Russland-Nexus UAC-0113 Emulation von Telekommunikationsanbietern in der Ukraine
Anmerkung des Herausgebers: Der folgende Beitrag ist ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.
Dieser Bericht stellt die einzigartige Infrastruktur dar, die von der Bedrohungsaktivitätsgruppe UAC-0113 verwendet wird und die von CERT-UA mit mäßiger Sicherheit mit Sandworm in Verbindung gebracht wird. Die Aktivität wurde durch eine Kombination aus groß angelegter automatisierter Netzwerkverkehrsanalyse und Analyse aus Open-Source-Berichten identifiziert. Der Bericht dürfte vor allem für Personen von Interesse sein, die sich mit strategischen und operativen Geheimdienstinformationen zu den Aktivitäten der russischen Regierung im Cyberspace und zu Netzwerkverteidigern befassen.
Executive Summary
Recorded Future überwacht weiterhin Cyber-Spionage-Operationen, die sich gegen staatliche und private Organisationen in mehreren geografischen Regionen, darunter auch der Ukraine, richten. Ab August 2022 beobachtete Recorded Future einen stetigen Anstieg der Command-and-Control-Infrastruktur (C2), die von der Bedrohungsaktivitätsgruppe verwendet wird, die vom Computer Emergency Response Team der Ukraine (CERT-UA) als UAC-0113 verfolgt wird.
UAC-0113 wurde von CERT-UA mit der russischen Advanced Persistent Threat (APT)-Gruppe Sandworm in Verbindung gebracht. Dieser Bericht hebt Trends hervor, die von der Insikt Group bei der Überwachung der UAC-0113-Infrastruktur beobachtet wurden. Dazu gehört die wiederkehrende Verwendung dynamischer DNS-Domänen, die sich als in der Ukraine tätige Telekommunikationsanbieter ausgeben. Dies zeigt, dass die Bemühungen der Gruppe, Unternehmen in der Ukraine ins Visier zu nehmen, weiterhin andauern. Domänenmaskerade kann Spearphishing-Kampagnen oder Weiterleitungen ermöglichen, die eine Bedrohung für die Netzwerke der Opfer darstellen.
Durch eine Kombination aus proaktiver Erkennung gegnerischer Infrastrukturen und Domänenanalysetechniken stellte die Insikt Group fest, dass sich die Nutzung dieser neu entdeckten Infrastruktur durch UAC-0113 mit anderen Infrastrukturtaktiken, -techniken und -verfahren (TTPs) überschneidet, die der Gruppe zuvor von CERT-UA zugeschrieben wurden. Die in diesem Bericht bereitgestellten Informationen und TTPs ermöglichen es Verteidigern, besser nach Aktivitäten von UAC-0113 zu suchen und sich davor zu schützen.
Wichtige Urteile
- Die Insikt Group hat eine neue Infrastruktur identifiziert, die von UAC-0113 verwendet wird, einer Gruppe, die von CERT-UA mit mittlerer Sicherheit mit Sandworm in Verbindung gebracht wird. Sandworm ist eine russische Advanced Persistent Threat (APT)-Gruppe, die der Hauptnachrichtendienst/Hauptdirektion (GRU/GU) des Generalstabs der Streitkräfte der Russischen Föderation angehört.
- Die identifizierte Staging-Infrastruktur setzt den Trend fort, sich als in der Ukraine tätige Telekommunikationsanbieter auszugeben und bösartige Nutzdaten über eine HTML-Schmuggeltechnik zu liefern, die die Schadsoftware Colibri Loader und Warzone RAT einsetzt.
- Obwohl der Zweck des in Verbindung mit dieser Aktivität gefundenen Täuschungsdokuments nicht vollständig bekannt ist, ist es wahrscheinlich, dass es ähnlich wie frühere UAC-0113-Täuschungsdokumente gegen Ziele in der Ukraine eingesetzt wird, um militärische Aktionen in der Region zu unterstützen.
- Ein Übergang von DarkCrystal RAT zu Colibri Loader und Warzone RAT zeigt, dass UAC-0113 sich zwar ausweitet, aber weiterhin öffentlich verfügbare Standard-Malware verwendet.
Hintergrund
Am 24. Juni 2022 beschrieb ein Bericht von CERT-UA detailliert die Verwendung des Remote-Access-Trojaners (RAT) DarkCrystal durch UAC-0113, eine Gruppe, die laut CERT-UA mit Sandworm in Verbindung steht, einer mit dem russischen Hauptgeheimdienst/Hauptdirektorat (GRU/GU) verbundenen Bedrohungsgruppe. Der CERT-UA-Bericht gab an, dass UAC-0113 ein bösartiges Köderdokument verwendete, das DarkCrystal RAT einsetzte. Diese Aktivität zielte vermutlich auf Einrichtungen in der Ukraine ab, insbesondere auf Einzelpersonen oder Einrichtungen, die im Zusammenhang mit Rechtshilfefragen nach Informationen über ukrainisches Militärpersonal suchten. Obwohl sich dieses Lockdokument thematisch auf Rechtsfragen für Militärangehörige konzentrierte, stellte CERT-UA fest, dass der Angriff wahrscheinlich auch auf Telekommunikationsanbieter in der Ukraine abzielte.
DarkCrystal RAT ist eine gängige Schadsoftware, die mindestens bis ins Jahr 2018 zurückreicht. Ein Sample dieser Schadsoftware wurde im November desselben Jahres auf Hybrid Analysis veröffentlicht . Seit seiner Entdeckung wurde die Malware Berichten zufolge in Untergrundforen zum Verkauf angeboten, was sie wahrscheinlich zu einem interessanten Tool für ein breites Spektrum von Bedrohungsakteurgruppen macht, darunter auch solche, die auf der Suche nach einem Infostealer sind, der die Zuordnungsbemühungen von Behörden oder Sicherheitsexperten behindern kann. Bei der Analyse der mit UAC-0113 verbundenen Infrastruktur wurde eine neu identifizierte bösartige ISO-Datei (SHA256: 1c6643b479614340097a8071c9f880688af5a82db7b6e755beafe7301eea1abf) als Teil einer HTML-Schmuggeltechnik aufgedeckt. Die ISO-Datei enthielt ein auf Ukrainisch verfasstes Lockdokument, das sich als Aufforderung zur Gewährung von Treibstoffrabatten für die Bürger des Rajons (Bezirks) Oleksandrivka in Donezk ausgab. Darüber hinaus enthält die ISO-Datei eine ausführbare Datei, die sowohl Colibri Loader als auch Warzone RAT auf der Zielmaschine bereitstellt.
Colibri Loader, der erstmals im August 2021 von der Insikt Group gemeldet wurde, ist eine gängige Malware, die vom Benutzer „c0d3r_0f_shr0d13ng3r“ im XSS-Forum geleast wurde. Es ist in Assembler und C geschrieben und zielt ohne jegliche Abhängigkeiten auf Windows-Betriebssysteme ab. Am 11. März 2022 beschrieben die Forscher von Cloudsek Colibri Loader als „eine Art von Malware, die verwendet wird, um weitere Arten von Malware in das infizierte System zu laden“ und die über „mehrere Techniken verfügt, die helfen, eine Erkennung zu vermeiden“. Am 5. April 2022 berichteten die Forscher von Malwarebytes auch über die Vorgänge des Colibri Loader und erläuterten dessen Funktionsweise genauer, einschließlich seiner Fähigkeit, „Payloads auf infizierte Computer zu liefern und zu verwalten“.
Warzone RAT (auch bekannt als Ave Maria Stealer) ist ein beliebtes Remote-Access-Tool (RAT), das seit 2018 aktiv weiterentwickelt wird. Es wird in Untergrundforen und auf der Website des Entwicklers, warzone[.]ws, verkauft. Die Malware wird als voll funktionsfähiges, in C/C++ entwickeltes RAT beworben, das angeblich „einfach zu verwenden und äußerst zuverlässig“ sei.
Bedrohungs- und technische Analyse
Die Insikt Group nutzte Informationen von CERT-UA, um weitere mit UAC-0113 verbundene Infrastruktur zu entdecken. Die aufgedeckten Informationen legen nahe, dass es sehr wahrscheinlich ist, dass sich diese Bedrohungsgruppe weiterhin als Telekommunikationsanbieter ausgibt, die in der Ukraine tätig sind. Beim Überwachen der Infrastruktur entdeckte die Insikt Group eine schädliche ISO-Datei, die in den HTML-Code eingebettet war. Dies lässt darauf schließen, dass Domänen und zugehörige IP-Adressen wahrscheinlich bereits aktiviert wurden oder bald aktiviert werden.
Infrastruktur
Abbildung 1: Maltego-Diagramm, das die Verbindungen zwischen der zuvor gemeldeten Infrastruktur und der in diesem Bericht neu beschriebenen Infrastruktur und Aktivität veranschaulicht. Siehe Anhang B (Quelle: Recorded Future).
Eine im Juni- Bericht von CERT-UA zu UAC-0113 erwähnte Domäne, datagroup[.]ddns[.]net, gab sich wahrscheinlich als das ukrainische Telekommunikationsunternehmen Datagroup aus. Diese Domäne wurde in die IP-Adresse 31[.]7[.]58[.]82 aufgelöst. die auch eine weitere Domain hostete , kyiv-star[.]ddns[.]net, wahrscheinlich getarnt als das ukrainische Telekommunikationsunternehmen Kyivstar.
Die Analyse dieser Domänen und der zugehörigen gemeinsam genutzten IP-Adresse ergab ein ZeroSSL-TLS- Zertifikat , das auf Port 443 mit dem gemeinsamen Subjektnamen datagroup[.]ddns[.]net gehostet wird. Es wurde kein Zertifikat für kyiv-star[.]ddns[.]net gefunden. Das Server-Banner für die IP-Adresse 31[.]7[.]58[.]82 ist unten in Abbildung 2 detailliert dargestellt.
Figur 2: Server-Banner der IP-Adresse 31[.]7[.]58[.]82 (Quelle: Shodan.io)
ett[.]ddns[.]net
Insikt Group identifizierte eine weitere Domain, die wahrscheinlich mit UAC-0113 verknüpft ist, ett[.]ddns[.]net, gehostet zwischen dem 7. und 15. Juli 2022 unter der IP-Adresse 103[.]150[.]187[.]121. Bei der Domäne ett[.]ddns[.]net handelt es sich wahrscheinlich um eine Parodie der legitimen Domäne von EuroTransTelecom LLC, ett[.]ua, einem ukrainischen Telekommunikationsbetreiber. Diese neue Infrastruktur weist mehrere Überschneidungen mit der in den CERT-UA-Berichten erwähnten Infrastruktur auf, wie etwa die Verwendung des Dynamic DNS-Anbieters NO-IP mit einer Domäne, die sich als ein in der Ukraine tätiger Telekommunikationsanbieter ausgibt, die Verwendung eines TLS-Zertifikats von einem kostenlosen TLS-Zertifikatsanbieter und ein Server-Banner, das Ähnlichkeiten mit dem Banner aufweist, das unter der IP-Adresse 31[.]7[.]58[.]82 angezeigt wird. wie oben in Abbildung 2 dargestellt.
Figur 3: ett[.]ddns[.]net Zertifikatsregistrierungsereignis (Quelle: Recorded Future)
darkett[.]ddns[.]net
Zusätzlich zum ett[.]ddns[.]net Domäne, SecurityTrails- Bannerdaten identifizieren eine ähnlich benannte Domäne, darkett[.]ddns[.]net, gehostet auf der gleichen IP-Adresse, 103[.]150[.]187[.]121, als ett[.]ddns[.]net. Die Domäne darkett.ddns[.]net verwendet ebenfalls ein von ZeroSSL bereitgestelltes TLS- Zertifikat , ähnlich der zuvor beobachteten Domäne datagroup[.]ddns[.]net.
Figur 4: 16. Juli 2022, Server-Banner und HTML aus Scan der IP-Adresse 103[.]150[.]187[.]121 auf Port 4443 (Quelle: SecurityTrails)
Weitere Analyse der Domain darkett.ddns[.]net ergab, dass die Domain zwischen dem 15. und 16. Juli 2022 auch auf der IP-Adresse 94[.]153[.]171[.]42 gehostet wurde. Historischer DNS für IP-Adresse 94[.]153[.]171[.]42 listet auch eine Auflösung für die Domain kievstar[.]online auf am 12. Juli 2022.
Abbildung 5: darkett[.]ddns[.]net Zertifikatsregistrierungsereignis (Quelle: Recorded Future)
kievstar[.]online
Am 12. Juli 2022 wurde die Domain kievstar[.]online von der IP-Adresse 94[.]153[.]171[.]42 zu mehreren von Cloudflare gehosteten IP-Adressen (Content Delivery Network) verschoben. Weitere Analyse der Domain kievstar[.]online beschreibt ein Let’s Encrypt TLS- Zertifikat , das am 12. Juli 2022 erstellt wurde.
103[.]150[.]187[.]121, ett[.]hopto[.]org und star-link[.]ddns[.]net
Am 1. August 2022 identifizierte SecurityTrails weitere Updates der IP-Adresse 103[.]150[.]187[.]121, Auflistung eines neuen TLS-Zertifikats für die Domäne ett[.]hopto[.]org. Dieses TLS- Zertifikat wird ebenfalls von ZeroSSL bereitgestellt und wurde am 13. Juli 2022 erstellt. Am 13. Juli 2022 wurde die Domain ett[.]hopto[.]org aufgelöst in die IP-Adresse 217[.]77[.]221[.]199. Eine weitere Analyse dieser IP-Adresse zeigt auch die Auflösung der Domäne star-link[.]ddns[.]net am 15. August 2022. Auch hier handelt es sich wahrscheinlich um eine Täuschung des Telekommunikationsunternehmens Starlink (betrieben vom amerikanischen Hersteller SpaceX), das Berichten zufolge die Ukraine im Konflikt mit Russland unterstützt .
Abbildung 6: JSON-Auszüge vom 1. August 2022, Scan der IP-Adresse 103[.]150[.]187[.]121 auf Port 443 (Quelle: SecurityTrails)
Abbildung 7: star-link[.]ddns[.]net's Intelligenzkarte (Quelle: Recorded Future)
star-cz[.]ddns[.]net
Analyse der Domäne star-cz.ddns[.]net, gemeldet von CERT-UA am 10. Juni 2022, zeigt eine Auflösung zur IP-Adresse 103[.]27[.]202[.]127. Eine weitere Domain, kyivstar[.]online, wurde ebenfalls in dieselbe IP-Adresse aufgelöst und die Verwendung dieser Domäne dient weiterhin dem Zweck, Telekommunikationsanbieter in der Ukraine zu emulieren. Die oben genannte Nutzung der ähnlichen Domain kievstar[.]online ist bemerkenswert, da diese Schreibweise in der Ukraine normalerweise nicht verwendet wird, aber schon früher von der internationalen Gemeinschaft und historisch auch während der Sowjetzeit verwendet wurde und nun auch in die russische Umgangssprache übernommen wurde.
Zeitleiste für die Auflösung von Domänen zu IP-Adressen
Abbildung 8: Eine Zeitleiste der UAC-0113-Domänenaktivität zwischen Mai und August 2022 (Quelle: Recorded Future)
HTML-Analyse
Die Domänen ett[.]ddns[.]net, star-link[.]ddns[.]net, kievstar[.]online, und IP-Adressen 103[.]150[.]187[.]121 und 217[.]77[.]221[.]199 haben alle zu verschiedenen Zeiten dieselbe Webseite gehostet. Die Webseite enthält den ukrainischsprachigen Text „ОДЕСЬКА ОБЛАСНА ВІЙСЬКОВА АДМІНІСТРАЦІЯ“, der übersetzt „Regionale Militärverwaltung Odessa“ bedeutet, sowie „Datei wird automatisch heruntergeladen“ auf Englisch, wie in Abbildung 9 unten dargestellt.
Abbildung 9: Screenshot von 103[.]150[.]187[.]121 (Quelle: URLScan)
Das HTML der Webseite enthält eine Base64-codierte ISO-Datei, die über die HTML-Schmuggeltechnik bereitgestellt wird. Diese ISO-Datei wird beim Besuch der Website automatisch heruntergeladen. Abbildung 10 unten zeigt den HTML-Inhalt der Datei.
Abbildung 10: Der HTML-Inhalt für die IP-Adresse 103[.]150[.]187[.]121 (ohne Base64-codierte Daten), 8. August 2022 (Quelle: URLScan)
Die Insikt Group untersuchte das HTML der Webseite und identifizierte eingebettetes JavaScript, das das bösartige ISO-Bereitstellungsverhalten der Seite unterstützt. Das Testen der Funktionalität der For- Schleife in den Zeilen 26 bis 28 ändert nichts an den Base64-codierten Daten in der Variablen „ binary“. Die For- Schleife versucht, den ganzzahligen Wert 11 aus den Zeichen zu entfernen, aus denen die Base64-Zeichenfolge besteht. Beim Versuch, eine Ganzzahl von einem Zeichen zu subtrahieren, erzeugt JavaScript einen Fehler, was dazu führt, dass der Wert nicht aktualisiert wird. Der Base64-Inhalt der Variable „ binary“ ist nach dem Durchlaufen der For- Schleife exakt derselbe, was diese überflüssig macht, und die Base64-Daten werden weiterhin korrekt in eine ISO-Datei dekodiert.
Der Zweck der Einbeziehung dieser Routine durch UAC-0113 könnte auf einen Bedienfehler zurückzuführen sein, da ihre Funktionalität keinen Zweck erfüllt, weil Zeichenfolgen in JavaScript unveränderliche Objekte sind.
Bemerkenswert ist ein Bericht von Unit42 aus Palo Alto, der eine ähnliche HTML-Schmuggelroutine beschreibt, die von APT29 in einer separaten Kampagne zum Herunterladen einer ISO-Datei verwendet wurde (siehe unten in Abbildung 11). APT29 verwendete diese Routine ursprünglich für ein binäres Array, was möglicherweise hilft, den ursprünglichen Zweck der redundanten For-Schleife von UAC-0113 zu beleuchten. Der HTML- und JavaScript-Code von APT29 weist ähnliche Überschneidungen mit dem in Abbildung 10 oben gezeigten, mit UAC-0113 verknüpften Beispiel auf.
Anmerkung des Herausgebers: Dieser Beitrag ist ein Auszug aus einem vollständigen Bericht. Um die gesamte Analyse zu lesen, klicken Sie hier, um den Bericht als PDF herunterzuladen.
Verwandt