Hacking Malware

Sednit update: วิเคราะห์ Zebrocy

Zebrocy เครื่องมือชิ้นสำคัญของ Sednit และกระบวนการทำงาน

Zebrocy มัลแวร์ที่กลุ่มแฮกเกอร์ Sednit ใช้มานานกว่า 2 ปี

กลุ่มแฮกเกอร์ Sednit — หรือในชื่ออื่นๆอย่าง APT28, Fancy Bear, Sofacy หรือ STRONTIUM เชื่อว่าก่อตั้งขึ้นมาในปี 2004 หรือก่อนหน้า โดยมีเป้าหมายเป็นข้อมูลสำคัญขององค์กรต่างๆ

ในช่วงท้ายปี 2015 เราพบส่วนประกอบใหม่ที่ Sednit นำมาใช้ ตัวดาวน์โหลดของ Sednit backdoor, Xagent ทาง Kaspersky เขียนเกี่ยวกับส่วนประกอบนี้ในรายงาน APT Trend report ปี 2017 และเขียนบทความที่อธิบายเกี่ยวกับ Zebrocy

ส่วนประกอบใหม่นี้เป็นมัลแวร์ที่ประกอบไปด้วย Downloads และ Backdoors เขียนด้วย Delphi และ Autolt ซึ่งทำหน้าที่เดียวกันกับ Seduploader ใน Sednit Ecosystem — ด่านแรกของมัลแวร์

ผู้ใช้ที่พบกับ Zebrocy อยู่ในพื้นที่ Azerbaijan, Bosnia and Herzegovina, Egypt, Georgia, Iran, Kazakhstan, Korea, Kyrgyzstan, Russia, Saudi Arabia, Serbia, Switzerland, Tajikistan, Turkey, Turkmenistan, Ukraine, Uruguay และ Zimbabwe โดยรวมสถานทูต กระทรวงต่างประเทศ และผู้ที่เกี่ยวข้อง

ในสายพันธุ์ของ Zebrocy มี 3 ส่วนประกอบหลัก Delphi downloads และ Autolt downloader และ Delphi backdoor ในภาพด้านล่างจะแสดงถึงความสัมพันธ์ของแต่ละส่วนประกอบ

eset-infographic-blog_zebrocy-1024x988

กระบวนการโจมตีของ Sednit เริ่มต้นด้วยอีเมลกับไฟล์แนบอันตรายกับ DealerChoice ในการวิเคราะห์ของ Palo Alto Networks บอกว่าทั้ง Seduploader และ Zebrocy มากับไฟล์แนบจากอีเมล และหลังจากผ่านขั้นตอนการลาดตระเวนตรวจสอบก็จะเป็นการติดตั้ง Xagent และ Xtunnel

วิธีโจมตี

ส่วนประกอบแรกของ Zebrocy นั้นมาในรูปแบบของอีเมลที่เขียนออกมาให้ผู้ใช้เปิดไฟล์แนบเอกสาร Microsoft Office หรือไฟล์ที่ถูกบีบอัดเป็น .ZIP .RAR และอื่นๆ

เอกสารอันตราย

เอกสารอันตรายของ Sednit จะดาวน์โหลด payload ผ่าน Visual Basic for Applications (VBA) หรือ Dynamic Data Exchange (DDE) ในช่วงท้ายปี 2017 กลุ่ม Sednit มีแผนการกระจายเอกสารอันตราย 2 แผนการ คือ Syria — New Russia provocations.doc และ Note Letter Mary Christmas Card.doc

Figure2-1

ทั้ง 2 ไฟล์มี macro ของ VBA ที่สร้างไฟล์ชื่อมั่วๆใน %TEMP% และมัลแวร์จะถูกถอดรหัสแล้วเขียนทับไฟล์นี้ ที่ทำงานผ่าน PowerShell command หรือผ่าน Scriptable Shell Objects

ในช่วง 2 ปีที่ผ่านมา เราพบว่าทาง Sednit นิยมใช้ Zebrocy และสายพันธุ์ใหม่ๆในปี 2017 ยังคงใช้งาน Zebrocy และมีการพัฒนาอยู่เรื่อยๆ เป็นหลักฐานยืนยันได้ว่า Zebrocy เป็นหนึ่งในเครื่องมือชิ้นดีชิ้นหนึ่งของ Sednit

URLs

http://142%5B.%5D0.68.2/test-update-16-8852418/temp727612430/checkUpdate89732468.php

http://142%5B.%5D0.68.2/test-update-17-8752417/temp827612480/checkUpdate79832467.php

http://185%5B.%5D25.50.93/syshelp/kd8812u/protocol.php

http://185%5B.%5D25.50.93/tech99-04/litelib1/setwsdv4.php

http://185%5B.%5D25.50.93/techicalBS391-two/supptech18i/suppid.php

http://185%5B.%5D25.51.114/get-help-software/get-app-c/error-code-lookup.php

http://185%5B.%5D25.51.164/srv_upd_dest_two/destBB/en.php

http://185%5B.%5D25.51.198/get-data/searchId/get.php

http://185%5B.%5D25.51.198/stream-upd-service-two/definition/event.php

http://185%5B.%5D77.129.152/wWpYdSMRulkdp/arpz/MsKZrpUfe.php

http://188%5B.%5D241.68.121/update/dB-Release/NewBaseCheck.php

http://194%5B.%5D187.249.126/database-update-centre/check-system-version/id=18862.php

http://194%5B.%5D187.249.126/security-services-DMHA-group/info-update-version/id77820082.php

http://213%5B.%5D103.67.193/ghflYvz/vmwWIdx/realui.php

http://213%5B.%5D252.244.219/client-update-info/version-id/version333.php

http://213%5B.%5D252.244.219/cumulative-security-update/Summary/details.php

http://213%5B.%5D252.245.132/search-release/Search-Version/crmclients.php

http://213%5B.%5D252.245.132/setting-the-os-release/Support-OS-release/ApiMap.php

http://220%5B.%5D158.216.127/search-sys-update-release/base-sync/db7749sc.php

http://222%5B.%5D15.23.121/gft_piyes/ndhfkuryhs09/fdfd_iunb_hhert_ps.php

http://46%5B.%5D102.152.127/messageID/get-data/SecurityID.php

http://46%5B.%5D183.223.227/services-check-update/security-certificate-11-554/CheckNow864.php

http://80%5B.%5D255.6.5/daily-update-certifaicates52735462534234/update-15.dat

http://80%5B.%5D255.6.5/LoG-statistic8397420934809/date-update9048353094c/StaticIpUpdateLog23741033.php

http://86%5B.%5D105.18.106/apps.update/DetailsID/clientPID-118253.php

http://86%5B.%5D105.18.106/data-extract/timermodule/update-client.php

http://86%5B.%5D105.18.106/debug-info/pluginId/CLISD1934.php

http://86%5B.%5D105.18.106/ram-data/managerId/REM1234.php

http://86%5B.%5D105.18.106/versionID/Plugin0899/debug-release01119/debug-19.app

http://86%5B.%5D105.18.111/UpdateCertificate33-33725cnm^BB/CheckerNow-saMbA-99-36^11/CheckerSerface^8830-11.php

http://86%5B.%5D106.131.177/srvSettings/conf4421i/support.php

http://86%5B.%5D106.131.177/SupportA91i/syshelpA774i/viewsupp.php

http://89%5B.%5D249.65.166/clientid-and-uniqued-r2/the-differenceU/Events76.php

http://89%5B.%5D249.65.166/int-release/check-user/userid.php

http://89%5B.%5D249.65.234/guard-service/Servers-ip4/upd-release/mdb4

http://89%5B.%5D40.181.126/verification-online/service.911-19/check-verification-88291.php

http://89%5B.%5D45.67.153/grenadLibS44-two/fIndToClose12t3/sol41.php

http://89%5B.%5D45.67.153/supportfsys/t863321i/func112SerErr.php

http://93%5B.%5D113.131.117/KB7735-9927/security-serv/opt.php

http://93%5B.%5D113.131.155/Verifica-El-Lanzamiento/Ayuda-Del-Sistema/obtenerId.php

http://93%5B.%5D115.38.132/wWpYdSMRulkdp/arpz/MsKZrpUfe.php

http://rammatica%5B.%5Dcom/QqrAzMjp/CmKjzk/EspTkzmH.php

http://rammatica%5B.%5Dcom/QqrAzMjp/CmKjzk/OspRkzmG.php

Author: ESET Research
Source: https://www.welivesecurity.com/2018/04/24/sednit-update-analysis-zebrocy/
Translated by: Worapon H.

%d bloggers like this: