[:tr]Siber güvenlik araştırmacıları, Japonya’da bulunan otomotiv, ilaç ve mühendislik, yönetilen hizmet sağlayıcıları gibi faaliyet gösterenlerin de dahil olduğu birden çok sektörde şirketleri hedefleyen APT kampanyaları gözlemlendi.

Kaspersky araştırmacıları tarafından, ilk bulaşmada kullanılan saldırganın sisteminden “DESKTOP-A41UVJV” ana bilgisayar adından türetilen kampanyaya A41APT (APT41 değil) adını verdi. “A41APT” olarak adlandırılan bulgular, APT10 diğer adıyla Stone Panda olarak bilinen APT grubu tarafından, SodaMaster, P8RAT ve FYAnti gibi önceden belgelenmemiş zararlı yazılımları kullanılarak gerçekleştirilen yeni bir saldırı yelpazesini araştırıyor. Kaspersky tarafından ortaya çıkarılan yeni saldırıların Ocak 2021’de meydana geldiği söyleniyor. Saldırının ise SSL-VPN’in zero day güvenlik açıkları kullanılarak veya çalınan kimlik bilgilerinde yararlanarak kötüye kullanılması yoluyla gerçekleştiğidir.

DESKTOP-A41UVJV’den ele geçirilen VPN oturumunun logları

Saldırı kampanyasında 4 dosyasız yükleyici modülünü arka arkaya yüklemek ve şifresini çözmek için dört dosyadan yararlanılır. Birbiri ardına dört dosyasız yükleyici modülünü yüklemek ve şifresini çözmek için dört farklı dosyadan yararlanarak karmaşık yükleme şeması (complicated loading schema) yönetimi kullanılmaktadır.

Ecipekac Teknik Analizi

Saldırganlar tarafından özel olarak kullanılan ve Ecipekac yükleyicinin ikinci katmanında bulunan benzersiz bir dizeden sonra Ecipekac olarak adlandırılan çok katmanlı bir x64 yükleyici gözlemlendi. Dize, ters yönde “Ecipekac” dır.

Sabit kodlu benzersiz dize “ecipekac”

Ecipekac, yeni ve karmaşık bir yükleme şeması kullanır. Son olarak belleğe son yükü yüklemek için dört dosyasız yükleyici modülünü birbiri ardına yüklemek ve şifresini çözmek için aşağıda listelenen dört dosyayı kullanır.

Ecipekac enfeksiyon akışı

Dosyalar şunlardır:

P8RAT ve SodaMaster’ın temel amacı, saldırgan tarafından kontrol edilen bir sunucudan alınan yükleri indirmek ve yürütmek olsa da Kaspersky’nin araştırması, hedef Windows sistemlerinde sağlanan kötü amaçlı yazılımın tam olarak ne olduğuna dair herhangi bir ipucu vermedi.

İlginç bir şekilde üçüncü yük olan FYAnti, QuasarRAT (veya xRAT) olarak bilinen son aşama uzaktan erişim Trojan’ı (Truva Atı) dağıtmak için birbirini takip eden iki katmandan geçen çok katmanlı bir yükleyici modülüdür.

Ecipekac: Katman I yükleyici

Ecipekac enfeksiyon akışının I. Katmanı

Ecipekac I .katman yükleyicisi, DLL yandan yükleme tekniği aracılığıyla geçerli dizine “jli.dll” adlı kötü amaçlı bir DLL’i yüklemek için normalde Eclipse için IBM geliştirme paketinde paketlenen yasal bir uygulama olan policytool.exe’yi zararlı bir şekilde kullanır. ‘Jli.dll’ dosyası, Ecipekac yükleyicinin ilk katmanı olarak hareket eder. Bu DLL dosyasının birkaç dışa aktarma işlevi vardır ancak bunların tümü, ana yükleme özelliğini taşıyan benzer bir işleve atıfta bulunur. Yükleyici, başka bir DLL’in (‘vac.dll’) sonundan 0x40408 bayt veri okur. 0x40408 veri boyutu sabit kodlanmış bir değer olan 0x40405’ten türetilir ve sekize bölünene kadar artırılır.

Dosyada değişmiş olmasına rağmen ‘vac.dll’ DLL dosyası geçerli ve meşru bir dijital imza ile imzalanmıştır. İlk bakışta dijital imzanın geçerli olması, dosyanın dijital olarak imzalandıktan sonra değiştirilmediğini gösterir.

Dijital olarak imzalanan ‘vac.dll’deki sertifika tablosunun yeniden boyutlandırması ve dijital imzayı etkilememesi için kendi verilerini sertifika tablosuna eklemesidir. Bu teknik, BlackHat 2016’da MS13-098 olarak yayınlandı. I. katman yükleyici, II katman yükleyici kabuk kodunun ‘vac.dll’deki gömülü verilerden şifresini çözer. XOR, AES ve DES gibi çeşitli kripto algoritmaları kullanılmaktadır. Algoritmaların sırası ve kombinasyonu ile şifre çözme anahtarları bir örnekten diğerine farklıdır.

İlk yükleyicide şifre çözme akışı

Örneğin, yukarıda gösterilen örnekte, şifreleme algoritmalarının sırası, ‘0x9F’ sabit kodlu anahtarını kullanan tek baytlık bir XOR, ardından AES anahtarı ’83H4uREKfFClDH8ziYTH8xsBYa32p3wl’ ve IV anahtarı ’83H4uREKfFClD . Ecipekac’ın ilginç bir özelliği, saldırganların bu şifreleme algoritmalarını Windows API kullanmak yerine kendi kodlarında uygulamış olmalarıdır. Saldırganlar, orijinal uygulamaya kıyasla küçük değişiklikler de yaptı. Örneğin, AES algoritmasıyla ilgili işlevde aşağıdaki kodda gösterildiği gibi AES anahtarının üçüncü baytına kasıtlı olarak başvurdular.

AES işlevinde küçük bir değişiklik

Saldırganlar, bahsedilen AES algoritmasının yanı sıra DES algoritmasını da değiştirdiler.

Ecipekac: Layer II Yükleyici Shellcode

Ecipekac kullanarak enfeksiyon akışının Katman II’si

Ecipekac Layer II yükleyici, düzensiz parçalarda bir sonraki katman DLL’inin verilerini içeren basit bir kabuk kodudur. İlk olarak kabuk kodu, bu veri kümesindeki “ecipekac” dizesini kontrol eder. Daha sonra aşağıda gösterildiği gibi DLL’in orijinal kodunu oluşturmak için gömülü verilerin her bir parçasını doğru sırada tahsis edilmiş belleğe yeniden yapılandırır ve yükler.

Hafızada bölünmüş PE BLOB için yeniden yapılandırma

Daha sonra Ecipekac’ın üçüncü katmanı olan yüklenen DLL’in giriş noktasını çağırır. Araştırmamıza göre bu modülde kullanılan sihirli dizi, her durumda yalnızca “ecipekac” değildir. Bunun yerine birkaç örnekte “9F 8F 7F 6F” ve “BF AF BF AF” kullanıldığını da gözlemlenmiştir.

Ecipekac Layer III yükleyici DLL

Ecipekac kullanarak enfeksiyon akışının Katman III’ü

Üçüncü katmanın bir sonraki katmanı yükleme yöntemi ilk katmanı andırır. ‘vac.dll’de olduğu gibi dijital bir sertifika kullanılarak imzalanan ‘pcasvc.dll’in sonundan şifrelenmiş verileri okur.

Kripto algoritmaları yine tek baytlık XOR ve AES CBC modudur. Bu sefer ‘pcasvc.dll’in gömülü verilerinden dördüncü yükleyici kabuk kodunun şifresini çözmek için kullanılır. Bununla birlikte algoritma dizisi ilk katmana göre ters sıradadır. Sabit kodlanmış anahtarlar da farklıdır. XOR anahtarı olarak “0x5E” kullanılırken, AES anahtarı ve IV sırasıyla “K4jcj02QSLWp8lK9gMK9h7W0L9iB2eEW” ve “K4jcj02QSLWp8lK9” şeklindedir.

Ecipekac: Katman IV Yükleyici Shellcode

Ecipekac kullanarak enfeksiyon akışının Katman IV’ü

Araştırmalar sırasında, Ecipekac’ın dördüncü katmanı olarak kullanılan üç farklı türde kabuk kodu bulundu.

Katman IV yükleyici shellcode – birinci tip ilk shellcode türünün prosedürü, Ecipekac Layer II shellcode ile aynı şekilde davranır. tek fark, bu durumda Ecipekac’ın son yükü olan gömülü PE’dir. Birinci tip kabuk kodunun yükü ya “P8RAT” ya da “FYAnti yükleyici”dir. Bu raporun sonraki bölümlerinde bu yüklerin bir analizi sunulmaktadır.

Katman IV yükleyici shellcode – ikinci tip ikinci tür kabuk kodu, diğer yükleyici türlerinden tamamen farklıdır. Bu kabuk kodunun aşağıdaki tabloda gösterilen benzersiz bir veri yapısı vardır.

Bu kabuk kodu, “A9 5B 7B 84” 16 baytlık anahtar ile RC4 kullanarak 0x01C ofsetinde bir yükün şifresini çözmeye başlamadan önce bu veri yapısının başlangıcında “90 90 90 90 90 90 90 90” sihirli numarasının varlığını doğrular. “9C CB CF E8 B6 79 F1 9F 05 B6 2B FE ”. Şifresi çözülen yük “SodaMaster” dır.

Katman IV yükleyici shellcode – üçüncü tip Son Shell kodu türü bir Cobalt Strike aşamalandırıcıdır. Ekim 2019’dan bu yana birkaç farklı Cobalt Strike aşamalı kabuk kodunun kullanıldığı doğrulandı. Ek olarak, gözlemlenen Cobalt Strike aşamalandırıcı örneklerinden bazıları, güvenlik ürünleri tarafından algılanmadan kaçınmak için bunları ortak jQuery isteği olarak gizlemek için kötü amaçlı iletişimlerinin HTTP başlığında bir ayar içeriyor.

JQuery isteğinin kimliğine bürünmek için sabit kodlanmış HTTP başlığı

JQuery isteklerini taklit eden C2 iletişimi için HTTP başlığında kullanılan gerçek kodlanmış C2, ilgili bağlantı noktası 443 ile “51.89.88 [.] 126” idi.

Saldırıyı İlişkilendirme:

Araştırmacıların yapmış olduğu araştırmalara dayanarak, APT10 tehdit aktörünün “A41APT” kampanyasının arkasında olduğunu büyük bir güvenle değerlendirilmektedir.

Bu atıf aşağıdaki noktalara dayanmaktadır;
İlk olarak, bir x86 SodaMaster örneğinden sabit kodlu “www.rare-coisns [.] com” URL’i, APT10’un Türkiye’nin finans ve telekomünikasyon sektörlerini hedefleyen etkinliği ile ilgili olarak, VirusTotal göndericisinin coğrafi konumuna da uygun olarak belirtildi.

İkinci olarak, A41APT kampanyasının bir Cylance blog yayınında açıklanan APT10 etkinlikleriyle benzerliği bulunmaktadır. Bunlar arasında CppHostCLR tekniğini kullanan FYAnti yükleyicinin Ecipekac Loader ve FYAnti’nin son yükü olarak kullanılan QuasarRAT bulunmaktadır. Ayrıca, Symantec blog gönderisinde belirtildiği gibi , FYAnti yükleyici .NET yükleyicinin enjeksiyonu için CppHostCLR tekniği ve QuasarRAT, BlackBerry tarafından keşfedilen APT10 grubunun faaliyetlerine benzerdi.

Cylance tehdit araştırma ekibi. Son olarak, APT10 etkinlikleri hakkındaki önceki TIP raporunda özetlenenlerle bazı benzerlikler ve ortak TTP’ler vardır bunlar;

• Karma veya kripto algoritmalarının Windows API’leri yerine kötü amaçlı yazılım geliştiricileri tarafından bazı değişikliklerle manuel olarak uygulanması.
• Kripto anahtarları, kripto anahtarlarının bir kısmı, anahtar üretimi, muteks adları vb. Gibi bazı özellikler için hesaplanan karma değerlerin (tamamen veya kısmen) kullanılması.
• Bellekte bir yük çalıştırmak için DLL yan yükleme tekniğinin kullanması.
• Kalıcılık ve ayrıca yanal hareket için PowerShell betiklerini kullanması.
• Etkinliklerini gizlemek için günlükleri kaldırmak için exe kullanması.
• Kullanıcı adı, ana bilgisayar adı, PID, şimdiki zaman ve diğer özellikler gibi kurban makine verilerinin gönderilmesi. (APT10 arka kapılarına özgü değildir ve çoğu arka kapı ailesinde oldukça yaygındır.)
• İmplantları, güvenlik araştırmacıları aktörün faaliyetleri ve TTP’leri ile ilgili analizlerini yayınladıktan kısa bir süre sonra değiştirmesi.
• Japonya ile ilişkili denizaşırı şubeler veya kuruluşların yanı sıra esas olarak Japonya’yı hedefliyor olması

Ancak, A41APT kampanyasında ve önceki etkinliklerde bazı ilginç farklılıklar gözlemlenmiştir bu gözlemler;

• LilimRAT, Lodeinfo ve ANEL gibi APT10 tarafından kullanılan önceki kötü amaçlı yazılım örneklerinin aksine P8RAT ve SodaMaster bir kötü amaçlı yazılım sürüm numarası içermemesi.
• Virüs bulaşma vektörüne gelince, APT10 saldırılarında oldukça yaygın olan bu A41APT kampanyasında herhangi bir öncü kimlik avı e-postası belirleyememesi.

Genel olarak, APT10, birden çok eşzamanlı kampanya yürüten büyük bir APT grubu olarak kabul edilir ve anlaşılır bir şekilde TTP’ler bir kampanyadan diğerine farklılık gösterir. Burada A41APT kampanyası için bahsedilen farklılıkların, bu kadar büyük bir APT grubu durumunda beklenebilecek normal bir TTP varyasyonunu temsil ettiği düşünülmektedir.

Sonuçlar

A41APT kampanyasını APT10’un uzun süredir devam eden etkinliklerinden biri olarak görülmekte. Bu saldırı kampanyası, P8RAT ve SodaMaster gibi farklı benzersiz dosyasız kötü amaçlı yazılımları içeren Ecipekac adlı çok katmanlı kötü amaçlı yazılım ve yüklerini tanıttı.

Ecipekac kötü amaçlı yazılımının en önemli yönü, çok sayıda katman dışında şifrelenmiş shell kodlarının dijital imzanın geçerliliğini etkilemeden dijital olarak imzalanmış DLL’lere ekleniyor olmasıdır. Bu teknik kullanıldığında bazı güvenlik çözümleri bu implantları tespit edemez. P8RAT ve SodaMaster arka kapılarının ana özelliklerinden yola çıkarak bu modüllerin, maalesef araştırmalar sonucunda şimdiye kadar elde edilemeyen başka kötü amaçlı yazılımları indirmekten sorumlu indiriciler olduğu düşünülmektedir.

Kaspersky araştırmacısı Suguru Ishimaru; “Kampanyanın operasyonları ve implantları son derece gizli olduğundan, tehdit aktörünün faaliyetlerini takip etmeyi zorlaştırıyor,” dedi.

Kaynakça:

symantec-enterprise-blogs.security.com

securelist.com

He named the campaign A41APT (not APT41) by Kaspersky researchers, derived from the host name “DESKTOP-A41UVJV” from the attacker’s system used in the first infection. The findings, dubbed “A41APT”, investigate a new range of attacks by the APT group, known as APT10 aka Stone Panda, using previously undocumented malwares such as SodaMaster, P8RAT, and FYAnti. The new attacks uncovered by Kaspersky are said to have occurred in January 2021, while the attack was carried out by using zero days of SSL-VPN or exploiting stolen credentials.

Logs of VPN session captured from DESKTOP-A41UVJV

In the offensive campaign, four files are used to load and decrypt the “4 fileless installer modules in succession.” The complicated loading schema management is used by using four different files to load and decrypt four file-less installer modules one after the other.

Ecipekac Technical Analysis

A multi-layer x64 loader called Ecipekac was observed after a unique string located in the second layer of the Ecipekac installer, which was used exclusively by attackers. The string is “Ecipekac” in the opposite direction.

Hard-coded unique string “ecipekac”

Ecipekac uses a new and complex loading scheme: Finally it uses the four files listed below to load and decrypt four unfiled loader modules one after another to load the final payload into memory.

Ecipekac infection stream

The files are:

While the primary purpose of the P8RAT and SodaMaster was to download and execute payloads received from an attacker-controlled server, Kaspersky’s research did not give any clue as to exactly what the malware provided on target Windows systems.
Interestingly, the third payload, FYAnti, is a multi-layer installer module that passes through two successive layers to distribute the last-tier remote access Trojan known as QuasarRAT (or xRAT).

Ecipekac: Layer I installer

Ecipekac: Layer I installer

Layer I of the Ecipekac infection stream
The Ecipekac I .layer installer maliciously uses policytool.exe, a legitimate application normally packaged in the IBM Development Package for Eclipse, to load a malicious DLL called ‘jli.dll’ into the current directory via the DLL side loading technique. The ‘jli.dll’ file acts as the first layer of the Ecipekac installer. This DLL file has several export functions; however, they all refer to a similar function that has the main loading feature. The installer reads 0x40408 bytes of data from the end of another DLL (‘vac.dll’). The 0x40408 data size is derived from a hard-coded value 0x40405 and incremented until it is divided by eight.

Although it has been changed in the file, the ‘vac.dll’ DLL file is signed with a valid, legitimate digital signature. At first glance, a valid digital signature indicates that the file was not changed after it was digitally signed.

It was to resize the Certificate Table in the digitally signed ‘vac.dll’ and add its own data to the Certificate Table so that it would not affect the digital signature. This technique was published in BlackHat 2016 as MS13-098. The layer I loader decrypts the layer II loader shell code from the data embedded in ‘vac.dll’. Various crypto algorithms such as XOR, AES and DES are used. The order and combination of algorithms and decryption keys differ from one instance to the next.

Decryption flow in first installer

For example, in the example shown above, the order of cryptographic algorithms is a single-byte XOR using the hard-coded key ‘0x9F’, followed by AES key ’83H4uREKfFClDH8ziYTH8xsBYa32p3wl’ and IV key ’83H4uREKfFClD. An interesting feature of Ecipekac is that attackers have implemented these encryption algorithms in their own code rather than using the Windows API. Attackers also made minor changes compared to the original application. For example, in the function related to the AES algorithm, they deliberately referenced the third byte of the AES key as shown in the code below.

Small change in AES function

Attackers changed the DES algorithm as well as the mentioned AES algorithm.

Ecipekac: Layer II Installer Shellcode

Layer II of the infection flow using Ecipekac

Ecipekac Layer II installer is a simple shell code that contains the data of the next layer DLL in irregular parts. First, the shell code checks for the “ecipekac” string in this dataset. It then reconstructs and loads each piece of embedded data into allocated memory in the correct order to generate the original code of the DLL as shown below.

Reconstruction for split PE BLOB in memory

It then calls the entry point of the loaded DLL, the third layer of Ecipekac. According to our research, the magic sequence used in this module is not just “ecipekac” in all cases. Instead, it was observed that “9F 8F 7F 6F” and “BF AF BF AF” were used in several examples.

Ecipekac Layer III installer DLL

Layer III of the flow of infection using Ecipekac

The method of loading the next layer of the third layer is reminiscent of the first layer. It reads encrypted data from the end of ‘pcasvc.dll’ signed using a digital certificate as in ‘vac.dll’.

Crypto algorithms are also single-byte XOR and AES CBC mode. This time it is used to decrypt the fourth installer shell code from the embedded data of ‘pcasvc.dll’. However, the algorithm sequence is in reverse order to the first layer. Hard-coded keys are also different. When using “0x5E” as the XOR key, the AES key and IV are “K4jcj02QSLWp8lK9gMK9h7W0L9iB2eEW” and “K4jcj02QSLWp8lK9” respectively.

Ecipekac: Layer IV Installer Shellcode

Layer IV of infection flow using Ecipekac

During the investigations, three different types of shell code were found used as the fourth layer of Ecipekac.

Layer IV installer shellcode – the procedure of the first type of first shellcode behaves the same as the Ecipekac Layer II shellcode. the only difference is in this case Ecipekac’s final load, embedded PE. The payload of the first type of shell code is either “P8RAT” or “FYAnti loader”. An analysis of these loads is presented in the next sections of this report.

Layer IV installer shellcode – the second type of second type of shellcode is completely different from other types of installers. This shellcode has a unique data structure shown in the table below.

This shell code “A9 5B 7B 84” verifies the presence of the magic number “90 90 90 90 90 90 90 90” at the beginning of this data structure before attempting to decrypt a payload at offset 0x01C using RC4 with a 16 byte key. “9C CB CF E8 B6 79 F1 9F 05 B6 2B FE”. The decoded load is “SodaMaster”.

Layer IV installer shellcode – the third type End Shell code type is a Cobalt Strike stadler. Several different Cobalt Strike progressive shell codes have been used since October 2019. Additionally, some of the observed Cobalt Strike staging instances include a setting in the HTTP header of their malicious communications to disguise them as common jQuery requests to avoid detection by security products.

Hard-coded HTTP header to impersonate the jQuery request

The actual encoded C2 used in the HTTP header for C2 communication mimicking jQuery requests was “51.89.88 [.] 126” with the corresponding port 443.

Associating the attack:

Based on the research conducted by the researchers, it is evaluated with great confidence that the APT10 threat actor is behind the “A41APT” campaign.

This reference is based on the following points;
First, an x86 sodamast for example, from hard-coded “www.rar to-coisns [.] Com” URLs, apt10 With regard to Turkey’s financial and telecommunications sectors targeted activity was indicated as suitable for the geographical location of VirusTotal sender.

Second, the A41APT campaign has a similarity to the APT10 events described in a Cylance blog post. These include the Ecipekac Loader of the FYAnti loader using the CppHostCLR technique and the QuasarRAT used as the final load of the FYAnti. Also, as noted in the Symantec blog post, the CppHostCLR technique and QuasarRAT for the injection of the FYAnti installer .NET installer were similar to the activities of the APT10 group discovered by BlackBerry.

Cylance threat research team. Finally, there are some similarities and common TTPs to those outlined in the previous TIP report on APT10 activities;

Manual implementation of hash or crypto algorithms with some modification by malware developers instead of Windows APIs.
Crypto keys, part of crypto keys, key generation, mutex names, etc. Using hash values ​​(wholly or partially) calculated for some properties, such as.
The use of DLL sideloading technique to run a load on memory.
Using PowerShell scripts for persistence as well as lateral movement.
Using exe to remove logs to hide their activities.
Sending victim machine data such as username, hostname, PID, current time, and other attributes. (It is not specific to APT10 rear doors and is fairly common in most backdoor families.)
Replacing implants shortly after security researchers posted their analysis of the actor’s activities and TTPs.
Mainly targeting Japan as well as overseas branches or organizations associated with Japan

However, some interesting differences were observed in the A41APT campaign and previous activities.

Unlike previous malware samples used by APT10 such as LilimRAT, Lodeinfo and ANEL, the P8RAT and SodaMaster do not contain a malware version number.
As for the virus infection vector, it’s not being able to identify any leading phishing email in this A41APT campaign, which is quite common in APT10 attacks.

Generally, APT10 is considered to be a large APT group running multiple concurrent campaigns, and understandably TTPs differ from one campaign to another. The differences mentioned here for the A41APT campaign are thought to represent a normal TTP variation that would be expected in the case of such a large APT group.

Results

The A41APT campaign is seen as one of the long-running events of APT10. This attack campaign introduced Ecipekac multi-layered malware and its payloads, which contain different unique fileless malware such as P8RAT and SodaMaster.

The most important aspect of Ecipekac malware is that, apart from multiple layers, encrypted shell codes are added to digitally signed DLLs without affecting the validity of the digital signature. Some security solutions cannot detect these implants when using this technique. Judging from the main features of the P8RAT and SodaMaster backdoors, these modules are considered to be the downloaders responsible for downloading other malware, unfortunately, as a result of research so far.

Kaspersky researcher Suguru Ishimaru; “The operations and implants of the campaign are highly confidential, making it difficult to track the threat actor’s activities,” he said.

References:

symantec-enterprise-blogs.security.com

securelist.com