Gamaredon utiliza macros de Outlook para distribuir malware | WeLiveSecurity

Gamaredon utiliza macros de Outlook para distribuir malware

El grupo de APT agrega un módulo para inyectar macros maliciosas y plantillas remotas para documentos Word y Excel, además de una macro VBA para Outlook única utilizada para el envío de correos de spearphishing desde la dirección de correo de la víctima.

El grupo de APT agrega un módulo para inyectar macros maliciosas y plantillas remotas para documentos Word y Excel, además de una macro VBA para Outlook única utilizada para el envío de correos de spearphishing desde la dirección de correo de la víctima.

Investigadores de ESET han descubierto varias herramientas post-compromiso previamente indocumentadas utilizadas de manera activa por el grupo de APT Gamaredon en varias campañas maliciosas. Una de las herramientas, una macro VBA dirigida a Microsoft Outlook, utiliza la cuenta de correo electrónico del objetivo para enviar correos electrónicos de spearphishing a contactos en la libreta de direcciones de Microsoft Office de la víctima. También analizamos otras herramientas Gamaredon que tienen la capacidad de inyectar macros maliciosas y plantillas remotas en documentos de Office existentes.

Los productos de ESET detectan las herramientas vinculadas a Gamaredon que son analizadas en esta publicación como variantes de MSIL/Pterodo, Win32/Pterodo o Win64/Pterodo.

El grupo Gamaredon ha estado activo desde al menos 2013. Ha sido responsable de varios ataques, principalmente contra instituciones ucranianas, como lo demuestran varios informes del CERT-UA y de otros organismos oficiales ucranianos a lo largo del tiempo.

En los últimos meses, ha habido un aumento en la actividad de este grupo, con constantes oleadas de correos electrónicos maliciosos que llegan a los buzones de sus objetivos. Los archivos adjuntos a estos correos electrónicos son documentos con macros maliciosas que, una vez que se ejecutan, intentan descargar múltiples variantes de malware.

Gamaredon ha utilizado durante los últimos meses muchos lenguajes de programación diferentes, que van desde C# a VBScript, archivos por lotes (batch) y C/C ++. Las herramientas utilizadas por Gamaredon son muy simples y están diseñadas para recopilar información confidencial de sistemas comprometidos y difundirse aún más.

A diferencia de otros grupos de APT, el grupo Gamaredon parece no hacer ningún esfuerzo para tratar de mantenerse fuera del radar. Aunque sus herramientas tienen la capacidad de descargar y ejecutar archivos binarios arbitrarios que podrían ser mucho más sigilosos, parece que el objetivo principal de este grupo es propagarse lo más rápido y posible en la red de su objetivo mientras intentan filtrar datos. ¿Podríamos estar perdiendo algo?

Antecedentes

La Figura 1 ilustra una típica cadena de compromiso en una campaña de Gamaredon.

Figura 1. Cadena de compromiso típica de Gamaredon

Si bien la mayoría de las publicaciones recientes se han centrado en los correos electrónicos de spearphishing y en los downloaders que contienen, esta publicación se centra en las herramientas que implementa en los sistemas una vez que son comprometidos.

Módulo VBA para Outlook

El grupo Gamaredon usa un paquete que incluye un proyecto personalizado de Microsoft Outlook Visual Basic para Aplicaciones (VBA). El uso de macros de Outlook para distribuir malware es algo que rara vez vemos al investigar campañas maliciosas.

Este paquete de código malicioso comienza con un VBScript que primero mata el proceso de Outlook si se está ejecutando, y luego elimina la seguridad en torno a la ejecución de macros de VBA en Outlook al cambiar los valores del registro. También guarda en el disco el archivo OTM malicioso (proyecto Outlook VBA) que contiene una macro, el archivo adjunto de correo electrónico malicioso y, en algunos casos, una lista de destinatarios a los que se deben enviar los correos electrónicos.

Luego, vuelve a iniciar Outlook con una opción especial, /altvba <OTM filename>, que carga el proyecto VBA de Gamaredon. El código malicioso se ejecuta una vez que se recibe el evento Application.Startup. Cabe destacar que han estado usando este módulo de tres maneras diferentes para enviar correos electrónicos maliciosos a:

  • Todos los contactos presentes en la libreta de direcciones de la víctima
  • Todos los contactos que pertenezcan a la misma organización
  • Una lista predefinida de objetivos

Si bien abusar de una cuenta de correo comprometida para el envío de correos electrónicos maliciosos sin el consentimiento de la víctima no es una técnica nueva, creemos que este es el primer caso documentado públicamente de un grupo que utiliza un archivo OTM y una macro de Outlook para lograrlo.

Figura 2. Script VBA para Outlook que crea el correo electrónico malicioso

Basados en el comportamiento de “enviar a todos en la lista de contactos” de este código VBA malicioso, creemos que este módulo podría haber llevado a algunas organizaciones a pensar que fueron atacados por Gamaredon cuando eran simplemente daños colaterales. Por ejemplo, que muestras recientes cargadas en VirusTotal provengan de regiones que tradicionalmente no son objetivo de Gamaredon, como Japón, podría explicarse por las acciones que realiza este módulo.

Como se ve en la Figura 2, el código VBA construye el cuerpo del correo electrónico y adjunta el documento malicioso al correo electrónico. Hemos visto que los archivos .docx y .lnk se utilizan como archivos adjuntos. Estos son muy similares al contenido de los archivos adjuntos maliciosos utilizados en las campañas iniciales de spearphishing de Gamaredon. La Figura 3 muestra un correo electrónico generado por este componente malicioso.

Figura 3. Correo electrónico generado por el módulo VBA para Outlook con un documento adjunto de Word que contiene una plantilla remota

El correo electrónico contiene texto en inglés y en ruso. Sin embargo, como se ilustra en la Figura 3, hay un problema con la codificación rusa. Esto se solucionó en una versión posterior de este módulo, lo que demuestra el rápido ritmo de desarrollo del grupo Gamaredon y la aparente falta de atención a los detalles.

CodeBuilder: módulo para inyectar macros en Office

Analizamos diferentes variantes de módulos maliciosos utilizados por el grupo Gamaredon para inyectar macros maliciosas o plantillas remotas en documentos ya presentes en el sistema comprometido. Esta es una forma muy eficiente de moverse lateralmente dentro de la red de una organización, ya que los documentos se comparten habitualmente entre colegas. Además, dado que estas macros se ejecutan al abrir los documentos, es una buena manera de persistir en un sistema, ya que es probable que algunos de estos documentos se abran varias veces y en diferentes momentos.

Estos módulos para la inyección de macros también tienen la funcionalidad de alterar la configuración de seguridad de macros de Microsoft Office. Por lo tanto, los usuarios afectados no tienen idea de que están comprometiendo nuevamente sus estaciones de trabajo cada vez que abren los documentos. Hemos visto este módulo implementado en dos lenguajes diferentes: C# y VBScript.

C#

Al igual que muchas otras herramientas, este módulo fue entregado a través de un archivo autoextraíble de 7z. En el interior, había un archivo RAR protegido por contraseña que contenía algunos archivos. En particular, había dos archivos de texto, uno para Word y otro para Excel, que contenían el código fuente VBA de la macro maliciosa para insertar en los documentos de destino, y el ensamblador .NET responsable de encontrar y comprometer los documentos existentes. Como se ilustra en la Figura 4, el nombre del ensamblador es CodeBuilder.

Figura 4. Funciones de CodeBuilder en una versión que no está ofuscada

Este módulo .NET primero reduce la configuración de seguridad de macros de Office para varios tipos de documentos al modificar los siguientes valores de registro:

HKCU\Software\Microsoft\Office\<version>\<product>\Security\VBAWarnings
HKCU\Software\Microsoft\Office\<version>\<product>\Security\AccessVBOM

Itera sobre todos los valores posibles de <versión> de Office para los valores <producto> de Word y Excel. Luego, busca documentos con extensiones válidas de archivos de Word o Excel en todas las unidades conectadas al sistema. Para la unidad que contiene la instalación de Windows escanea solo ubicaciones específicas, como son las carpetas Escritorio y Descargas. Para las demás, escanea todo el disco. El malware mueve cada documento identificado a la carpeta AppData, inserta macros maliciosas de Word o Excel utilizando un objeto a Microsoft.Office.Interop, y luego mueve el documento nuevamente a su carpeta original. En las muestras que analizamos, las macros inyectadas eran simples downloaders.

Archivo por lotes/VBScript

La versión en VBScript de este módulo es similar en comportamiento al .NET. La principal diferencia es que, en lugar de insertar una macro maliciosa en documentos existentes, inserta referencias a una plantilla remota en ellos.

Figura 5. VBScript usando la propiedad Document.AttachedTemplate para inyectar una referencia a una plantilla remota en documentos existentes

Este módulo en VBScript también viene empaquetado en un archivo autoextraíble, el cual contiene un archivo por lotes y dos archivos VBS responsables de iterar a través de documentos y agregarles las referencias a las plantillas remotas.

Actualizaciones del módulo

Curiosamente, algunas de las herramientas personalizadas descritas en una publicación de 2017 de Palo Alto Networks sobre Gamaredon siguen siendo actualizadas y son actualmente utilizadas. Algunas muestran similitudes significativas, mientras que otras se reescriben en diferentes lenguajes de codificación. Las herramientas que con mayor frecuencia son descargadas e instaladas en las máquinas comprometidas pueden agruparse en dos categorías diferentes: downloaders y backdoors.

Downloaders

Hay muchas variaciones de sus downloaders, la mayoría de ellos escritos en C# o VBScript. Esta sección cubrirá solo dos de sus variantes más originales; los otros no han evolucionado tanto y son muy simples.

Módulo compilador C#

Este ejecutable .NET, similar a muchas otras herramientas utilizadas por el grupo Gamaredon, utiliza técnicas de ofuscación como la inserción de código basura y la ofuscación de strings. Contiene en su cuerpo el código fuente codificado en base64 de un downloader. Decodifica ese código fuente y lo compila directamente en el sistema usando la clase incorporada Microsoft.CSharp.CSharpCodeProvider. Coloca el ejecutable resultante en un directorio existente y crea una tarea programada que lo iniciará cada 10 minutos. Como se puede ver en la Figura 6, el código fuente decodificado todavía tiene comentarios, lo que refleja el aparente descuido de los operadores de Gamaredon.

Figura 6. Parte del código fuente del downloader en C# incluido en el módulo compilador C#

Módulo que utiliza un proyecto en GitHub

Como se observa en la Figura 7, este ejecutable .NET usa un repositorio de GitHub para obtener y ejecutar un downloader. Este repositorio ya no existe, pero pudimos descargar una copia mientras todavía estaba disponible.

Figura 7. Módulo .NET responsable de descargar y ejecutar un payload almacenado en github.com

El repositorio contenía un único archivo — readme.txt — que era el ejecutable de un downloader en .NET codificado en base64. La función del módulo del proyecto GitHub es descargar este archivo, decodificarlo y ejecutarlo.

Backdoors – ladrones de archivos

Si bien existen algunas variaciones en cuanto a sus funcionalidades, el propósito principal de estos módulos es enumerar todos los documentos en un sistema comprometido y subirlos al servidor de C&C. Estos ladrones de archivos también pueden descargar y ejecutar código arbitrario desde el servidor de C&C. Al igual que con muchas otras herramientas utilizadas por el grupo Gamaredon, vienen en cuatro lenguajes de codificación diferentes: C/C ++, C#, archivo por lotes y VBScript.

C/C++

Esta variante es la sucesora del módulo USBStealer descrito aquí. Aunque las últimas versiones ahora son bastante diferentes, si examinamos muestras de este módulo a lo largo de su desarrollo nos daremos cuenta parte desde el mismo código fuente.

Una muestra que ilustra bien este cambio es una DLL en 64 bits con nombre interno Harvesterx64.dll, compilada en junio de 2019. Todavía tiene la mayoría de las strings utilizadas en las variantes más antiguas, pero también exhibe dos mejoras que todavía están en las más nuevas. Primero, ahora resuelve las APIs de Windows a través del hashing de nombres y segundo, usa un archivo de texto básico en lugar de una base de datos SQLite para rastrear qué archivos ya fueron cargados en el servidor de C&C.

El comportamiento de este módulo es bastante sencillo: escanea el sistema en busca de nuevos documentos de Microsoft Office, tanto en unidades locales como extraíbles, y los carga en el servidor de C&C. Para saber si el documento es nuevo, el módulo mantiene, en un archivo de texto, un hash MD5 por archivo cargado en el servidor. Estos hashes MD5 no se basan en el contenido del archivo, sino en una string compuesta por el nombre del archivo, su tamaño y su última hora de modificación. Las strings del módulo se almacenan en su sección .data y son cifradas con una clave XOR simple. También tiene la capacidad de descargar y ejecutar código arbitrario desde su servidor C&C.

C#

Esta es una reimplementación en C# de la versión C/C ++. La principal diferencia es que también toma capturas de pantalla de la computadora comprometida cada minuto. Como se ve en la Figura 8, la versión que analizamos tiene cinco hilos diferentes.

Figura 8. Rutina de creación de hilos del backdoor en C#

Archivo por lotes/VBScript

Esta versión consta de varios scripts, escritos tanto en forma de archivo por lotes y VBScript. Sin embargo, el objetivo final es el mismo: escanear el sistema en busca de documentos confidenciales. El mecanismo principal es un archivo por lotes que busca documentos de Word (*.doc*) en el sistema y almacena sus nombres en un archivo de texto (consulte la Figura 9).

Figura 9. Ejemplo de archivo inject.txt que contiene el resultado del escáner de archivos de documentos del backdoor.

El paquete también contiene archivos de scripts cifrados llamados 1.log, 2.log, 3.log, 4.log y 5.log. Una vez descifrados, estos scripts son downloaders en VBScript ofuscados que son capaces de descargar y ejecutar código arbitrario.

Infraestructura de red

El grupo Gamaredon utiliza muchos dominios diferentes, tanto gratuitos como de pago, para sus servidores de C&C. Los dominios gratuitos son principalmente DDNS de No-IP: hopto.org, ddns.net, myftp.biz, mientras que los dominios pagos se registran a través del registrador REG.RU e incluyen los TLD (del inglés, top-level domain) .fun, .site, .space, .ru, .website y .xyz.

Están constantemente cambiando los dominios utilizados por sus herramientas, pero en un pequeño los números de AS (del inglés, Autonomous System: AS). Un análisis cuidadoso sugiere que usan dominios separados para pequeños grupos de víctimas. Consulte la cuenta de GitHub de ESET para obtener una extensa lista de dominios utilizados por el grupo Gamaredon.

Calidad de ejecución

Pudimos recopilar numerosas muestras diferentes de scripts maliciosos, ejecutables y documentos utilizados por el grupo Gamaredon a lo largo de sus campañas. Notamos varios errores en estos, especialmente en los scripts. Por supuesto, es imposible saber la razón exacta detrás de estos errores o descuidos, pero el volumen de muestras que produce el grupo y su rápido desarrollo podrían tener que ver con esto. El hecho de que quedaran comentarios en el código fuente incluido en algunas muestras del módulo compilador en C# o que la codificación rusa fuera incorrecta en el correo electrónico generado por el módulo VBA de Outlook muestra que no hay una revisión o prueba rigurosa antes de lanzar sus distintas herramientas y usarlas como parte de sus campañas.

Sin embargo, si bien estos errores pueden disminuir la efectividad general de sus herramientas, la rápida ejecución y adaptación de este grupo también tiene algunas ventajas. El volumen y la implacabilidad de los ataques pueden crear un estado de temor constante en sus objetivos. Y aunque el código es muy simple, algunas técnicas, como la ofuscación de scripts, dificultan la automatización completa del análisis, lo que hace que el trabajo del analista sea tedioso.

Su proyecto en GitHub nos permitió echar un vistazo al rápido desarrollo de sus herramientas. El código que se confirmó allí mostró claramente la evolución del downloader en C#. Las primeras versiones no mostraron signos de ofuscación; luego los desarrolladores agregaron diferentes ofuscaciones de strings y código basura para dificultar el análisis.

En términos de persistencia, se utilizan varias técnicas diferentes, pero las más comunes son las tareas programadas, las claves de registro de ejecución automática (Autorun) y la utilización de la carpeta Inicio. Aunque estas técnicas son muy simples y se conocen desde hace mucho tiempo, la estrategia del grupo Gamaredon de intentar instalar múltiples scripts y ejecutables en cada sistema, y ​​actualizarlos constantemente, complica significativamente la vida del defensor.

Conclusión

A pesar de la simplicidad de la mayoría de sus herramientas, el grupo Gamaredon también es capaz de implementar algunas novedades, como su módulo VBA para Outlook. Sin embargo, como está lejos de ser sigiloso, a la larga no es rival para una organización capaz. La variedad de herramientas que Gamaredon tiene a su disposición pueden ser muy efectivas para obtener el fingerprint (huella digital) de una máquina y comprender qué datos confidenciales están disponibles, y luego difundirlos por toda la red. ¿Podría ser esta una forma de desplegar un payload mucho más sigiloso?

Un agradecimiento especial al Investigador de Malware Senior de ESET, Anton Cherepanov, por su ayuda en esta investigación.

Indicadores de Compromiso (IoCs)

SHA-1ESET detection nameComments
6F75F2490186225C922FE605953038BDEB537FEEDOC/TrojanDownloader.Agent.ARJOutlook VBA module
DFC941F365E065187B5C4A4BF42E770035920856Win32/Pterodo.XG.genC# Office macro injection module
9AFC9D6D72F78B2EB72C5F2B87BDC7D59C1A14EDWin32/Pterodo.ZMBatch file/‌VBScript Office macro injection module
3DD83D7123AEFBE5579C9DC9CF3E68BCAFC9E65EMSIL/Pterodo.CDC# compiler module
941F341770B67F9E8EE811B4B8383101F35B27CDMSIL/Pterodo.CAGitHub project module
DC8BD2F65FD2199CE402C76A632A9743672EFE2DWin32/Pterodo.XCC/C++ backdoor
336C1244674BB378F041E9064EA127E9E077D59DMSIL/Pterodo.DPC# backdoor
5FC1B6A55A9F5A52422872A8E34A284CDBDD0526Win32/Pterodo.YEBatch file/‌VBScript backdoor

Técnicas de MITRE ATT&CK

TacticIDNameDescription
Initial AccessT1193Spearphishing AttachmentGamaredon group sends emails with malicious attachments to its targets.
T1199Trusted RelationshipGamaredon group malware abuses a compromised organization’s email accounts to send emails with malicious attachments to the victim’s contacts.
ExecutionT1064ScriptingGamaredon group uses scripting heavily, mostly Batch files and VBScript.
T1085Rundll32Gamaredon group malware uses rundll32 to launch malicious DLLs, for example the C/C++ backdoor.
T1106Execution through APIGamaredon group malware uses CreateProcess to launch additional components, for example to execute payloads received from its C&C servers.
T1204User ExecutionInitial compromise by the Gamaredon group usually requires the user to execute a malicious email attachment.
PersistenceT1053Scheduled TaskGamaredon group malware registers several of its modules (downloaders, backdoors, etc.) as scheduled tasks.
T1060Registry Run Keys / Startup FolderGamaredon group uses Run keys and the Startup folder to ensure its modules are executed at every reboot.
T1137Office Application StartupGamaredon group malware inserts malicious macros into existing documents, providing persistence when they are reopened.
Defense EvasionT1027Obfuscated Files or InformationGamaredon group makes heavy use of compressed archives, some password protected, to deliver its malicious payloads. Strings are routinely obfuscated or encrypted in these malicious modules.
T1112Modify RegistryGamaredon group malware modifies several registry keys to deactivate security mechanisms in Microsoft Office related to macros.
T1116Code SigningGamaredon group uses signed binaries in its malicious campaigns. One notable example is wget samples signed with a valid certificate from Jernej Simončič and available here.
T1140Deobfuscate/Decode Files or InformationGamaredon group uses simple string deobfuscation and decryption routines in its modules.
T1221Template InjectionGamaredon group adds remote templates to documents it sends to targets.
T1500Compile After DeliveryGamaredon group C# compiler module contains an obfuscated downloader that it compiles using csc.exe and then executes.
DiscoveryT1083File and Directory DiscoveryGamaredon group uses its backdoors to automatically list interesting files (such as Office documents) found on a system for future exfiltration.
Lateral MovementT1080Taint Shared ContentGamaredon group malware injects malicious macros into all Word and Excel documents reachable by the compromised system.
T1534Internal SpearphishingGamaredon group uses its Outlook VBA macro to send email with malicious attachments to other targets within the same organization.
CollectionT1005Data from Local SystemGamaredon group malware actively searches for sensitive documents on the local system.
T1025Data from Removable MediaGamaredon group malware scans all drives for sensitive data and also watches for removable drives being inserted into a system.
T1039Data from Network Shared DriveGamaredon group malware scans all drives A: – Z: for sensitive data, so it will scan any network shares mounted as drives.
T1113Screen CaptureGamaredon group uses a backdoor that takes screenshots every minute.
T1119Automated CollectionGamaredon group deploys scripts on compromised systems that automatically scan for interesting documents.
Command and ControlT1071Standard Application Layer ProtocolGamaredon group malware uses both HTTP and HTTPS for command and control.
ExfiltrationT1020Automated ExfiltrationGamaredon group uses modules that automatically upload harvested documents to the C&C server.

Newsletter

Discusión