Nel novembre 2018, Cisco Talos ha scoperto una campagna di attacco, denominata DNSpionage, in cui gli attori delle minacce hanno creato un nuovo strumento di amministrazione remota che supporta la comunicazione HTTP e DNS con il comando e controllo (C2) degli attaccanti. Da allora, ci sono state diverse altre segnalazioni pubbliche di ulteriori attacchi di DNSpionage e a gennaio il Dipartimento di Sicurezza Nazionale degli Stati Uniti ha emesso un avviso che metteva in guardia gli utenti da questa attività di minaccia.
Oltre all’aumento delle segnalazioni di minacce, Talos ha anche scoperto nuove prove del fatto che gli attori delle minacce dietro la campagna di spionaggio DNS hanno continuato a cambiare le loro tattiche, probabilmente nel tentativo di migliorare l’efficacia delle loro operazioni. A febbraio abbiamo scoperto alcune modifiche alle tattiche, tecniche e procedure (TTP) degli attori, tra cui l’uso di una nuova fase di ricognizione che sceglie selettivamente gli obiettivi da infettare con il malware tra cui quello chiamato “Karkoff“.
Nell’operazione DNSpionage, l’autore del malware utilizzava macro dannose incorporate in un documento Microsoft Word. In nuovo campione proveniente dal Libano identificato alla fine di febbraio, l’aggressore ha utilizzato un documento Excel con una macro simile:
Invece di utilizzare la directory .oracleServices, l’aggressore utilizza una directory .msdonedrive e rinomina il malware “taskwin32.exe”. Anche l’attività pianificata è stata rinominata in “onedrive updater v10.12.5” ed il malware supporta la comunicazione HTTP e DNS con il server C2. La comunicazione HTTP è nascosta nei commenti del codice HTML. Questa volta, però, il server C2 imita la piattaforma GitHub invece di Wikipedia. Nella comunicazione DNS, lo sviluppatore ha aggiunto alcune nuove funzionalità in questa ultima versione e, questa volta, l’attore ha rimosso la modalità di debug.
Abbiamo anche scoperto che l’attore ha aggiunto una fase di ricognizione, probabilmente in risposta al notevole interesse suscitato dalla campagna. Questa nuova fase, discussa più in dettaglio di seguito, assicura che il payload venga scaricato su obiettivi specifici piuttosto che indiscriminatamente su ogni computer. Questa nuova tattica indica un maggiore livello di sofisticazione degli attori.
Durante l’esecuzione iniziale, il malware rilasciava un file batch di Windows (a.bat) per eseguire un comando WMI e ottenere tutti i processi in esecuzione sul computer della vittima:
elenco processi wmic
Il malware identificava anche il nome utente e il nome del computer del sistema infetto. Infine, utilizza l’API NetWkstaGetInfo() con il livello 100 per recuperare ulteriori informazioni sul sistema (questo è il 64° numero, 64 esadecimale è 100 decimale).
Il malware cercava due piattaforme antivirus specifiche: Avira e Avast.
Se uno di questi prodotti di sicurezza è installato sul sistema e viene identificato durante la fase di ricognizione, viene impostato un flag specifico e alcune opzioni del file di configurazione vengono ignorate.
DNSpionage Excel maldoc
Questo nuovo campione di DNSpionage presenta alcune stranezze che riteniamo possano essere il tentativo dell’attore di prendere in giro la comunità dei ricercatori. Di tanto in tanto, questo accade nei casi in cui gli attori vengono rivelati da ricercatori o fornitori. In DNSpionage, all’apertura del documento Excel, gli utenti vengono accolti con l’insulto “haha you are donkey [sic]“. L’inglese stentato suggerisce che l’attore non è probabilmente un madrelingua inglese.
Anche il dominio utilizzato per il C2 è bizzarro. La versione precedente di DNSpionage cercava di utilizzare domini dall’aspetto legittimo nel tentativo di non essere individuata. Tuttavia, questa nuova versione utilizza il dominio “coldfart[.]com“, che sarebbe più facile da individuare rispetto ad altre campagne APT che generalmente cercano di confondersi con il traffico più adatto agli ambienti aziendali. Il dominio era inoltre ospitato negli Stati Uniti, cosa insolita per un attacco di tipo spionistico. Questo tipo di comportamento continuerà probabilmente a distinguere questo attore da campagne più problematiche come Sea Turtle, una campagna di dirottamento DNS separata.
Arriva Karkoff
In aprile 2019, Cisco Talos ha identificato un malware non documentato sviluppato in .NET. Nei campioni analizzati, l’autore del malware ha lasciato due diversi nomi interni in chiaro: “DropperBackdoor” e “Karkoff“.
Il malware è leggero rispetto ad altri malware grazie alle sue dimensioni ridotte e consente l’esecuzione di codice remoto dal server C2. Non c’è offuscamento e il codice può essere facilmente disassemblato. Il malware è un servizio Windows denominato “MSExchangeClient“.
I server C2 sono hardcoded nei campioni analizzati:
- Il malware utilizza il dominio o l’indirizzo IP. Karkoff supporta le comunicazioni HTTP e HTTPS.
- Karkoff utilizza la codifica base64 per offuscare inizialmente le comunicazioni C2. Queste vengono poi ulteriormente offuscate eseguendo una funzione XOR, con una chiave XOR 70 (decimale).
DNSPIONAGE è collegato all’APT OilRig?
Il 18 aprile è apparsa online una presunta fuga di notizie su Oilrig che fa riferimento ad un legame debole tra Oilrig e gli attori del DNSpionage, basato su campi URL simili. Pur non essendo definitivo, la fuga di notizie conteneva un repository webmask_dnspionage. Questo repository conteneva script utilizzati per eseguire attacchi man-in-the-middle, ma nulla sui pannelli DNSpionage o Karkoff C2. Tuttavia, le schermate mostravano un URL che ha attirato l’attenzione dei ricercatori:
Il pannello C2 identificato come “Scarecrow” aveva vittime che provenivano principalmente dal Libano, una delle aree prese di mira da DNSpionage e Karkoff.
Il continuo sviluppo di malware di DNSpionage da parte degli attori delle minacce dimostra che l’aggressore ha trovato nuovi modi per evitare il rilevamento. Le stranezze menzionate non sono certo normali, ma il payload è stato chiaramente aggiornato per cercare di rimanere più elusivo. Il tunneling DNS è un metodo di esfiltrazione popolare per alcuni attori e i recenti esempi di spionaggio DNS dimostrano che il DNS debba essere monitorato con la stessa attenzione dei normali proxy o dei weblog di un’organizzazione. Il DNS è essenzialmente l’elenco telefonico di Internet e quando viene manomesso, diventa difficile per chiunque discernere se ciò che sta vedendo online è legittimo. La scoperta di Karkoff ha dimostrato che l’attore ha fatto un cambio di rotta e cerca sempre più di evitare di essere individuato, pur rimanendo molto concentrato sulla regione del Medio Oriente.
