Οι ερευνητές της Kaspersky αποκάλυψαν μια σειρά από εξαιρετικά στοχευμένες επιθέσεις εναντίον βιομηχανικών οργανισμών που χρονολογούνται από το 2018 – πολύ πιο σπάνιες στον κόσμο των απειλητικών φορέων τύπου APT σε σύγκριση με εκστρατείες εναντίον διπλωματών και άλλων πολιτικών παραγόντων υψηλού προφίλ.
Το σετ εργαλείων που χρησιμοποιήθηκε – αρχικά ονομάστηκε MT3 από τους δημιουργούς κακόβουλου λογισμικού – ονομάστηκε από την Kaspersky «MontysThree».
Όπως αναφέρει η Ναυτεμπορική χρησιμοποιεί μια ποικιλία τεχνικών για να αποφύγει την ανίχνευση, συμπεριλαμβανομένης της φιλοξενίας των επικοινωνιών του με τον control server σε δημόσιες υπηρεσίες cloud και την απόκρυψη της κύριας κακόβουλης λειτουργικής μονάδας χρησιμοποιώντας στεγανογραφία.
Οι κυβερνητικοί οργανισμοί, οι διπλωμάτες και οι τηλεπικοινωνιακοί φορείς τείνουν να είναι ο προτιμώμενος στόχος για επιθέσεις τύπου APT, δεδομένου ότι αυτά τα άτομα και τα ιδρύματα έχουν στη διάθεσή τους έναν πολύ μεγάλο αριθμό εξαιρετικά εμπιστευτικών και πολιτικά ευαίσθητων πληροφοριών.
Πολύ πιο σπάνιες είναι οι στοχευμένες εκστρατείες κατασκοπείας εναντίον βιομηχανικών οργανισμών – αλλά, όπως και άλλες επιθέσεις εναντίον βιομηχανιών, μπορεί να έχουν καταστροφικές συνέπειες για την επιχείρηση. Γι’ αυτό, μόλις παρατήρησαν τη δραστηριότητα του MontysThree, οι ερευνητές της Kaspersky έσπευσαν να την αναφέρουν.
Πώς τους κατασκοπεύει
Για να πραγματοποιήσει την κατασκοπεία του, το MontysThree αναπτύσσει ένα πρόγραμμα κακόβουλου λογισμικού που αποτελείται από τέσσερις λειτουργίες.
Η πρώτη – το loader – αρχικά εξαπλώνεται χρησιμοποιώντας αρχεία RAR SFX (αυτοαποσυμπιεσμένα αρχεία) που περιέχουν ονόματα που σχετίζονται με λίστες επαφών υπαλλήλων, τεχνική τεκμηρίωση και αποτελέσματα ιατρικής ανάλυσης για να εξαπατήσουν τους υπαλλήλους να κατεβάσουν τα αρχεία – μια κοινή τεχνική spearphishing.
Το loader είναι κατά κύριο λόγο υπεύθυνο να διασφαλίσει ότι το κακόβουλο λογισμικό δεν εντοπίζεται στο σύστημα. Για να γίνει αυτό, αναπτύσσει μια τεχνική γνωστή ως στεγανογραφία.
Η στεγανογραφία χρησιμοποιείται από τους φορείς για να κρύψει το γεγονός ότι ανταλλάσσονται δεδομένα. Στην περίπτωση του MontysThree, το κύριο κακόβουλο ωφέλιμο φορτίο μεταμφιέζεται ως αρχείο bitmap (μορφή αποθήκευσης ψηφιακών εικόνων). Εάν εισαχθεί η σωστή εντολή, το loader θα χρησιμοποιήσει έναν προσαρμοσμένο αλγόριθμο για να αποκρυπτογραφήσει το περιεχόμενο από τη συστοιχία pixel και να εκτελέσει το κακόβουλο ωφέλιμο φορτίο.
Το κύριο κακόβουλο ωφέλιμο φορτίο χρησιμοποιεί αρκετές τεχνικές κρυπτογράφησης για να αποφύγει τον εντοπισμό, δηλαδή τη χρήση ενός αλγορίθμου RSA για την κρυπτογράφηση των επικοινωνιών με τον control server και για την αποκρυπτογράφηση των κύριων «εργασιών» που έχουν εκχωρηθεί από το κακόβουλο λογισμικό. Αυτό περιλαμβάνει την αναζήτηση εγγράφων με συγκεκριμένες επεκτάσεις και σε συγκεκριμένους καταλόγους εταιρειών.
Το MontysThree έχει σχεδιαστεί για να στοχεύει συγκεκριμένα έγγραφα Microsoft και Adobe Acrobat. Μπορεί επίσης να συλλάβει στιγμιότυπα οθόνης και «δακτυλικό αποτύπωμα» (δηλαδή να συλλέξει πληροφορίες σχετικά με τις ρυθμίσεις δικτύου, το όνομα κεντρικού υπολογιστή κ.λπ.) του στόχου έτσι ώστε να ελέγξει αν είναι ενδιαφέρων για τους εισβολείς.
Οι πληροφορίες που συλλέγονται και άλλες επικοινωνίες με τον control server στη συνέχεια φιλοξενούνται σε δημόσιες υπηρεσίες cloud όπως το Google, η Microsoft και το Dropbox. Αυτό καθιστά δύσκολη την ανίχνευση της κίνησης επικοινωνίας ως κακόβουλη, και επειδή κανένα antivirus δεν αποκλείει αυτές τις υπηρεσίες, διασφαλίζει ότι ο control server μπορεί να εκτελεί εντολές χωρίς διακοπή.
Το MontysThree χρησιμοποιεί επίσης μια απλή μέθοδο για να αποκτήσει επιμονή στο μολυσμένο σύστημα – έναν modifier για το Windows Quick Launch. Οι χρήστες εκτελούν ακούσια την αρχική λειτουργική μονάδα του κακόβουλου λογισμικού κάθε φορά που εκτελούν νόμιμες εφαρμογές, όπως προγράμματα περιήγησης, όταν χρησιμοποιούν την Quick Launch toolbar.
Η Kaspersky δεν μπόρεσε να βρει ομοιότητες στον κακόβουλο κώδικα ή στην υποδομή με γνωστά APT.
