Turla, um conhecido agente de ameaças, tem como alvo as suas vítimas com Ameaças Persistentes Avançadas (APTs). Analisar um exemplo sofisticado deste malware com MetaDefender dá-nos uma compreensão aprofundada da metodologia utilizada para dissecar e compreender estas ameaças, o que é essencial para os profissionais de cibersegurança que pretendem defender-se contra elas.
Este malware é o KopiLuwak, uma ferramenta de reconhecimento baseada em JavaScript, amplamente utilizada para a caraterização de vítimas e comunicação C2. As suas técnicas de ofuscação e o design relativamente simples da backdoor permitem-lhe funcionar discretamente e evitar a deteção.
Perfil do ator da ameaça
O Turla, um grupo de ameaça de ciberespionagem com suspeitas de ligações ao Serviço Federal de Segurança (FSB) da Rússia, tem operado ativamente desde, pelo menos, 2004. Ao longo dos anos, o Turla comprometeu com sucesso vítimas em mais de 50 países, infiltrando-se em diversos sectores, como o governo, embaixadas, forças armadas, educação, investigação e empresas farmacêuticas.
O grupo apresenta um modus operandi sofisticado, empregando frequentemente tácticas como a utilização de watering holes e campanhas de spear phishing. Apesar da sua notoriedade, a atividade do Turla aumentou nos últimos anos, evidenciando a resiliência e a adaptabilidade do grupo no cenário em constante evolução das ciberameaças.
Síntese de amostras
A amostra em análise é um documento do Microsoft Word que, após um exame inicial do seu conteúdo incorporado (por exemplo, com o oletools de Didier Steven), contém uma variedade de artefactos suspeitos, tais como
Macro com as palavras-chave AutoOpen e AutoClose, indicando a execução automatizada do VBA.
- "mailform.js" juntamente com "WScript.Shell", indicando que o JavaScript incorporado (JS) está presente e será executado.
- Um objeto incorporado que finge ser um ficheiro JPEG, incluindo uma cadeia suspeita muito longa (código JS encriptado).
Emulação multicamada
Embora, neste ponto, uma análise manual exigisse a aplicação de técnicas avançadas de descriptografia/mensagens codificadas (por exemplo, usando o Binary Refinery, reformatando o código para facilitar a leitura ou renomeando variáveis para maior clareza), podemos contar com a tecnologia avançada de sandbox de emulação do MetaDefender para realizar todas essas etapas automaticamente.
Vamos mudar para o separador "Dados de emulação" no lado esquerdo do relatório:
Olhando para alguns dos eventos do emulador, podemos ver claramente toda a cadeia de ataque a desenrolar-se:
Mas isso não é tudo: o novo código JS também é altamente ofuscado. Se dermos uma olhada no evento Shell, ele foi executado com "NPEfpRZ4aqnh1YuGwQd0" como parâmetro. Esse parâmetro é uma chave RC4 usada na próxima iteração de decodificação
Na etapa seguinte, o mailform.js descodifica a carga útil JS final armazenada como uma longa cadeia Base64. Essa cadeia é descodificada em Base64, depois descriptografada usando RC4 com a chave (mencionada acima) passada como parâmetro e, finalmente, executada usando a função eval(). Observe que esse código JS está apenas na memória, mas MetaDefender continuará com todos os protocolos de detecção restantes.
O código JS totalmente desencriptado mostra a funcionalidade do malware como uma backdoor básica, capaz de executar comandos a partir de um servidor C2 remoto. Como última descoberta, antes de se ligar ao servidor C2, constrói um perfil de vítima, ganha persistência e depois exfiltra dados utilizando pedidos HTTP para o servidor C2.
Extração de COI
A subpágina "Indicator of Compromise" (Indicador de Compromisso) agrega todos os IOCs extraídos de qualquer etapa da análise automatizada, apresentando os principais URLs C2 por baixo da Origem "VBA emulation" (Emulação VBA):
Sempre que vemos um nome de família de malware conhecido como parte de um rótulo AV, regra YARA ou o detectamos através, por exemplo, de um ficheiro de configuração descodificado, MetaDefender gera automaticamente a etiqueta apropriada e propaga-a para a página inicial do relatório:
Embora nem sempre seja garantidamente exato, é um indicador importante para ajudar na triagem e efetuar uma atribuição exacta.
Conclusão
Esta análise técnica de uma amostra do malware Turla APT destaca a profundidade e sofisticação das ameaças cibernéticas modernas e como MetaDefender economiza uma quantidade enorme de tempo ao desofuscar automaticamente várias camadas de encriptação até chegar a IOCs valiosos. Esta é uma amostra interessante que mostra como o nosso sistema de emulação pode se adaptar efetivamente à natureza polimórfica das técnicas de ofuscação usadas durante campanhas reais de agentes de ameaças sofisticados.
Indicadores de compromisso (IOCs)
Documento MS Word
Sha256: 2299ff9c7e5995333691f3e68373ebbb036aa619acd61cbea6c5210490699bb6
Mailform.fs
Sha256: 4f8bc0c14dd95afeb5a14be0f392a66408d3039518543c3e1e666d973f2ba634
Servidores C2
hxxp[://]belcollegium[.]org/wp-admin/includes/class-wp-upload-plugins-list-table[.]php
hxxp[://]soligro[.]com/wp-includes/pomo/db[.]php
