„Tim lovaca na prijetnje“ iz Simanteka (Symantec), divizije Brodkoma (Broadcom), otkrio je novu špijunsku kampanju koju sprovodi Palmervorm (Palmerworm) grupa (poznata i pod imenom BlackTech) koja koristi potpuno novi paket prilagođenog malvera i cilja organizacije u Japanu, na Tajvanu, u Sjedinjenim Američkim Državama i Kini.
Napadi su se dogodili 2019. godine, a nastavili su se i u 2020. godini, ciljajući organizacije u sektorima medija, građevinarstva, inženjeringa, elektronike i finansija.
Primijećeno je da je grupa koristila prethodno nepoznat malver u tim napadima.
U ovoj kampanji, Palmervorm koristi kombinaciju prilagođenog malvera, alata s dvostrukom namenom i „living off the land“ taktiku, u kojoj napadači koriste softver i alate koji već postoje u okruženju žrtve.
Palmervorm grupa je aktivna barem od 2013. godine, dok je prva aktivnost u ovoj kampanji zabeležena u avgustu 2019. godine.
Taktika, alatke i procedure
Primjjećeno je da Palmervorm u ovim napadima koristi kako alate s dvostrukom namjenom, tako i prilagođeni malver.
Među porodicama prilagođenog malvera koje su uočeni, našli su se Backdoor.Consock, Backdoor.Waship, Backdoor.Dalwit i Backdoor.Nomri.
Nije primijećeno da je grupa koristila ove malver porodice u prethodnim napadima, već je moguće je da su to novorazvijeni alati ili evolucija starijih Palmervorm alata.
Malver koji je Palmervorm koristio u prošlosti uključivao je Backdoor.Kivars i Backdoor.Pled.
Prilagođeni malver koji je grupa koristila u ovoj kampanji nije poznat od ranije, ali drugi elementi napada imaju sličnosti sa prošlim Palmervorm kampanjama, što nas dovodi do zaključka da ista grupa sprovodi ovu kampanju.
Pored četiri pomenuta, primijećeno je da grupa koristi prilagođeni louding alat i alat za izviđanje mreže, koje Simantek detektuje kao trojanca i Hacktool.
Grupa je takođe koristila nekoliko alata dvostruke namene, uključujući:
Putty - može se koristiti za daljinsko pristupanje, kako bi se izvukli podaci i poslali napadačima.
PSExec - legitiman Majkrosoftov alat koji napadači mogu da zloupotrebe za bočno kretanje kroz mrežu žrtve.
NScan - ovaj alat se može koristiti za izviđanje mreže, za pronalaženje drugih potencijalnih meta na mrežama žrtave.
WinRAR - alatka za arhiviranje koja se može koristiti za komprimovanje datoteka (potencijalno radi lakšeg slanja nazad napadačima) kao i za izdvajanje datoteka iz zipovanih foldera.
Sve ove alate sa dvostrukom namenom često eksploatišu maliciozni akteri poput Palmervorma, a primećeno je i to da APT grupe (Advanced Persistent Threat - napredne perzistentne pretnje), poslednjih godina sve više koriste „living off the land“ taktiku uz korišćenje alata sa dvostrukom namenom.
Ovi alati obezbeđuju napadačima dobar stepen pristupa sistemima žrtava bez potrebe da kreiraju komplikovani prilagođeni malver koji se lakše može povezati s određenom grupom.
U ovoj kampanji, Palmervorm takođe koristi ukradene sertifikate za potpisivanje kôda kojim potpisuju svoj payload, što čini da on izgleda legitimnije, a samim tim i da ga bezbednosni softver teže otkriva.
Nije utvrđeno koji je vektor infekcije Palmervorm koristio za dobijanje inicijalnog pristupa mrežama žrtava u ovoj kampanji, ali znamo da je u prošlosti grupa koristila ciljane, sper-fišing imejlove kako bi obezbjedila pristup mrežama žrtava.
Žrtve
Simantek je identifikovao više žrtava u ovoj kampanji, u brojnim industrijama, uključujući medije, građevinarstvo, inženjering, elektroniku i finansije.
Sve medijske, elektronske i finansijske kompanije bile su stacionirane na Tajvanu, sedište inženjerske kompanije bilo je u Japanu, a građevinska kompanija u Kini.
Očigledno je da Palmervorm ima veliko interesovanje za kompanije u ovom regionu istočne Azije. Sektor kompanija koje su bile na meti u Sjedinjenim Amerčkim Državama nije identifikovan.
Šta napadači žele?
Mada se ne može videti šta je Palmervorm izvukao od ovih žrtava, smatra se da se radi o špijunskoj grupi i najverovatnije joj je motiv krađa informacija od ciljanih kompanija.
I ako prilagođeni malver koji je korišćen u ovom napadu nije malver koji je Palmervorm ranije koristio, neke od uzoraka identifikovanih u ovom istraživanju drugi vendori detektuju kao PLEAD, a to je poznata Palmervorm porodica malvera.
APT grupe su i dalje veoma aktivne u 2020. godini, a upotreba alata dvostruke namene i „living off the land“ taktike čini sve težim otkrivanje njihove aktivnosti.
To naglašava potrebu za sveobuhvatnim bezbjednosnim rješenjem koje je sposobno da otkrije ovu vrstu aktivnosti.
Tim lovaca na prijetnje čini grupa stručnjaka za bezbednost unutar Simanteka, čija je misija da istražuju ciljane napade, doprinesu unaprijeđenju zaštite u svojim proizvodima i prezentuju analize koje pomažu klijentima da adekvatno odgovore na napade.