wird von der vietnamesischen Regierung und wahrscheinlich von privaten Unternehmen verwendet, um digitale Dokumente zu signieren. Der Kompromittierung der Website einer Zertifizierungsstelle ist eine gute Gelegenheit für APT-Gruppen. Denn Besucher haben wahrscheinlich ein hohes Maß an Vertrauen in die staatliche Organisation, die für digitale Signaturen verantwortlich ist.

Wie in Abbildung 1 dargestellt, werden diese Programme anscheinend in Organisationen der Partei und des Staates eingesetzt.

Abbildung 1. Screenshot von ca.gov.vn.

Laut ESET-Telemetrie war ca.gov.vn mindestens vom 23. Juli bis zum 16. August 2020 kompromittiert. Zwei der zum Download verfügbaren Installationsprogramme, gca01-client-v2-x32-8.3.msi und gca01-client- v2-x64-8.3.msi wurden so verändert, dass sie eine als PhantomNet oder SManager bekannte Malware enthalten, welche kürzlich von NTT Security analysiert wurde. Nach unseren Erkenntnissen wurden diese Installationsprogramme über das HTTPS-Protokoll von ca.gov.vn heruntergeladen. Daher halten wir es für unwahrscheinlich, dass es sich um einen Man-in-the-Middle-Angriff handelt. Die URLs, die auf die bösartigen Installationsprogramme verwiesen, waren:

  • https://ca.gov[.]vn/documents/20182/6768590/gca01-client-v2-x64-8.3.msi
  • https://ca.gov[.]vn/documents/20182/6768590/gca01-client-v2-x32-8.3.msi

Dies wird auch durch Daten von VirusTotal bestätigt, wie in Abbildung 2 dargestellt.

Abbildung 2. Screenshot von VirusTotal. Es zeigt die URL, von der das trojanisierte Installationsprogramm heruntergeladen wurde.

Die trojanisierten Installationsprogramme sind nicht ordnungsgemäß signiert. Wir haben jedoch festgestellt, dass saubere GCA-Installationsprogramme ebenfalls falsch signiert sind (die digitale Signatur des Objekts ließ sich nicht verifizieren). Sowohl die offiziellen als auch die trojanisierten MSIs verwenden ein Zertifikat, das der Firma Safenet zugewiesen wurde.

Abbildung 3 ist eine Zusammenfassung des Supply-Chain-Angriffs. Um kompromittiert zu werden, müsste ein Benutzer die kompromittierte Software, die auf der offiziellen Website gehostet wird, manuell herunterladen und ausführen.

Abbildung 3. Vereinfachtes Schema des Supply-Chain-Angriffs.

Nach dem Herunterladen und Ausführen startet das Installationsprogramm das echte GCA-Programm und die schädliche Datei. Die schädliche Datei wird in C:\Program Files\VGCA\Authentication\SAC\x32\eToken.exe geschrieben. Durch die Installation des legitimen Programms stellen die Angreifer sicher, dass die Kompromittierung von den Endbenutzern nicht so leicht bemerkt wird.

Diese schädliche Datei ist ein einfacher Dropper, die eine Windows-Cab-Datei (.cab) mit dem Namen 7z.cab extrahiert und die Hintertür enthält.

Wenn der Dropper als Administrator ausgeführt wird, wird die Backdoor in C:\Windows\apppatch\netapi32.dll geschrieben. Aus Gründen der Persistenz registriert der Dropper die schädliche DLL als Dienst.

Wenn die Backdoor mit normalen Benutzerrechten ausgeführt wird, wird sie in %TEMP%\Wmedia\<GetTickCount>.tmp geschrieben. Um Persistenz zu ermöglichen, erstellt der Dropper eine geplante Aufgabe, die den Export Entery der schädlichen DLL aufruft. Es ist interessant, dass der Entery Export auch in den von TA428 verwendeten TManger-Versionen, wie von NTT Security beschrieben, festgestellt  wurde.

PhantomNet

Die Backdoor wurde von ihren Entwicklern Smanager_ssl.DLL genannt, doch wir nennen sie PhantomNet, da dies der Projektname war, der bei einer älteren Version dieser Backdoor verwendet wurde. Diese neueste Version wurde am 26. April 2020, fast zwei Monate vor dem Supply-Chain-Angriff erstellt. Außer in Vietnam haben wir auch auf den Philippinen Opfer ausmachen können, aber leider konnten wir den Übermittlungsmechanismus in diesen Fällen nicht aufdecken.

Diese Backdoor ist recht einfach gehalten und wahrscheinlich werden die meisten bösartigen Funktionen über zusätzliche Plugins bereitgestellt. Sie kann die Proxy-Konfiguration des Opfers abrufen und damit den Befehls- und Kontrollserver (C&C-Server) erreichen. Dies zeigt, dass es sich bei den Ziele wahrscheinlich um Rechner in Unternehmensnetzwerken handelt.

PhantomNet verwendet das HTTPS-Protokoll, um mit seinen fest vorgegebenen C&C-Servern zu kommunizieren: vgca.homeunix[.]Org und office365.blogdns[.]Com. Um einen Man-in-the-Middle-Angriff zu verhindern, implementiert PhantomNet das Anheften von Zertifikaten mithilfe von Funktionen aus der SSPI-Bibliothek. Das Zertifikat wird während der ersten Verbindung mit dem C&C-Server heruntergeladen und dann im Windows-Zertifikatspeicher gespeichert.

Neben der Verwendung dynamischer DNS-Anbieter ist es interessant festzustellen, dass der Name der ersten Subdomain, vgca, gewählt wurde, um den Namen der Zertifizierungsstelle der vietnamesischen Regierung nachzuahmen.

Das Implantat kann von den Angreifern mit diesen fünf Befehlen gesteuert werden:

Command IDDescription
0x00110020Get victim information (computer name, hostname, username, OS version, user privileges (admin or not), and the public IP address by querying ipinfo.io).
0x00110030Call the export DeletePluginObject of all installed plugins.
0x00110040Plugin management (install, remove, update). The plugins have the following exports (including the typo in the first one): GetPluginInfomation, GetRegisterCode, GetPluginObject, DeletePluginObject.
0x00110070Set a value of a given field in the main structure of the backdoor.
0x547CBA78Generate and set a password using the SSPI functions. The final purpose is unknown.

Auf VirusTotal haben wir ein Plugin gefunden, das den oben genannten Exporten entspricht. Es ist ein Debug-Build und heißt SnowballS gemäß seinem PDB-Pfad und anderen Debug-Pfaden:

  • E:\WorkCode\AD_Attacker\Server\EXE_DEBUG\SnowballS.pdb
  • e:\workcode\ad_attacker\server\plugins\plugins\snowballs\cdomainquery.cpp

Eine erste flüchtige Analyse legt nahe, dass dieses Werkzeug für die laterale Ausbreitung der Malware verwendet werden kann, da es Invoke-Mimikatz einbettet. Es kann auch Informationen über den Computer des Opfers und über Benutzerkonten sammeln. Dies zeigt, dass PhantomNet zusätzliche und komplexe Plugins empfangen kann, die wahrscheinlich nur auf Computern eingesetzt werden, die für die Malware-Betreiber von besonderem Interesse sind.

Im Falle des Angriffs in Vietnam konnten wir keine Daten über Aktivitäten nach der Kompromittierung finden und kennen daher nicht das Endziel der Angreifer.

Fazit

Mit dem Kompromittierung von Able Desktop, dem Angriff von Lazarus auf WIZVERA VeraPort und dem jüngsten Supply-Chain-Angriff auf SolarWinds Orion sehen wir, dass Supply-Chain-Angriffe ein weit verbreiteter Angriffsvektor für Cyberspionagegruppen sind. In diesem speziellen Fall haben sie die Website einer vietnamesischen Zertifizierungsstelle kompromittiert, der gegenüber Benutzer wahrscheinlich ein hohes Maß an Vertrauen haben.

Supply-Chain-Angriffe sind in der Regel schwer zu finden, da der Schadcode im Allgemeinen zwischen vielen legitimen Codes verborgen ist, was seine Entdeckung erheblich erschwert.

Für Anfragen kontaktieren Sie uns unter threatintel@eset.com. Kompromissindikatoren finden Sie auch in unserem GitHub-Repository.

IoCs

Files

SHA-1ESET detection nameDescription
5C77A18880CF58DF9FBA102DD8267C3F369DF449Win32/TrojanDropper.Agent.SJQTrojanized installer (gca01-client-v2-x64-8.3.msi)
B0E4E9BB6EF8AA7A9FCB9C9E571D8162B1B2443AWin32/TrojanDropper.Agent.SJQTrojanized installer (gca01-client-v2-x32-8.3.msi)
9522F369AC109B03E6C16511D49D1C5B42E12A44Win32/TrojanDropper.Agent.SJQPhantomNet dropper
989334094EC5BA8E0E8F2238CDF34D5C57C283F2Win32/PhantomNet.BPhantomNet
5DFC07BB6034B4FDA217D96441FB86F5D43B6C62Win32/PhantomNet.APhantomNet plugin

C&C servers
office365.blogdns[.]com
vgca.homeunix[.]org

MITRE ATT&CK

Note: This table was built using version 8 of the MITRE ATT&CK framework.

TacticIDNameDescription
Initial AccessT1195.002Supply Chain Compromise: Compromise Software Supply ChainAttackers modified the installer of the GCA01 software that is hosted on ca.gov.vn and added a backdoor to the MSI installer.
ExecutionT1204.002User Execution: Malicious FileThe victim needs to manually execute the trojanized installer.
PersistenceT1053.005Scheduled Task/Job: Scheduled TaskIf the user doesn’t have admin privileges, PhantomNet persists via a scheduled task.
T1543.003Create or Modify System Process: Windows ServiceIf the user has admin privileges, PhantomNet persists via a Windows service.
DiscoveryT1033System Owner/User DiscoveryPhantomNet implements a function to retrieve the username.
T1082System Information DiscoveryPhantomNet implements a function to retrieve the OS version.
Command and ControlT1090.001Proxy: Internal ProxyPhantomNet can retrieve the proxy configuration of the default browser and use it to connect to the C&C server.
T1071.001Application Layer Protocol: Web ProtocolsPhantomNet uses HTTPS.
T1573.002Encrypted Channel: Asymmetric CryptographyPhantomNet can add a certificate to the Windows store and use it for certificate pinning for its HTTPS communications.

Newsletter-Anmeldung

Hier können Sie mitdiskutieren