Операция Potao: анализ вредоносного ПО для кибершпионажа, часть 130.07.2015 17:03

Аналитики нашей антивирусной лаборатории провели расследование серии кибератак и вредоносных кампаний с использованием вредоносного ПО Win32/Potao. Несмотря на то, что антивирусные продукты нашей компании, а также некоторые другие антивирусные вендоры, уже обнаруживали это вредоносное ПО, оно оставалось вне публичного поля. Первые образцы Win32/Potao датируются 2011 г.

11607936ad224a5aa83d4ecfbd35da78.jpeg

Кибератаки с использованием Potao относятся к типу направленных атак, некоторые примеры которых мы уже рассматривали ранее. Речь идет о вредоносном ПО BlackEnergy (a.k.a. Sandworm, Quedagh), которое преобладает на Украине, в России, а также в некоторых странах СНГ, включая, Грузию и Беларусь.

Жертвами Potao стали компьютерные сети военных и правительства Украины, а также одно из ведущих украинских новостных агентств. Кроме этого, вредоносная программа использовалась злоумышленниками для шпионажа за участниками финансовой пирамиды МММ, которая является популярной и в России, и на Украине. Одна из наиболее интересных особенностей этой вредоносной кампании заключается в том, что злоумышленники компрометировали известное open-source легитимное ПО для шифрования TrueCrypt, а затем использовали его для распространения вредоносного ПО.

Российский веб-сайт этого инструмента шифрования с адресом truecryptrussia.ru распространял приложение TrueCrypt, которое содержало бэкдор. Интересная особенность заключается в том, что вредоносные экземпляры этого приложения доставлялись только некоторым пользователям, что является индикатором направленности этой вредоносной кампании. Эта особенность также объясняет тот факт, что бэкдор долгое время оставался незаметным для пользователей и посетителей указанного веб-сайта. Этот вышеуказанный домен использовался операторами в качестве управляющего C&C-сервера для вредоносной программы. В некоторых случаях Win32/Potao загружается на компьютер другой вредоносной программой, которая обнаруживается нашими продуктами как Win32/FakeTC.

Наш отчет содержит детальную информацию о большом количестве атак с использованием Win32/Potao, которые злоумышленники организовывали на протяжении последних 5 лет. Аналогично вредоносному ПО BlackEnergy, которое использовалось кибергруппой Sandworm, Potao представляет из себя универсальный модульный инструмент для кибершпионажа. Кибератаки, в которых использовался Potao, относятся к типу Advanced Persistent Threat (APT) и являются направленными (targeted). Мы наблюдали лишь единичные случаи использования Potao в массовых вредоносных кампаниях.

Общая информация

Как мы уже упоминали ранее, вредоносное ПО Potao не является новым, оно было обнаружено еще в 2011 г. Одной из возможных причин, по которой это вредоносное ПО еще не было публично освещено, является его активность. В период с 2011 по 2013 гг. количество обнаружений этой вредоносной программы было низким. Значительный рост распространенности Potao, по данным ESET LiveGrid, наблюдался в 2014 и 2015 гг. (Рис 1.)

be5993134934486e8eac12d2dd7c91b6.png
Рис. 1. Статистика распространения Win32/Potao в разные промежутки времени по данным ESET LiveGrid.

На диаграмме выше видно, что мы не привели статистику для Win32/Potao за 2011 г. Это было сделано по той причине, что в этот период времени Potao распространялся злоумышленниками в рамках массовых кампаний, т. е. в это время вредоносная программа не использовалась в направленных атаках против пользователей. Отладочные версии Potao, обнаруженные в 2013 г., также были исключены из данных диаграммы.

Использование Potao в массовых кампаниях против пользователей делает его похожим на такое вредоносное ПО как BlackEnergy или, даже, Stuxnet. Эти известные вредоносные программы применялись злоумышленниками для направленных кибератак, но в конечном счете получили широкое распространение, заражая и тех пользователей, для которых они не были рассчитаны изначально. В процессе расследования вредоносных кампаний с участием Potao мы обнаружили, что злоумышленники использовали отладочные версии этого вредоносного ПО для его тестирования перед эксплуатацией в направленных атаках.

Основной причиной роста количества обнаружений Potao в 2014 и 2015 гг. был добавленный злоумышленниками механизм заражения съемных USB-носителей.

1141cecd74ca4cd08beb028f1aa6a368.png
Рис. 2. Хронология вредоносных кампаний с использованием Potao.

Для составления вышеуказанной хронологии использовались данные нашей облачной системы ESET LiveGrid, а также временные метки исполняемых PE-файлов вредоносной программы.

Первая киберкампания с использованием Potao была зафиксирована в августе 2011 г. Это не была направленная атака, так как она носила массовый характер. Исполняемые файлы вредоносной программы, которые использовались в этой кампании, содержали зашифрованную строку GlobalPotao.

Механизм распространения Potao в этой вредоносной кампании был довольно тривиальным, но довольно эффективным. Дропперы вредоносной программы распространялись в качестве вложений фишинговых сообщений электронной почты, при этом в качестве значка исполняемого файла использовался значок документов MS Word. Подобная маскировка помогает усыпить внимание пользователей, которые получают такие фишинговые сообщения. Нужно отметить, что злоумышленники не использовали какие-либо эксплойты для автоматической установки вредоносной программы. Кроме полезной нагрузки, дропперы содержали фальшивый документ Word, который отображался пользователю для маскировки процесса установки вредоносной программы в систему.

79f16343b79c479ba1d384404e9553c5.png
Рис. 3. Фальшивый decoy-документ (приманка), который дроппер Potao показывает пользователю для маскировки процесса своей установки в систему.

Другие дропперы Potao, которые использовались во вредоносных кампаниях в 2011 г., содержали документы на армянском языке. Интересно отметить, что в качестве одного из decoy-документов использовался легитимный документ, принадлежащий министерству труда и социальных дел Армении (Armenian Ministry of Labor and Social Affairs).

8e082a13c5fb4d30aff244016b57a699.png
Рис. 4. Легитимный decoy-документ на армянском языке, который использовался в дропперах Potao в 2011 г.

Другая вредоносная киберкампания была направлена злоумышленниками на участников финансовой пирамиды «МММ». Исполняемые файлы Potao, которые использовались в кампании против участников МММ, имели временные метки компиляции 27 апреля 2012 г. и идентификатор (ID) кампании 00km. Фальшивый decoy-документ использует тему вступления в пирамиду.

3e040bdff9cb4569ab8f459e47deab1c.png
Рис. 5. Decoy-документ дроппера, который был использован во вредоносных кампаниях против участников МММ.

В этой вредоносной кампании также были обнаружены дропперы Potao с decoy-документами, которые содержали случайные последовательности кириллических символов. Как мы обнаружили позднее, использование документов с произвольными наборами символов, является своего рода визитной карточкой этой кибергруппы.

cd86b9c202504050beda25ec6df1b329.png
Рис. 6. Decoy-документ, который использовался во вредоносных кампаниях против участников МММ.

Файл, который указан выше, был назван злоумышленниками «Отчет о выплате Ковалевой Александре.exe». Кроме этого, идентификатор вредоносной кампании (campaign ID) mmmL подтверждает использование вредоносного ПО злоумышленниками против пользователей МММ.

Основатель пирамиды МММ Сергей Мавроди, 19-го июня 2012 г. опубликовал на сайте пирамиды предупреждение о том, что злоумышленники рассылают от его имени фишинговые сообщения, которые содержат ссылку на вредоносное ПО, размещенное на Dropbox.

18c71c9bc4744bb29388e9f9d00e83f5.png
Рис. 7. Сообщение с предупреждением о вредоносной рассылке от основателя МММ Сергея Мавроди.

ebb936e72f344caeb530e866a057c6d2.png
Рис. 8. Архив с вредоносной программой, размещенный на сервисе Dropbox.

Злоумышленники использовали следующие названия файлов, которые указаны выше: «Анкета и правила», «anketa_i_pravila», дропперы содержали метку компиляции 13 июня 2012 г. и ID кампании «NMMM».

Мы можем предположить, что операторы Potao использовали это шпионское вредоносное ПО для шпионажа за участниками или организаторами этой финансовой пирамиды.

В 2013 г. следы Potao были обнаружены в Грузии. Исполняемый файл вредоносной программы, который имел временную метку от 15 октября 2013 г., назывался «Wedding_invitation.exe». На этот раз decoy-документ содержал текст свадебного приглашения. Название файла и текст документа содержали текст на английском языке.

833c44b0efb948f9987df07953fb6ca2.png
Рис. 9. Внешний вид decoy-документа, который использовался в дропперах Potao, нацеленных на пользователей Грузии.

Potao на Украине

Перед тем как обнаружить рост активности Win32/Potao на Украине в 2014 г., мы обнаружили несколько отладочных (debug) версий этой вредоносной программы осенью 2013 г. Можно предположить, что злоумышленники тестировали новую версию вредоносной программы перед ее использованием в направленных кибератаках на украинских пользователей.

2321f6aa844a4bf493e3097a80721282.png
Рис. 10. Фрагмент кода отладочной версии вредоносной программы.

Интересно отметить, что один из идентификаторов кампании в этих отладочных версиях Potao представлял из себя слово krim (Крым).

В марте 2014 г. преступная группа переключилась на использование нового вектора распространения Potao. Они начали использовать т. н. «веб-страницу посадки» (landing page) для установки вредоносной программы. Веб-страница называлась MNTExpress. Мы полагаем, что дизайн этого веб-сайта был взят у веб-сайт российской почтовой службы Pony Express.

7bc0b71546cf4065a84d0e2e7c30d8ea.png
Рис. 10. Внешний вид веб-страницы службы доставки Pony Express.

12df4385a31d40b1bc99662cffcc5932.png
Рис. 11. Внешний вид веб-страницы MNTExpress.

Маскировка фишингового сообщения в качестве уведомления почтовой службы является очень распространенным методом у злоумышленников для распространения вредоносных программ. Инструкции на загрузку вредоносной программы могут располагаться в теле сообщения. Однако, кибергруппа Potao использует иной подход. Предполагаемые жертвы получали SMS-сообщения, которые содержали ссылку на веб-страницу с вредоносной программой. Жертве также отправлялся специальный «код отслеживания» (tracking code), а также имя получателя. Этот метод также является очередным индикатором направленности кибератаки, так как, во-первых, злоумышленникам нужно было провести разведку и получить полное имя жертвы, а также номер ее телефона. Во-вторых, для получения файла вредоносной программы жертве нужно было ввести отправленный ей код в SMS-сообщении.

1da2c9430ec74e409cc8126f0216c8f9.png
Рис. 12. SMS-сообщение, отправленное злоумышленниками.

f5797be62867475c802c446188e182c7.png
Рис. 13. Один из получателей SMS-сообщения от злоумышленников пытается получить информацию о нем в публичной группе социальной сети vkontakte.

Схожий сценарий распространения вредоносного ПО был использован злоумышленниками уже в марте 2015 г. На этот раз злоумышленники зарегистрировали домен WorldAirPost.com, а дизайн для веб-сайта был взят у почтовой службы Сингапура. Они просто заменили логотип с «Singapore Post» на «Italy Post».

19352eec49b94ed3a78825de4ddf0eb2.png
Рис. 14. Внешний вид легитимного веб-сайта почты Сингапура.

f6b3b908950543cd9a1e2f26cb895f45.png
Рис. 15. Внешний вид фальшивого веб-сайта WorldAirPost.com.

На момент нашего анализа, злоумышленники были все еще активны, зарегистрировав еще один домен WorldAirPost.net в июне 2015 г. Нужно отметить, что MNTExpress поддерживал два языка русский и английский, а WorldAirPost только английский. При использовании этого веб-сайта, злоумышленники прибегали к маскировке дропперов в качестве документа MS Excel, а не Word.

Кроме этого, вместо отображения decoy-документа (приманка), дроппер показывает пользователю специальное системное сообщение (Рис. 16).

e83f6c4aa22e411d9c85342883fefd6b.png
Рис. 16. Системное сообщение, отображаемое дроппером пользователю при запуске в системе.

Начиная с марта 2015 г., наша антивирусная лаборатория обнаруживала вредоносные файлы Potao на компьютерах украинских военных и правительственных организаций, а также на компьютерах одного из крупнейших украинских новостных агентств. Распространяемые дропперы маскировались в качестве документов MS Word и им были присвоены осмысленные названия файлов.

43aea8879d0542d6a25ee12b451f2619.png
Рис 17. Названия файлов дропперов, которые использовались в кибератаках на высокопоставленные учреждения на Украине.

Видно, что названия файлов указывают на их направленность на военные и правительственные учреждения Украины. Decoy-документ дропперов, видимо, был поврежден (Рис. 18).

47195361aca84644a78f71c60de8c183.png
Рис. 18. Внешний вид decoy-документа, который был использован в дропперах Potao от 5 марта 2015 г.

Компрометация приложения шифрования TrueCrypt

В процессе мониторинга ботнета Potao, мы обнаружили заражения компьютеров, которые изначально были выполнены другим вредоносным ПО с использованием подозрительных веб-сайтов.

Нами было установлено, что Win32/Potao устанавливался в систему с использованием исполняемого файла с названием TrueCrypt.exe. На первый взгляд в этом не было ничего удивительного, поскольку злоумышленники часто присваивают специальные доверенные названия вредоносным файлам. Однако, в этом случае дело обстояло иначе, поскольку скомпрометированная версия легитимного ПО для шифрования под названием TrueCrypt выступала в качестве загрузчика (даунлоадера) дроппера Potao. Дальнейшее расследование показало, что такая модификация TrueCrypt распространялась через веб-сайт truecryptrussia.ru. Более того, нам удалось установить факт использования злоумышленниками этого доменного имени в качестве одного из адресов управляющего C&C-сервера. Этот факт приводит нас к мысли о том, что данный сайт не является легитимным, а был изначально задуман владельцами для проведения вредоносных операций. Таким образом, сам веб-сайт и ПО под названием «TrueCrypt Russia» использовались для выполнения следующих вредоносных функций.

  1. Хостинг вредоносной модификации ПО для шифрования TrueCrypt.
  2. Как следствие первого пункта, хостинг вредоносного ПО Win32/Potao.
  3. Адрес веб-сайта использовался в качестве управляющего C&C-сервера для Win32/FakeTC.


Следует отметить, что не каждый посетитель вышеуказанного веб-сайта загрузит именно вредоносную модификацию TrueCrypt. Механизм загрузки вредоносной копии организован на выборочной основе. Это является еще одним доказательством направленности кибератаки с использованием Potao.

7fe5d5eab02c43b9a0eec29fad55dc11.png
Рис. 19. Веб-страница TrueCrypt Russia.

Согласно нашей статистике ESET LiveGrid, указанный веб-сайт распространял вредоносную версию ПО TrueCrypt, по крайней мере, с июня 2012 г. В данном случае, временные метки файлов вредоносного ПО относятся к апрелю 2012 г.

Грузинская киберкампания

В подтверждение того факта, что злоумышленники, стоящие за Potao, были очень активны даже на момент написания этого исследования, можно привести один из дропперов вредоносной программы с датой компиляции 20 июля 2015 г. Дроппер использовался для компрометации пользователей в Грузии. На этот раз decoy-документ представлял из себя файл PDF.

8050c0ed58714aac938a3682a09959fc.png
Рис. 20. Пример decoy-документа из «грузинского дроппера».

© Habrahabr.ru