L’ASERT Team di NETSCOUT Arbor ha scoperto una infrastruttura di Command & Control in mano agli autori degli APT della campagna denominata Musical Chairs.
La comunità dei ricercatori ha collegato questi soggetti a precedenti attacchi particolarmente significativi. Questi aggressori informatici sono rinomati per la lunga durata dei loro domini C2, che vengono riutilizzati a lungo dopo la loro individuazione, oltre che per l’impiego del diffuso tool di accesso remoto open source Gh0st. Le ricerche del team di NETSCOUT Arbor hanno permesso di rilevare un aspetto finora sconosciuto: gli aggressori hanno integrato nel malware una versione perfettamente funzionante del gioco Tetris che si attiva esclusivamente quando viene soddisfatta una condizione specifica.
Nel corso degli anni sono stati scritti numerosi articoli sul tema del Gh0st. Servendosi delle informazioni dettagliate fornite da McAfee, ASERT ha individuato un nuovo sample e, aspetto ancora più interessante, un nuovo dominio che è stato collegato al relativo aggressore informatico. Il sample sembra essere stato inviato mediante un’email, stando agli artefatti estrapolati dall’analisi del traffico malware, strategia in linea con le tattiche documentate tipiche di questo gruppo.
Analisi: Malware
Partendo dai server C2 noti per essere riconducibili a questo gruppo è possibile verificare se il nuovo dominio possieda collegamenti con esso. Due di questi C2 sono stati registrati nel 2013, ma la campagna è in atto da molto più tempo attraverso
Domini noti •yourbroiler[.]com •meitanjiaoyiwang[.]com
Nuovo dominio •etybh[.]com
Osservando DomainTools si nota che tutti e tre condividono lo stesso IP, 45.34.148.126, e la stessa società di registrazione, Jiangsu Bangning Science & Technology Co. LTD
Osservando il comportamento del nostro sample di Gh0st Musical Chairs in una sandbox, notiamo che crea una cartella denominata “Win32Tetris”. Verifichiamo se esistono altri sample Gh0st che si comportano allo stesso modo. Passando in rassegna il corpus di malware di ASERT si trova questo sample, 11fe12bbb479b4562c1f21a74e09b233ed41c41b7c4c0cad73692ff4672fb86a, che crea la stessa cartella. Basandoci sui suggerimenti forniti da un altro ricercatore, e considerando il C2 e altre caratteristiche di cui ci occuperemo, siamo in grado di confermare che questo sample più recente appartiene al gruppo Musical Chairs.
Il collegamento più incoraggiante è che il C2 di questo sample è www.yourbroiler[.]com tipico di questo aggressore. Inoltre, si rilevano somiglianze con un diverso file rilasciato denominato C:\microsoft\lib\ki\vv.js.
Avendo ora attestato che questo sample sembra essere una variante Gh0st del Musical Chairs, occupiamoci del pivot (di seguito questo sample verrà denominato il sample “pivot”).
Quando viene collegato a un debugger, il sample pivot lancia quello che sembra essere un gioco Tetris perfettamente funzionante (molto gentile da parte loro permettere agli addetti al reverse engineering di prendersi una piccola pausa).
Anche il sample più recente (quello legato al nuovo dominio etybh[.]com) mostra lo stesso comportamento quando collegato al debugger.
L’osservazione conclusiva è che il payload rilasciato sul file system con il nome di RasTls.dat in realtà non è altro che un file DLL offuscato. Se si osservano le proprietà DLL la funzione mystart è esportata. Anche in questo caso, mystart è la funzione DLL esportata su cui facevano leva i sample nel 2015.
Conclusione – Sebbene non dovrebbe sorprendere che un APT scateni tutto questo, questo aggressore specifico in effetti non ha effetti stravolgenti. L’impiego di una variante Gh0st diversa oltre al nuovo dominio può essere indicativo di ulteriori modifiche in arrivo oppure del fatto che l’aggressore si stia semplicemente tenendo al passo coi tempi. Dato il comportamento precedentemente osservato, è verosimile che nel prossimo futuro questo indicatore verrà usato nelle campagne d’attacco; ASERT, di conseguenza, lo rende disponibile per offrire visibilità a vantaggio dell’intera comunità che si occupa della ricerca in tema di sicurezza.