Red Hot Cyber

La cybersecurity è condivisione.
Riconosci il rischio, combattilo, condividi le tue esperienze ed 
incentiva gli altri a fare meglio di te.

Cerca

Gli hacker nazionali russi di Cozy Bear (APT29). Analisi dei principali attacchi e delle loro TTPs

Redazione RHC : 12 Marzo 2023 08:57

Autore: Gianluca Tiepolo

APT29 è un gruppo APT (Advanced Persistent Threat) altamente sofisticato che è stato attribuito al Foreign Intelligence Service (SVR) della Russia . Il gruppo è attivo almeno dal 2008 ed è stato coinvolto in un’ampia gamma di campagne di spionaggio e attacchi informatici contro governiorganizzazioni militariappaltatori della difesa e varie industrie negli Stati Uniti, in Europa e in Asia.

APT29 è anche noto come NOBELIUM (Microsoft), Cozy Bear (Crowdstrike), The Dukes (Kaspersky), JACKMACKEREL (iDefense), BlueBravo (Recorded Future) e UNC2452 (FireEye).

Il gruppo è noto per il suo mestiere sottile e sofisticato nel rubare informazioni geopolitiche: a differenza di altri gruppi sponsorizzati dallo stato russo come APT28 o Sandworm, APT29 non è stato collegato a operazioni dirompenti e opera con molta più discrezione.

Il gruppo è stato attribuito a una serie di attacchi informatici di alto profilo, tra cui:

  • L’hack del Comitato nazionale democratico (DNC) del 2016: APT29 è stato uno dei due gruppi russi responsabili dell’attacco informatico al DNC durante le elezioni presidenziali statunitensi del 2016. Il gruppo ha ottenuto l’accesso al sistema di posta elettronica del DNC e ha rubato informazioni sensibili, che sono state successivamente trapelate al pubblico.
  • L’attacco informatico alle Olimpiadi invernali di Pyeongchang 2018: APT29 è stato attribuito a un attacco informatico contro le Olimpiadi invernali di Pyeongchang in Corea del Sud. Il gruppo ha utilizzato un sofisticato malware chiamato “Olympic Destroyer” per interrompere i sistemi IT e l’infrastruttura dei giochi.
  • L’attacco alla catena di fornitura di SolarWinds: APT29 è stato attribuito al sofisticato attacco alla catena di fornitura contro SolarWinds, uno dei principali fornitori di software di gestione IT. L’attacco ha permesso al gruppo di ottenere l’accesso ai sistemi di diverse agenzie governative statunitensi, tra cui il Dipartimento di Giustizia, il Dipartimento di Stato e il Dipartimento per la sicurezza interna.

Nel maggio 2021, è stato rivelato che APT29 era responsabile di un attacco informatico su larga scala a più agenzie governative statunitensi e società private, inclusa Microsoft. Il gruppo ha utilizzato un sistema di email marketing compromesso per inviare e-mail di spear phishing a oltre 3.000 account individuali, con l’installazione di una backdoor che ha consentito agli aggressori di accedere alle reti delle vittime. Il gruppo è stato anche collegato ad altri attacchi informatici significativi, incluso il furto della ricerca COVID-19 da parte di aziende farmaceutiche con sede negli Stati Uniti.

Nel complesso, APT29 è uno dei gruppi APT più sofisticati e dotati di risorse al mondo e le sue TTP sono in continua evoluzione e cambiamento.

Tattiche, tecniche e procedure

APT29 è noto per il suo targeting paziente e persistente delle sue vittime, spesso utilizzando attacchi in più fasi che richiedono settimane o addirittura mesi per essere completati. Di seguito è riportato un elenco dei TTP più importanti del gruppo:

  • Spear-phishing: il gruppo utilizza e-mail di spear-phishing altamente mirate e convincenti per ottenere l’accesso al sistema di un bersaglio. Queste e-mail sono generalmente adattate agli interessi del destinatario e sembrano provenire da una fonte attendibile.
  • Attacchi watering hole: è noto che APT29 utilizza anche attacchi watering hole, in cui il gruppo compromette un sito Web attendibile frequentato dal target e quindi inietta malware nel sito per infettare i visitatori.
  • Malware personalizzato: APT29 utilizza malware altamente personalizzati, come “SeaDuke” e “CosmicDuke”, progettati per eludere il rilevamento e mantenere la persistenza sul sistema di destinazione. Il gruppo è anche noto per utilizzare strumenti noti come “Cobalt Strike” e “PowerShell Empire”.
  • Utilizzo di exploit 0-day: il gruppo è noto per il suo utilizzo di exploit zero-day per ottenere l’accesso ai sistemi target. Ad esempio, APT29 è noto per utilizzare exploit per software popolari come Microsoft Office e Adobe Flash.
  • Tattiche di Living-off-the-land: APT29 usa spesso tattiche di LotL in cui il gruppo utilizza strumenti e tecniche legittimi che sono già presenti sul sistema bersaglio per eludere il rilevamento. Ciò può includere strumenti come PowerShell , Strumentazione gestione Windows (WMI) e protocollo desktop remoto (RDP) .

In questa particolare ricerca, mi sono concentrato sull’analisi delle capacità di comando e controllo di APT29.

Comando e controllo

Questo gruppo di minacce ha una storia di utilizzo di servizi cloud affidabili e legittimi ( come servizi di social media e Google Drive ) per i propri attacchi informatici nel tentativo di integrarsi nel normale traffico di rete ed eludere il rilevamento . Il malware distribuito da APT29 contiene anche la capacità di esfiltrazione dei dati su quegli stessi canali C2. Per esempio:

  • Il malware MiniDuke del gruppo ha cercato tweet specifici che contenevano URL per accedere ai server C2.
  • Il malware CosmicDuke e PolyglotDuke di APT29 ha anche la capacità di utilizzare Twitter per ottenere URL C2, così come altri servizi di social media come Imgur e Reddit.
  • La backdoor HAMMERTOSS di APT29 utilizza GitHub , Twitter e servizi di cloud storage per la comunicazione C2.

APT29 ha anche utilizzato metodi di crittografia personalizzati , come quelli trovati nel malware SeaDuke del gruppo in cui è stata generata un’impronta digitale univoca per l’host infetto e la codifica Base64 e la crittografia RC4/AES sono state utilizzate per stratificare i dati durante le comunicazioni con il proprio server C2Il gruppo ha anche utilizzato tecniche come il ” fronting del dominio ” e i plug-in di offuscamento TOR per creare tunnel di rete crittografati.

L’utilizzo dei social network per le comunicazioni C2 non è una tecnica del tutto nuova: altri gruppi russi come Turla (Orso velenoso) hanno sfruttato i commenti postati su Instagram per ottenere l’indirizzo dei propri server di comando e controllo.

APT29 è stato individuato utilizzando Twitter per controllare le macchine infette già nel 2015: nella campagna HAMMERTOSS , il gruppo è stato in grado di ricevere comandi e inviare dati rubati attraverso il popolare social network, che ha permesso loro di eludere il rilevamento da parte di soluzioni di sicurezza che non monitoravano i social traffico mediatico.

EnvyScout

In una campagna più recente risalente a giugno 2021, APT29 ha preso di mira le organizzazioni diplomatiche italiane con una campagna di spear phishing che ha distribuito la backdoor EnvyScout .

Comunicazione C2 tramite Slack

La backdoor chiama prima una funzione per creare un canale Slack personalizzato , aggiungendo l’ID utente dell’attaccante al canale appena creato. La backdoor ottiene il nome utente e il nome host dell’host vittima, aggiunge 4 numeri casuali per formare il nome del canale e invia una richiesta HTTP con un token di autorizzazione all’API Slack. 

Dopo che il canale è stato stabilito, la backdoor entra in un ciclo infinito: utilizza la richiesta API “chat.postMessage” per inviare un messaggio beacon al canale appena creato e riceve una risposta con un elenco di file e payload aggiuntivi che vengono scaricati e eseguito sulla macchina di destinazione.

Beatdrop

A metà gennaio 2022, APT29 ha lanciato un’altra campagna di spear phishing contro un’entità diplomatica, che è stata rilevata e risolta da Mandiant. Durante le indagini, Mandiant ha scoperto che le e-mail dannose sono state utilizzate per distribuire i downloader BEATDROP e BOOMMIC .

BEATDROP è un downloader scritto in C che sfrutta Trello per la comunicazione Command-and-Control (C2) . Trello è un’applicazione di gestione dei progetti basata sul Web che consente agli utenti di organizzare attività e progetti utilizzando schede, elenchi e schede personalizzabili.

Quando viene eseguito, BEATDROP mappa la propria copia ntdll.dllin memoria per eseguire lo shellcode nel proprio processo. Crea un thread sospeso, quindi enumera il sistema per il nome utente, il nome del computer e l’indirizzo IP per creare un ID vittima. Questo ID vittima viene utilizzato da BEATDROP per archiviare e recuperare i payload delle vittime dal suo C2. Una volta creato l’ID della vittima, BEATDROP invia una richiesta iniziale a Trello per determinare se l’attuale vittima è già stata compromessa. Il payload shellcode viene quindi recuperato da Trello ed è preso di mira per ogni vittima. Una volta che il payload è stato recuperato, viene eliminato da Trello.

Nozione per la comunicazione C2

Nell’ottobre 2022, ESET Research ha scoperto un campione caricato su VirusTotal che somigliava molto a quello che APT29 aveva utilizzato alcuni mesi fa, con la differenza fondamentale che utilizzava Notion , una piattaforma software per prendere appunti basata su cloud, per Command-and-Control (C&C) comunicazioni.

È possibile abusare dell’API Notion per le comunicazioni C2 incorporando i comandi nell’area di lavoro Notion, a cui accede il malware come se fosse un utente legittimo. Questo uso improprio di Notion consente agli attori delle minacce di eludere il rilevamento e aggirare i controlli di sicurezza , poiché è probabile che il traffico tra il malware e il server Notion venga percepito come traffico legittimo.

I ricercatori ESET sospettano che il downloader distribuito in questa particolare campagna sia stato progettato per raccogliere ed eseguire ulteriori payload dannosi, come Cobalt Strike . La campagna è stata analizzata in modo più dettagliato dai ricercatori di Hive Pro e Recorded Future , che identificano il campione come il malware GraphicalNeutrino .

Secondo Recorded Future, APT29 ha utilizzato un sito Web compromesso con un testo esca di ” Programma dell’ambasciatore novembre 2022 ” per distribuire il file ZIP “programma.zip”, suggerendo che gli obiettivi della campagna sono legati al personale dell’ambasciata o a un ambasciatore . GraphicalNeutrino, il malware utilizzato nell’operazione, funge da caricatore con funzionalità C2 di base e impiega varie tecniche anti-analisi per evitare il rilevamento, tra cui l’unhooking delle API e l’evasione della sandbox.

Artefatto graficoNeutrino — 140runtime.dll

Dopo aver stabilito la persistenza, il malware decrittografa diverse stringhe, tra cui una chiave API Notion e un identificatore di database, e calcola un ID univoco per la vittima in base al nome utente e al nome host. Quindi utilizza l’API di Notion per la comunicazione C2 e per fornire payload aggiuntivi alla macchina della vittima.

Per ogni richiesta al C2, GraphicalNeutrino analizza la risposta in formato JSON e cerca un array ” file “; se l’array non è vuoto, il malware analizzerà il campo dell’URL, scaricherà il file e lo decrittograferà utilizzando una cifratura personalizzata. Una volta decifrato, lo shellcode viene generato indirettamente in un nuovo thread.

Un esempio di risposta dalla nozione C2

L’uso di esche diplomatiche durante periodi di accresciute tensioni geopolitiche, come la guerra in corso in Ucraina, è probabile che sia efficace per i gruppi APT russi, dato il potenziale impatto delle informazioni raccolte da entità o individui compromessi sulla politica estera russa e sulle decisioni strategiche. processi di realizzazione. È forse per questo motivo che APT29 ha adottato le stesse tattiche – in particolare la comunicazione furtiva C2 ​​tramite Notion – per la sua prossima grande campagna, questa volta rivolta alla Commissione europea .

Attacco alla Commissione Europea

In questa sezione finale del post del blog, sto analizzando una campagna precedentemente sconosciuta attribuita ad APT29 che ha preso di mira la Commissione Europea . Si spera che la precedente introduzione ai TTP e alle campagne del gruppo sia vantaggiosa per il lettore, poiché questo attacco condivide alcune somiglianze con la campagna GraphicalNeutrino che è stata esposta da Recorded Future .

Accesso iniziale

A partire da metà febbraio 2023, una campagna di spear phishing ha preso di mira una serie di indirizzi e-mail relativi a membri della Commissione europea. L’attacco ha comportato la distribuzione di un’immagine .iso dannosa che conteneva un nuovo campione del downloader VaporRage . Una volta eseguito, il malware è stato osservato sfruttare l’ API Notion per distribuire i beacon Cobalt Strike.

Flusso di esecuzione dell’attacco alla Commissione Europea

La prima e-mail di phishing, inviata il 13 febbraio 2023, mascherata da avviso amministrativo relativo a documenti disponibili per il download da eTrustEx, una piattaforma di scambio basata sul Web che garantisce la trasmissione sicura di documenti tra i membri della Commissione. Le e-mail esca sono scritte in inglese e sono state consegnate a un numero estremamente mirato di persone chiave che utilizzano la piattaforma eTrustEx.

E-mail di richiamo inviata alla Commissione europea

Inoltre, ho notato che in diversi campioni di posta elettronica, i mittenti sono probabilmente account di posta elettronica compromessi appartenenti a organizzazioni governative legittime. Ciò potrebbe indurre le vittime a credere che le e-mail provenissero da partner affidabili, rendendo più probabile che i destinatari facciano clic sui collegamenti.

Quando il collegamento viene aperto, la vittima viene reindirizzata a una pagina HTML dannosa ospitata in hxxps://literaturaelsalvador[.]com/Instructions.htmlcui utilizza una tecnica nota come contrabbando HTML per scaricare un’immagine ISO sul sistema di destinazione. Credo che questo dominio non sia di proprietà dell’attore ma sia stato compromesso, il che è in linea con la precedente attività APT29.

Sito web di richiamo

Il file ISO è impostato per il download automatico quando il sito Web viene visitato dalla vittima; questo si ottiene attraverso il seguente codice JavaScript. Il contenuto di Instructions.isoè memorizzato nella dvariabile.

Codice JS che scarica il payload del primo stadio

Esecuzione

Una volta che il file è stato scritto su disco, quando un utente fa doppio clic su di esso in Windows 10 o versioni successive, l’immagine viene montata e il contenuto della cartella viene visualizzato in Esplora risorse. L’ISO contiene due file: un file di scelta rapida di Windows ( Instructions.lnl) e una DLL dannosa ( BugSplatRc64.dll).

Se l’utente fa clic sul file LNK, viene eseguito il seguente comando, attivando involontariamente l’esecuzione della DLL dannosa.

Esecuzione della DLL dannosa

L’utilizzo di scorciatoie LNK per eseguire DLL dannose è una tecnica che è stata associata ad APT29 in numerose campagne. In questo particolare scenario, ho riconosciuto il campione come VaporRage , un downloader utilizzato da APT29 dal 2021 .

Persistenza

Quando viene eseguito con l’ InitiateDsesportazione, VaporRage esegue prima alcuni comandi di ricognizione e genera un host-id codificando in esadecimale il dominio DNS e il nome utente. Quindi, crea una copia di se stesso in:

C:\Users\%USERNAME%\AppData\Local\DsDiBacks\BugSplatRc64.dll

VaporRage crea una copia di se stesso

VaporRage stabilisce quindi la persistenza sul sistema compromesso creando una chiave di esecuzione del registro situata in: \Software\Microsoft\Windows\CurrentVersion\Run\DsDiBacks.

VaporRage stabilisce la persistenza attraverso una chiave di registro

Comando e controllo

Come ho anticipato all’inizio di questo post, l’esempio VaporRage fornito nella catena di esecuzione sfrutta il suo comando e controllo comunicando su HTTPS utilizzando Notion APIs . La funzione di database di Notion viene utilizzata anche per archiviare le informazioni sulle vittime e mettere in scena ulteriori payload per il download.

PCAP raccolti durante la comunicazione C2

Sulla base delle mie osservazioni, questo campione di VaporRage esegue periodicamente una richiesta POST all’API Notion per verificare la disponibilità di un payload malware di seconda fase , che viene quindi recuperato ed eseguito in memoria. In questa particolare campagna, APT29 ha utilizzato VaporRage per distribuire i beacon Cobalt Strike per stabilire ulteriormente un punto d’appoggio all’interno dell’ambiente.

Il seguente endpoint è stato utilizzato per le comunicazioni C2:

  • URL: hxxps://api[.]notion[.]com/v1/databases/37089abc0926463182bb5343bce252cc/query
  • Indirizzo IP: 104[.]18.42.99
  • Intestazione autorizzazione: %HOST-ID%
  • Agente utente: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, come Gecko) Chrome/35.0.1916.114 Safari/537.36

Questa tecnica esemplifica i continui tentativi di APT29 di oscurare le sue azioni e mantenere un accesso continuo ai sistemi bersaglio. Ciò è stato ampiamente documentato da Mandiant , che ha descritto APT29 utilizzando una varietà di tecniche, tra cui attività pianificate , chiavi di esecuzione, certificati dannosi e backdoor in memoria , a volte utilizzando più metodi per ciascun obiettivo.

Nel complesso, l’uso di servizi cloud come Trello e Notion per le comunicazioni C2 non solo fornisce a un attore di minacce maggiori capacità di eludere i controlli di sicurezza della rete, ma aumenta anche la resilienza alle operazioni di rimozione da parte delle forze dell’ordine: i social media e i servizi cloud sono spesso ospitati su più server e posizioni, rendendo più difficile per le autorità rimuovere l’intera piattaforma. Ciò significa che l’autore della minaccia può continuare a utilizzare la piattaforma per le comunicazioni C2 anche se alcuni server vengono disattivati. Questi vantaggi lo rendono un’opzione interessante per i gruppi di minacce come APT29 per condurre le loro attività dannose.

Conclusioni

La gamma di tattiche, tecniche e procedure (TTP) utilizzate da APT29 in questa campagna supporta la conclusione che il loro obiettivo è stabilire numerosi mezzi di accesso a lungo termine per facilitare la raccolta di informazioni relative allo spionaggio all’interno delle reti di vittime delle entità governative prese di mira. Le nazioni che hanno un legame con la crisi ucraina, in particolare quelle con significativi legami geopolitici, economici o militari con la Russia o l’Ucraina, affrontano un rischio maggiore di essere prese di mira dall’APT29.

Questo gruppo di minacce ha mostrato un’impressionante capacità di adattarsi rapidamente durante le loro operazioni. Usano metodi innovativi e unici per aggirare i requisiti di rilevamento e autenticazione nei loro ambienti di destinazione. Nelle loro recenti operazioni, il gruppo ha dimostrato una profonda conoscenza della sicurezza operativa, consentendo loro di spostarsi senza problemi tra risorse on-premise e cloud con un uso minimo di malware. Questi fattori, combinati con le loro capacità avanzate di sviluppo di malware, la lunga storia delle operazioni e il tempo prolungato sugli obiettivi, indicano che APT29 è un attore ben finanziato ed eccezionalmente sofisticato e continuerà sicuramente a rappresentare una minaccia durante il 2023.

IOC

Di seguito è riportato un elenco di indicatori associati a questa campagna.

Domini
hxxps://literaturaelsalvador[.]com/instructions.html
hxxps://api[.]notion[.]com/v1/databases/37089abc0926463182bb5343bce252cc/query

PI
108[.]167.180.186
104[.]18.42.99

File — SHA256
21a0b617431850a9ea2698515c277cbd95de4e59c493d0d8f194f3808eb16354 (Instructions.iso)
e957326b2167fa7ccd508cbf531779a28bfce75eb2635ab822927B9augRplat.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.