Modern technology gives us many things.

Αποκαλύφθηκε κρυφό κακόβουλο λογισμικό MerDoor μετά από πέντε χρόνια επιθέσεων

Μια νέα ομάδα hacking APT με το όνομα Lancefly χρησιμοποιεί ένα προσαρμοσμένο κακόβουλο λογισμικό backdoor «Merdoor» για να στοχεύσει κυβερνητικούς, αεροπορικούς και τηλεπικοινωνιακούς οργανισμούς στη Νότια και Νοτιοανατολική Ασία.

Τα εργαστήρια απειλών της Symantec αποκάλυψαν σήμερα ότι η Lancefly έχει αναπτύξει την κρυφή κερκόπορτα Merdoor σε άκρως στοχευμένες επιθέσεις από το 2018 για να δημιουργήσει επιμονή, να εκτελέσει εντολές και να εκτελέσει καταγραφή πληκτρολογίου σε εταιρικά δίκτυα.

«Το προσαρμοσμένο κακόβουλο λογισμικό της Lancefly, το οποίο ονομάσαμε Merdoor, είναι ένα ισχυρό backdoor που φαίνεται να υπάρχει από το 2018», αποκαλύπτει το νέο Έκθεση Symantec.

“Οι ερευνητές της Symantec παρατήρησαν ότι χρησιμοποιήθηκε σε κάποια δραστηριότητα το 2020 και το 2021, καθώς και σε αυτήν την πιο πρόσφατη εκστρατεία, η οποία συνεχίστηκε το πρώτο τρίμηνο του 2023. Το κίνητρο πίσω από αυτές τις εκστρατείες πιστεύεται ότι είναι η συλλογή πληροφοριών.”

Το Lancefly πιστεύεται ότι επικεντρώνεται στην κυβερνοκατασκοπεία, με στόχο τη συλλογή πληροφοριών από τα δίκτυα των θυμάτων του για εκτεταμένες περιόδους.

Μια φαρδιά αλυσίδα επίθεσης

Η Symantec δεν έχει ανακαλύψει τον αρχικό φορέα μόλυνσης που χρησιμοποιούσε η Lancefly. Ωστόσο, βρήκε στοιχεία ότι η ομάδα απειλών χρησιμοποιεί μηνύματα ηλεκτρονικού “ψαρέματος” (phishing), ωμή επιβολή διαπιστευτηρίων SSH και εκμετάλλευση τρωτών σημείων του διακομιστή που αντιμετωπίζει δημόσια για μη εξουσιοδοτημένη πρόσβαση όλα αυτά τα χρόνια.

Μόλις οι εισβολείς αποκτήσουν παρουσία στο σύστημα του στόχου, εισάγουν την κερκόπορτα Merdoor μέσω πλευρικής φόρτωσης DLL είτε στο “perfhost.exe” είτε στο “svchost.exe”, και οι δύο νόμιμες διαδικασίες των Windows που βοηθούν το κακόβουλο λογισμικό να αποφύγει τον εντοπισμό.

Νόμιμες εφαρμογές που χρησιμοποιούνται για sideloading Merdoor
Νόμιμο λογισμικό που χρησιμοποιείται για πλευρική φόρτωση Merdoor (Symantec)

Το Merdoor βοηθά το Lancefly να διατηρήσει την πρόσβασή του και τη βάση του στο σύστημα του θύματος, εγκαθιστώντας τον εαυτό του ως μια υπηρεσία που παραμένει μεταξύ των επανεκκινήσεων.

Στη συνέχεια, το Merdoor δημιουργεί επικοινωνίες με τον διακομιστή C2 χρησιμοποιώντας ένα από τα πολλά υποστηριζόμενα πρωτόκολλα επικοινωνίας (HTTP, HTTPS, DNS, UDP και TCP) και περιμένει οδηγίες.

Εκτός από την υποστήριξη ανταλλαγής δεδομένων με τον διακομιστή C2, το Merdoor μπορεί επίσης να δέχεται εντολές ακούγοντας τοπικές θύρες. Ωστόσο, οι αναλυτές της Symantec δεν έχουν δώσει συγκεκριμένα παραδείγματα.

Η κερκόπορτα καταγράφει επίσης τα πλήκτρα του χρήστη για να καταγράψει δυνητικά πολύτιμες πληροφορίες, όπως ονόματα χρήστη, κωδικούς πρόσβασης ή άλλα μυστικά.

Το Lancefly έχει επίσης παρατηρηθεί χρησιμοποιώντας τη δυνατότητα «Atexec» του Impacket για την άμεση εκτέλεση μιας προγραμματισμένης εργασίας σε ένα απομακρυσμένο μηχάνημα μέσω SMB. Πιστεύεται ότι οι φορείς απειλής χρησιμοποιούν αυτή τη δυνατότητα για να εξαπλωθούν πλευρικά σε άλλες συσκευές του δικτύου ή να διαγράψουν αρχεία εξόδου που έχουν δημιουργηθεί από άλλες εντολές.

Οι εισβολείς προσπαθούν να κλέψουν διαπιστευτήρια απορρίπτοντας τη μνήμη της διαδικασίας LSASS ή κλέβοντας τις κυψέλες μητρώου SAM και SYSTEM.

Τέλος, το Lancefly κρυπτογραφεί τα κλεμμένα αρχεία χρησιμοποιώντας μια μεταμφιεσμένη έκδοση του εργαλείου αρχειοθέτησης WinRAR και στη συνέχεια διεγείρει τα δεδομένα, πιθανότατα χρησιμοποιώντας το Merdoor.

Rootkit ZXShell

Η χρήση μιας νεότερης, ελαφρύτερης και πιο πλούσιας σε χαρακτηριστικά έκδοσης του rootkit ZXShell παρατηρήθηκε επίσης στις επιθέσεις Lancefly.

Το πρόγραμμα φόρτωσης του rootkit, “FormDII.dll”, εξάγει λειτουργίες που μπορούν να χρησιμοποιηθούν για την απόρριψη ωφέλιμων φορτίων που ταιριάζουν με την αρχιτεκτονική του συστήματος του κεντρικού υπολογιστή, για ανάγνωση και εκτέλεση κώδικα φλοιού από ένα αρχείο, εξάλειψη διεργασιών και πολλά άλλα.

Το rootkit χρησιμοποιεί επίσης ένα βοηθητικό πρόγραμμα εγκατάστασης και ενημέρωσης που μοιράζεται κοινό κώδικα με τον φορτωτή Merdoor, υποδεικνύοντας ότι το Lancefly χρησιμοποιεί μια κοινόχρηστη βάση κώδικα για τα εργαλεία του.

Η λειτουργικότητα εγκατάστασης του ZXShell υποστηρίζει τη δημιουργία υπηρεσιών, την αεροπειρατεία και την εκκίνηση, την τροποποίηση μητρώου και τη συμπίεση ενός αντιγράφου του δικού του εκτελέσιμου αρχείου για αποφυγή και ανθεκτικότητα.

Σύνδεσμοι με την Κίνα

Το rootkit ZXShell συνδέει χαλαρά το Lancefly με άλλες κινεζικές ομάδες APT που έχουν χρησιμοποιήσει το εργαλείο σε επιθέσεις, συμπεριλαμβανομένων των APT17 και APT41.

Ωστόσο, ο σύνδεσμος είναι αδύναμος επειδή ο πηγαίος κώδικας του rootkit είναι δημόσια διαθέσιμος εδώ και αρκετά χρόνια.

Το όνομα “formdll.dll” του Lancefly για το πρόγραμμα φόρτωσης rootkit έχει αναφερθεί παλαιότερα σε μια καμπάνια του APT27, γνωστό και ως “Budworm”.

Ωστόσο, δεν είναι σαφές εάν αυτή είναι μια σκόπιμη επιλογή για να παραπλανηθούν οι αναλυτές και να γίνει πιο δύσκολη η απόδοση.

Ένα στοιχείο που υποστηρίζει περαιτέρω την υπόθεση ότι το Lancefly είναι κινεζικής προέλευσης είναι η παρατηρούμενη χρήση των PlugX και ShadowPad RAT (trojans απομακρυσμένης πρόσβασης), τα οποία μοιράζονται σε πολλές κινεζικές ομάδες APT.



bleepingcomputer.com

Follow TechWar.gr on Google News

Απάντηση