Всем привет! И снова в эфир врываются специалисты группы киберразведки экспертного центра безопасности Positive Technologies. В начале сентября 2024 года мы обнаружили подозрительный образ виртуального диска формата VHDX — крайне редкое событие при просмотре потока данных. Анализ VHDX и всех связанных файлов позволил атрибутировать эту атаку группировке APT-C-60. Одну из последних похожих кампаний в июле 2023 года описали в своей статье эксперты компании ThreatBook. Однако при сравнении удалось выделить различия как в файловой иерархии на диске, так и в используемых командах и инструментах.
В этой статье мы опишем технику атаки через виртуальный диск, расскажем, почему данная атака принадлежит, по нашему мнению, именно группировке APT-C-60 и как эти злоумышленники связаны с группировкой DarkHotel и другими. Полностью про анализ цепочки атаки можно почитать в исследовании на сайте.
Почему VHDX так удобен для атак?
Об этом рассказал исследователь Уилл Дорманн в своем посте от 2019 года – а именно в чем особенность VHDX в Windows и почему виртуальный диск удобно использовать в новых системах для передачи ВПО.
VHDX-файл — это виртуальный диск, который, начиная с Windows 8, можно подключить к системе простым двойным нажатием, и это будет считаться логическим томом до момента выключения системы. Для операционной системы структура файла схожа с обычным ZIP-архивом, об этом сказано ниже.
Кроме того, в статье сказано, что благодаря фаззингу была обнаружена возможность уводить системы в синий экран смерти благодаря подключению специально подготовленного виртуального диска.
Как было сказано ранее, для Windows 8 и более поздних версий ZIP-архив и VHDX-диск могут работать по одному сценарию — двойной клик и отображение содержимого. Только проблема в том, что оба формата не попадают под фильтр MoTW (Mark of the Web), который, например, возникает, когда вы пытаетесь открыть Word-документ, скачанный из интернета (режим Protected View), или когда Windows SmartScreen вас предупреждает об опасности, когда вы запускаете скачанный файл. Было проведено сравнение VHDX с ISO, где заметно, что антивирусные решения не могут проанализировать VHDX-формат, и, как следствие, — удалить из системы. ISO, напротив, сканируется большинством ПО.
В ходе анализа виртуального диска мы создали схему, кратко описывающую цепочку атаки.
Инструменты для анализа виртуального диска
Анализировать VHDX-файл можно и в виртуальной машине, подключив его к системе как логический диск. Но бывает так, что хакеры используют один и тот же диск в разных атаках или могут загрузить на диск ошибочный файл. В обоих случаях файл удаляется, но его можно восстановить путем использования специальных программ.
Рассмотрим инструменты, которые можно использовать для быстрого анализа диска и восстановления удаленных артефактов. Мы решили представить инструменты в порядке возрастания их эффективности при попытках получения файлов из образа:
binwalk — утилита командной строки, которая позволяет извлекать данные из образов на основе сигнатурных значений, список которых можно найти в исходном коде утилиты. Проблема binwalk при анализе виртуального диска — плохое извлечение файлов. Например, Word-документы разбивались на XML-сущности и складывались в одну директорию.
volatility — аналог binwalk. Также позволяет извлекать артефакты из образов, в том числе образов энергозависимой памяти (RAM). Утилита имеет профили сборок операционных систем для поиска файлов (типов файлов) по их структуре в выделяемой памяти. Проблема volatility в процессе анализа VHDX — не получилось корректно определить профиль (сборку) ОС.
Autopsy — универсальный инструмент для исследования образов, который может получать данные из файлов разных типов, физических дисков, сырого образа. Более того, имеет свой набор плагинов для исследований, например, файловой системы iOS. Разумеется, можно писать свои плагины.
FTK Imager — аналог Autopsy, показавший наилучшие результаты извлечения файлов.
Посмотрим на файловую структуру.
Для отсеивания артефактов, не используемых в атаке, и давно измененных объектов рассмотрим таймлайн изменения файлов на диске.
На основе этого таймлайна мы получили список файлов:
Forum_Meeting_Agenda.docx
Invitation of Chinese Ambassador.lnk
git.exe
IPML.txt
~Template.docx
С анализом каждого файла можно ознакомиться в полной версии исследования. Там же можно узнать, при чем здесь расписание мероприятий для участников информационного форума, какие были использованы способы обфускации, как отработало ВПО и многое другое 😊
А теперь перейдем к самому любопытному – атрибуции. Кому и каким образом принадлежит использованные техники и ВПО?
Сходства с группировкой DarkHotel
DarkHotel — хакерская группировка, обнаруженная в 2014 году. Считается, что она активна с 2007 года. Отличительная особенность — атаки на высокопоставленных лиц в сферах бизнеса, производства, государственных структур и других.
В результате работы скрипта, который мы относим группировке APT-C-60, собираются два исполняемых файла. Отличительной особенностью обоих файлов является путь до файла .pdb в метаданных файла:
C:\Users\WINUSER\Desktop\SCV\1. Observer\230206_observer_v2.1\observer_v2.0_dll1\observer_v2.0_dll1\x64\Release\observer_v2.0_dll1.pdb
Точно такие же названия файлов, а также путь до файла .pdb упоминались в статье команды Knowsec 404 Advanced Threat Intelligence Team. В нашем случае в LNK-файле собираются файлы со следующими хешами:
crypt86.dat — 99d97b41fa400e2d8c31c8c475b8499078cf000c66e4a4d842d4ffe6d02fdffe
profapii.dat — 4ad5514b5bd7baa05e3c9cdd55e5d19b2bd3ee2664de130590742001b1ca67c3
Продолжая изучение статьи, можно найти схожие признаки:
Дроппер SecureBootUEFI.dat с таким же ключом для операции XOR во время декодирования полезной нагрузки следующей стадии.
Закрепление дроппера SecureBootUEFI.dat через COM-объект
F82B4EF1-93A9-4DDE-8015-F7950A1A6E31
.Использование сервисов BitBucket и StatCounter для передачи данных о системе жертвы и получения новых полезных нагрузок.
Схожий путь до .pdb-файла, о чем было сказано ранее.
Сравнение цепочки атаки с уже известными
Итак, после исследования найденной нами атаки, появились паттерны, схожие с техниками группировки DarkHotel, а также бэкдор SpyGlace, который, как было сказано ранее, описывали эксперты из ThreatBook при анализе атаки APT-C-60. Рассмотрим пересечения исследований двух компаний с обнаруженной нами атакой:
Использование VHD/VHDX-файла, как в атаке APT-C-60 от 21 июля 2023 года.
Использование сборки дроппера SecureBootUEFI.dat по частям через команду в LNK-файле, как указано в статье про DarkHotel. Также дроппер имеет аналогичную схему закрепления через COM-объект со схожим CLSID.
Работа с сервисами BitBucket и StatCounter в атаках обеих группировок.
Использование модификации бэкдора SpyGlace. Сами изменения в ВПО можно считать незначительными.
Сходства с группировкой APT-Q-12
Эксперты из компании QiAnXin тоже обнаружили схожесть цепочки атаки и описали ее в статье от 28 августа 2024 года, в которой анализировалась атака группировки APT-Q-12. Из этого исследования также можно почерпнуть несколько схожих моментов:
Закрепление дроппера через CLSID и значение реестра InProcServer32.
Взаимодействие с сервисами StatCounter и BitBucket внутри дроппера, последующая расшифровка скачанной полезной нагрузки.
Расшифровка полезной нагрузки из .tmp-файла, зашифрованного по стандарту AES с определенным ключом, как это происходит в бэкдоре SpyGlace.
Эксперты из компании QiAnXin также утверждают, что есть некоторое количество группировок, которые можно отнести к одному кластеру:
APT-Q-11 (ShadowTiger),
APT-Q-12 (Pseudo Hunter),
APT-Q-14 (ClickOnce),
APT-Q-15,
UTG-Q-005
и DarkHotel.
Исходя из обнаруженной нами атаки и набора соответствий можно говорить как минимум об одной связи между группировками APT-C-60, APT-Q-12 и Dark Hotel. Взаимосвязь этих группировок можно проследить по описанным пунктам в статье, которые отображены на схеме следующим образом.
Заключение
Вопрос атрибуции и объединения APT-группировок по регионам всегда требует тщательного исследования, поэтому в рамках статьи произошла компоновка группировок в одну: APT-C-60, APT-Q-12 и DarkHotel. Мы продолжим отслеживать активность группировок, обновление ими процедур и вредоносного ПО. Группировки из азиатского региона продолжают использовать нестандартные техники для доставки своего ВПО на устройства жертв, как например, использование виртуальных дисков формата VHD/VHDX для обхода защитных механизмов операционной системы.
В остальном цепочка атаки проходит стандартно: от пользовательского взаимодействия до последнего этапа загрузки вредоносного исполняемого файла. И в то же время каждой группировке свойственно ошибаться, одна из таких ошибок — метаданные в зараженных файлах, которые позволяют предполагать, чьих рук было дело 😉
Сергей Самохин
Младший специалист группы исследования сложных угроз департамента TI, PT Expert Security Center
Климентий Галкин
Младший специалист группы киберразведки департамента TI, PT Expert Security Center