Weitere Unternehmen im Visier des DarkSide-Partners TAG-21; Links zur Infrastruktur von WellMess und Sliver

Executive Summary

Mitte Mai 2021 berichtete die Insikt Group, dass weitere 11 Organisationen wahrscheinlich im Visier desselben DarkSide-Tochterunternehmens waren, das Colonial Pipeline kompromittiert hatte. Am 27. April wurde eine umfangreiche Netzwerkkommunikation von neun dieser Organisationen beobachtet, die einer heuristischen Verhaltenssignatur von Recorded Future entsprach und zu einem Cobalt Strike-Kommando- und Kontrollserver (C2) (176.123.2[.]216) führte, der bei der Operation zum Angriff auf Colonial Pipeline verwendet wurde. Die Insikt Group verfolgt dieses Ransomware-as-a-Service (RaaS)-Tochterunternehmen und seine Aktivitäten intern als TAG-21.

In den zwei Wochen, nachdem diese Organisationen erstmals ins Visier genommen wurden, kommunizierten fünf dieser neun Organisationen auch mit mutmaßlichen WellMess- und Sliver-C2s. Eine aufgezeichnete Analyse des zukünftigen Netzwerkverkehrs (NTA) bestätigte, dass über 35 Unternehmen aus verschiedenen Branchen und Regionen, darunter Fortune 500-Unternehmen, mit derselben mutmaßlichen C2-Infrastruktur kommunizierten, was auf eine mögliche Kompromittierung hindeutet. Fast alle der angegriffenen Unternehmen präsentierten nach außen gerichtete Citrix-Geräte und -Software, die nachweislich schon früher im Visier von SVR-Nexus-Gruppen und RaaS- Tochterunternehmen waren. Der SVR ist Russlands Auslandsgeheimdienst. Auf Grundlage der in dieser Untersuchung präsentierten Daten halten wir die folgenden Szenarien in absteigender Reihenfolge für plausibel: 

1. Zwei verschiedene Gruppen, die RaaS-Tochter TAG-21 und eine SVR-Nexus-Gruppe, zielten beide auf Organisationen auf der ganzen Welt ab, indem sie anfällige Citrix-Server in Unternehmen massenhaft ausnutzten und koexistierten auf den fünf sich überschneidenden Zielorganisationen.
2. Die identifizierte, mit WellMess C2s verknüpfte Infrastruktur ist wahrscheinlich nicht mehr ausschließlich SVR-Nexus-Gruppen vorbehalten und steht ausgewählten RaaS-Partnern zur Verfügung.
3. Eine SVR-Nexus-Gruppe mit Zugriff auf historische WellMess C2s ist in das RaaS-Ökosystem eingebunden.

Die Insikt Group hat im Vorfeld dieser Veröffentlichung gemäß der Benachrichtigungsrichtlinie von Recorded Future verantwortungsvolle Offenlegungsverfahren befolgt.

Wir empfehlen betroffenen Organisationen und zugehörigen Unternehmen dringend, die in Anhang A dieses Berichts aufgeführten Indikatoren auf historische oder aktuelle Aktivitäten zu überprüfen und proaktiv nach Infektionen mit der DarkSide-Ransomware sowie Cobalt Strike, WellMess und Sliver zu suchen. Kunden von Recorded Future können Kobalt oder Silber über die erweiterte Abfragefunktion der Recorded Future-Plattform erkennen. Lesen Sie unseren Adversary Infrastructure Report 2020, um zu erfahren, wie die Insikt Group von Recorded Future externe gegnerische Befehls- und Kontrollserver identifiziert. 

Wichtige Urteile

• Die erhebliche Überschneidung bei den Zielorganisationen, die sich auf vier verschiedene C2s verteilen, von denen drei auf demselben /16-Netzblock gehostet werden, der demselben Hosting-Provider mit Sitz in Malaysia gehört, und zwei der C2s im Abstand von wenigen Tagen bereitgestellt wurden, deutet darauf hin, dass diese Kampagne wahrscheinlich von einer einzigen Aktivitätsgruppe oder zwei Gruppen mit überlappenden Zuständigkeitsbereichen durchgeführt wurde.
• Die letzte festgestellte Aktivität zwischen den betroffenen Organisationen und den C2s fand am 8. Mai 2021 statt. Daher vermuten wir, dass die Angreifer entweder auf alternative Werkzeuge umgestiegen sind oder nach der beispiellosen Medienberichterstattung über den Colonial-Pipeline-Vorfall von ihren Angriffen auf diese Organisationen Abstand genommen haben.
• Die Breite der Angriffe auf mehrere Branchen und Regionen über einen Zeitraum von 11 Tagen, der zeitlich mit dem Vorfall um die Colonial Pipeline zusammenfällt, deutet darauf hin, dass für die Aktivität eher eine oder mehrere finanziell motivierte Gruppen verantwortlich sind. Die Zielerfassung entspricht nicht den herkömmlichen Anforderungen des SVR zur Informationsbeschaffung.

Analyse

WellMess ist eine maßgeschneiderte Schadsoftwarefamilie , die Berichten zufolge von APT29 (auch bekannt als Cozy Bear, The Dukes, Blue Kitsune) eingesetzt wurde, um die Entwicklung eines Impfstoffs gegen COVID-19 anzugreifen. In neueren Berichten hat das britische National Cyber Security Centre (NCSC) jedoch seine Formulierungen etwas abgeändert und diese Aktivitäten nun dem Auslandsgeheimdienst der Russischen Föderation (SVR) zugeschrieben. Im selben Bericht gab das NCSC auch an, dass bei bestimmten Cyberoperationen des SVR das Open-Source-Offensivsicherheitstool (OST) Sliver zum Einsatz kam, merkte aber an, dass die Gruppe von der Verwendung zuvor offengelegter Taktiken, Techniken und Verfahren (TTPs) Abstand genommen habe.

Verdächtiges WellMess C2 111.90.150[.]176:443

IP-Adresse 111.90.150[.]176, gehostet auf der Infrastruktur des malaysischen „Shinjiru Technology Sdn Bhd“, wurde erstmals am 3. April 2020 von der Insikt Group als mutmaßlicher WellMess C2 entdeckt und blieb mindestens bis zum 5. Juni 2021 aktiv. Die Erkennung basierte auf einer Signatur, die auf bestimmten Merkmalen eines für WellMess-Controller konfigurierten TLS-Zertifikats basierte. Basierend auf den verfügbaren Daten gab es während dieses Zeitfensters keine Hostnamen, die zu dieser IP aufgelöst wurden. Der Server wurde jedoch am oder um den 6. November 2020 aktualisiert, um OpenSSH v7.6 auf TCP-Port 22 auszuführen, das mit WellMess verknüpfte TLS-Zertifikat blieb jedoch installiert. Darüber hinaus wurde C2 laut Berichten des britischen NCSC in der Vergangenheit bei Angriffen auf Organisationen eingesetzt, die an der Entwicklung eines Impfstoffs gegen COVID-19 beteiligt waren. Der Netzwerkverkehr deutete darauf hin, dass am 8. Mai 2021 10 Zielorganisationen mit C2 kommunizierten, darunter:

• Eine US-Versicherungsgesellschaft
• Ein US-amerikanisches IT-Dienstleistungsunternehmen
• Ein australischer Gesundheitsbezirk
• Ein Bezirksrat in Australien
• Eine südafrikanische Unternehmensberatung 
• Ein Organ der Schweizerischen Staatsregierung
• Ein südkoreanisches LCD- und Halbleiterherstellungsunternehmen
• Universitäten in Brasilien und Irland
• Ein internationales Videospiel-Entwicklungsunternehmen

Von den 10 Zielorganisationen, die mit 111.90.150[.]176 kommunizierten, wurden 3 in einer früheren Untersuchung von Insikt zum mit DarkSide verknüpften Colonial Pipeline-Ransomware-Angriff als Ziele identifiziert. Im Rahmen dieser Untersuchung haben wir mehrere Organisationen hervorgehoben, die eine Netzwerkkommunikation mit einem Cobalt Strike C2 (c2.websecurenetworks[.]xyz |176.123.2[.]216) hergestellt hatten , der Berichten zufolge beim Einbruch in die Colonial Pipeline verwendet wurde. Die 3 Organisationen kommunizierten mit 111.90.150[.]176 nur 11 Tage später, am 8. Mai – am selben Tag gab Colonial Pipeline bekannt, Opfer eines Ransomware-Angriffs geworden zu sein.

Wenn die überlappenden Zielvorgaben auf eine Aktivitätsgruppe hinweisen, die sowohl Cobalt Strike als auch eine Infrastruktur verwendet, die als mutmaßliches WellMess C2 gekennzeichnet ist, dann können wir angesichts der gemeldeten Zuordnung des Eindringens in die Colonial Pipeline zu einem DarkSide RaaS-Partner (von Insikt als TAG-21 verfolgt) davon ausgehen, dass dieser Partner wahrscheinlich auch Zugriff auf die mutmaßlichen WellMess C2s hatte. Eine andere plausible Erklärung wäre die Existenz zweier unterschiedlicher Gruppen, die es auf dieselben Organisationen abgesehen hätten.

Verdächtiges WellMess C2 111.90.146[.]143:443

C2 111.90.146[.]143:443 wurde bereits zuvor vom britischen NCSC in einer Empfehlung gemeldet , in der die Verwendung von WellMess und WellMail durch APT29 bei der gezielten Entwicklung eines Impfstoffs gegen COVID-19 beschrieben wurde. Die in diesem Abschnitt beschriebenen großen Überschneidungen in den Merkmalen der Viktimologie und der C2-Infrastruktur liefern starke Beweise dafür, dass beide in dieser Untersuchung behandelten mutmaßlichen WellMess-C2s von derselben Aktivitätsgruppe eingesetzt wurden. 

Die 111.90.146[.]143 Am 11. April 2020 wurde erstmals festgestellt, dass IP das unverwechselbare WellMess-TLS-Zertifikat auf Port 443 hostet – nur 8 Tage, nachdem das erste, zuvor beschriebene WellMess C2 bereitgestellt wurde. Es wurde beim selben Anbieter innerhalb desselben /16-Netzblocks gehostet und war seit dem 7. Juni 2021 weiterhin aktiv. Basierend auf den verfügbaren Daten gab es während dieses Zeitfensters keine Hostnamen, die auf diese IP aufgelöst wurden. Wie der andere WellMess C2 wurde auch dieser Server im November 2020 aktualisiert, um OpenSSH v7.6p1 auszuführen, aber das mit WellMess verknüpfte TLS-Zertifikat blieb ebenfalls installiert. 

Recorded Future identifizierte Netzwerkverkehr, der darauf hindeutete, dass zwischen dem 4. und 8. Mai 2021 mindestens 22 Organisationen, darunter mehrere Fortune 500-Unternehmen, in anhaltenden Sitzungen mit dem C2 kommunizierten. Bei 5 dieser Organisationen wurde zuvor festgestellt, dass sie mit demselben Cobalt Strike C2 (c2.websecurenetworks[.]xyz | 176.123.2[.]216) kommunizierten, der beim Colonial Pipeline-Angriff verwendet wurde:

• Eine südafrikanische Unternehmensberatung
• Eine kolumbianische Versicherungsgesellschaft
• Universitäten in Brasilien und Irland
• Ein internationales Videospiel-Entwicklungsunternehmen

Darüber hinaus kommunizierten sechs Organisationen auch mit dem mutmaßlichen TAG-21 WellMess C2, das im vorherigen Abschnitt dieses Berichts behandelt wurde, 111.90.150[.]176:

• Ein australischer Gesundheitsbezirk
• Eine südafrikanische Unternehmensberatung
• Ein Organ der Schweizerischen Staatsregierung
• Universitäten in Brasilien und Irland
• Ein internationales Videospiel-Entwicklungsunternehmen

Vermuteter Splitter C2 111.90.147[.]236:80

Wie bei den zuvor erwähnten mutmaßlichen WellMess-C2s gab es ein klares Muster in der Überschneidung der Viktimologie im Zusammenhang mit dem auf 111.90.147 gehosteten Sliver-C2[.]236 und das Cobalt Strike C2, das beim Colonial-Pipeline-Vorfall verwendet wurde (176.123.2[.]216). Der gemeinsame Hosting-Anbieter und Netblock sowie die Überschneidungen in der Viktimologie zwischen allen drei identifizierten WellMess- und Sliver-C2s sind ein starker Hinweis darauf, dass wahrscheinlich eine gemeinsame Aktivitätsgruppe für diese Aktivität verantwortlich ist.

Der vermutete Splitter C2 111.90.147[.]236, wurde anhand einer einzigartigen Kombination aus HTTP-Headerfeldern erkannt und wurde außerdem im selben /16-Netblock von „Shinjiru Technology Sdn Bhd“ gehostet wie die zuvor dokumentierten WellMess C2s. Der Sliver C2 wurde jedoch erstmals am 26. Oktober 2020 entdeckt – 6 Monate nach der ersten Bereitstellung der beiden WellMess C2s – und ist seit dem 11. Juni 2021 immer noch aktiv. In seiner am 7. Mai veröffentlichten Warnung hob das britische NCSC hervor, dass die Cyber-Akteure des SVR auf die vorherige Veröffentlichung, in der darauf hingewiesen wurde, dass APT29 die Entwicklung eines Impfstoffs gegen COVID-19 ins Visier genommen hatte, reagiert hätten, indem sie ihre TTPs geändert und Tools wie Sliver eingesetzt hätten.

Insgesamt 21 verschiedene Organisationen, weltweit verteilt über mehrere Branchen, darunter Fortune 500-Unternehmen, wurden zwischen dem 4. und 8. Mai 2021 bei der Kommunikation mit Sliver C2 beobachtet.

Mögliche Ausnutzung von Citrix-Geräten

Obwohl wir den ursprünglichen Infektionsvektor für die mutmaßlichen Eindringlinge nicht bestätigen können, gehen wir angesichts der hohen Konzentration von Citrix-Geräten in der Liste der Zielorganisationen davon aus, dass TAG-21 gut dokumentierte Citrix-Exploits verwendet hat. Recorded Future stellte fest, dass die überwiegende Mehrheit der von TAG-21 mithilfe von WellMess, Sliver und Cobalt Strike angegriffenen Organisationen exponierte Citrix-Geräte und -Software wie Citrix Gateway, Citrix NetScaler (jetzt bekannt als Citrix Application Delivery Controller (ADC)) und Citrix Receiver verwendete. Abbildung 1 unten zeigt ein Citrix Gateway-Anmeldeportal, das auf einer identifizierten IP gehostet wird, die mit dem verdächtigen WellMess C2 11.90.150[.]176 kommuniziert.

_Abbildung 1: _Citrix Gateway-Anmeldung für eine der Zielentitäten. Es wurde festgestellt, dass die IP, auf der dieser Hostname gehostet wird, am 8. Mai 2021 mit dem verdächtigen WellMess C2 111.90.150[.]176:443 kommunizierte. (Quelle: URLScan Pro)

Im Juli 2020 berichtete das NCSC über SVR-bezogene Angriffe auf die COVID-19-Impfstoffforschung unter Verwendung von WellMess und WellMail. Darin hieß es, dass SVR erfolgreich Citrix-Geräte ausnutzte, die anfällig für CVE-2019-19781 sind, und dass „[SVR] … wahrscheinlich versuchen wird, eine Vielzahl neuer Exploits voll auszunutzen, wenn diese bekannt werden“. Das Risiko, dass diese und andere Schwachstellen weiterhin von SVR ausgenutzt werden, wurde in einem gemeinsamen Cybersecurity-Hinweis von NSA, CISA und FBI vom 15. April 2021 noch einmal betont.

Darüber hinaus wurde in CVE-2020-8300, das am 8. Juni 2021 veröffentlicht wurde und Citrix ADC und Citrix Gateway betrifft, deutlich, dass Angreifer Zugriff auf eine gültige Benutzersitzung erhalten könnten, indem sie durch die Ausführung eines Phishing-Angriffs die SAML-Authentifizierung kapern.

Überlegungen zur Zuordnung

Auf Grundlage der in dieser Untersuchung vorgelegten Beweise gibt es drei Szenarien, die die festgestellten Überschneidungen zwischen Viktimologie und C2-Infrastruktur erklären könnten. In der Reihenfolge abnehmender Wahrscheinlichkeit:

1. Zwei getrennte Gruppen. Das RaaS-Tochterunternehmen TAG-21 und eine weitere, unabhängige Gruppe kompromittierten einige derselben Organisationen, indem sie mithilfe öffentlich verfügbarer Exploits gezielt anfällige Citrix-Geräte angriffen. 

Zwischen dem 27. April und dem 8. Mai 2021 nahmen mit SVR verbundene Betreiber mit Zugriff auf die mutmaßliche WellMess- und Sliver-Infrastruktur fünf Organisationen ins Visier, die auch im Visier von TAG-21 waren und die Ransomware Cobalt Strike und DarkSide verwendeten. Für den Angriff auf Colonial Pipeline wurde derselbe Cobalt Strike-Server verwendet. Die mit SVR verbundene Gruppe zielte wahrscheinlich auf weitere Organisationen ab, indem sie die identifizierte, mit WellMess und Sliver verbundene Infrastruktur nutzte. Darüber hinaus ist bekannt, dass mit SVR verbundene Akteure umfassende Scans anfälliger Geräte durchgeführt und kürzlich CVE-2019-19781 ausgenutzt haben. Dies ist ebenfalls eine gängige Technik, die von Ransomware-Partnern verwendet wird, um ausnutzbare Ziele zu identifizieren, was die Dual-Group-Hypothese unterstützt.

1. Eine Gruppe. Die identifizierte, mit WellMess verknüpfte Infrastruktur ist wahrscheinlich nicht mehr ausschließlich SVR-Nexus-Gruppen vorbehalten und steht ausgewählten RaaS-Partnern, einschließlich TAG-21, zur Verfügung. 

TAG-21 zielte bei Einbruchsoperationen zwischen dem 27. April und 8. Mai 2021 auf über 35 Organisationen ab, darunter Colonial Pipeline. Die Gruppe nutzte wahrscheinlich gut bekannte Schwachstellen bei Citrix aus und hatte Zugriff auf die C2-Infrastruktur, die mit WellMess, Sliver und Cobalt Strike verknüpft war. TAG-21 mietete außerdem die DarkSide-Ransomware, um Dateien in ausgewählten Zielnetzwerken zu verschlüsseln. Wir können nicht bestätigen, ob TAG-21 Zugriff auf die Server gewährt, beschlagnahmt oder verkauft wurde, die dem Profil der erwarteten WellMess C2s entsprachen, aber es ist klar, dass die C2s im November 2020 aktualisiert wurden, um OpenSSH auszuführen, mehrere Monate nachdem sie erstmals bereitgestellt und laut NCSC für die gezielte Entwicklung eines COVID-19-Impfstoffs verwendet wurden.

1. **Eine Gruppe. **Ähnlich wie Hypothese (2), aber TAG-21 ist eine mit SVR verbundene Gruppe, die Zugriff auf historische WellMess C2s behält und im RaaS-Ökosystem engagiert ist. Wir gehen davon aus, dass dies das unwahrscheinlichste Szenario ist.

In der am 16. Juli 2020 veröffentlichten gemeinsamen Warnung von NCSC, CSE, NSA und CISA wurde detailliert beschrieben, wie APT29 zahlreiche hochkarätige Schwachstellen in VPN- und E-Mail-Geräten ausnutzte, darunter Citrix-Geräte, die anfällig für CVE-2019-19781 sind, und wie die Gruppe WellMess und WellMail verwendete, um sich in Organisationen, die an der Entwicklung eines Impfstoffs gegen COVID-19 beteiligt sind, Persistenz zu verschaffen. Dies war das erste Mal, dass WellMess öffentlich als solches bezeichnet wurde, obwohl bereits zwei Jahre zuvor erstmals darüber berichtet wurde, und zwar im Rahmen einer von JPCERT und LAC begleiteten Kampagne im Jahr 2018.

Seitdem tendiert die öffentliche Berichterstattung über die Verwendung von WellMess dazu, APT29 immer wieder derselben Ursache zuzuschreiben. Im April 2021 haben sowohl das NCSC als auch die NSA die SolarWinds-Angriffe und die damit verbundenen Einbrüche öffentlich dem SVR zugeschrieben . Kurz darauf, am 7. Mai, veröffentlichte das NCSC gemeinsam mit dem FBI und dem CISA eine Folgewarnung, in der auf weitere TTPs hingewiesen wurde, die von SVR-Betreibern in Cyberoperationen eingesetzt werden. Dazu gehörte auch eine zentrale Aussage:

NCSC, NSA, CISA und CSE haben zuvor einen gemeinsamen Bericht veröffentlicht, in dem es um die Angriffe der Gruppe auf Organisationen ging, die im Jahr 2020 an der Entwicklung eines Impfstoffs gegen COVID-19 beteiligt waren. Dabei verwendeten sie die Schadsoftware WellMess und WellMail. Die Cyber-Betreiber von SVR haben offenbar auf diesen Bericht mit einer Änderung ihrer TTPs reagiert, um weitere Erkennungs- und Abhilfebemühungen durch Netzwerkverteidiger zu vermeiden. Zu diesen Änderungen gehörte die Bereitstellung des Open-Source-Tools Sliver , um ihre Zugriffe aufrechtzuerhalten.

Die beiden in diesem Bericht aufgeführten mutmaßlichen WellMess C2s wurden im Abstand von einer Woche im April 2020 bereitgestellt, vor der Veröffentlichung der COVID-19-Warnung. Dieselben C2s scheinen am 11. Juni 2021 immer noch aktiv zu sein, doch ihre jüngste Aktivität geht, wie hervorgehoben wurde, weit über die typischen Geheimdienstanforderungen des SVR hinaus, die sich vorwiegend auf die globale Ausrichtung von Angriffen auf Regierungen, Diplomatie, Think Tanks, das Gesundheitswesen und die Energiebranche beziehen. Bemerkenswert ist auch die Bereitstellung des mutmaßlichen Sliver C2 ab Oktober 2020, da sie mit der gemeldeten Umstellung der SVR-TTPs auf die Verwendung von Sliver übereinstimmt. Es handelt sich jedoch um ein kostenlos verfügbares Open-Source-OST und wird mit ziemlicher Sicherheit auch von anderen Aktivitätsgruppen, einschließlich RaaS-Partnern, verwendet.

Die Verteilung der angegriffenen Organisationen auf mehrere Branchen und Regionen deutet eher auf ein mögliches finanzielles Motiv als auf eine rein spionagegetriebene Operation hin, insbesondere angesichts der Überschneidung von Cobalt Strike C2 mit dem Ransomware-Angriff Colonial Pipeline.

Obwohl die Verbindung zwischen TAG-21 und Gruppen wie DarkSide und APT29 zum Zeitpunkt des Schreibens dieses Artikels noch unklar ist, verfügt TAG-21 nachweislich über operative Cyberfähigkeiten, um mit seinen Angriffen auf Colonial Pipeline und seinen Verbindungen zu Angriffen auf mehr als 35 weitere Entitäten weitreichende Störungen zu verursachen. Wir haben seit dem 8. Mai 2021 keine Aktivität der in dieser Untersuchung erfassten Zielorganisationen gegenüber den vier C2s festgestellt und vermuten, dass TAG-21 oder eine andere sich damit überschneidende Gruppe auf alternative Werkzeuge umgestiegen ist oder sich nach der umfassenden Medienberichterstattung über DarkSide und ihre Aktivitäten aufgelöst hat. Die möglichen Auswirkungen der Nutzung der mit WellMess, Sliver und Cobalt Strike verbundenen Infrastruktur durch TAG-21 zeigen jedoch, dass das Unternehmen über Fähigkeiten verfügt, die sich bei künftigen Operationen als wirksam erweisen könnten.

Anhang A — Indikatoren

c2.websecurenetworks[.]xyz|176.123.2[.]216 – Cobalt Strike C2 mit Google Malleable-Profil eingerichtet68e7bd3cf41bbc3df1159a3481e911d2d4fd588dfdbedcfe5a96dee3777eb920 – Cobalt Strike-Beispiel, das 176.123.2 aufruft[.]216 8dafde4809fae1db6c2de051de9a005c43c4b0218af4e3c1f30fa6a0f65316fc – Cobalt Strike-Beispiel, das 176.123.2 aufruft[.]216 111.90.150[.]176 – Vermutetes WellMess C2 111.90.146[.]143 – Vermutetes WellMess C2 111.90.147[.]236 – Vermutlich Sliver C2