Turla, un noto attore malintenzionato, prende di mira le proprie vittime con minacce persistenti avanzate (APT). L'analisi di un esempio sofisticato di questo malware con MetaDefender ci offre una comprensione approfondita della metodologia utilizzata per smontare e comprendere queste minacce, elemento essenziale per i professionisti della sicurezza informatica che intendono difendersi da esse.
Questo malware è KopiLuwak, uno strumento di ricognizione basato su JavaScript ampiamente utilizzato per la profilazione delle vittime e la comunicazione C2. Le sue tecniche di offuscamento e il design relativamente semplice della backdoor gli consentono di operare in modo discreto e di eludere il rilevamento.
Profilo dell'attore della minaccia
Turla, un gruppo di spionaggio informatico con sospetti legami con il Servizio di sicurezza federale russo (FSB), opera attivamente almeno dal 2004. Nel corso degli anni, Turla ha compromesso con successo vittime in più di 50 Paesi, infiltrandosi in diversi settori quali governo, ambasciate, esercito, istruzione, ricerca e aziende farmaceutiche.
Il gruppo esibisce un modus operandi sofisticato, spesso utilizzando tattiche come l'uso di watering hole e campagne di spear phishing. Nonostante la sua notorietà, l'attività di Turla è aumentata negli ultimi anni, evidenziando la resilienza e l'adattabilità del gruppo nel panorama in continua evoluzione delle minacce informatiche.
Panoramica del campione
Il campione in esame è un documento Microsoft Word che, a un primo esame del suo contenuto incorporato (ad esempio con gli oletool di Didier Steven), contiene una serie di artefatti sospetti, come:
Macro con parole chiave AutoOpen e AutoClose, che indicano l'esecuzione automatica di VBA.
- "mailform.js" insieme a "WScript.Shell", che indica la presenza di JavaScript (JS) incorporato che verrà eseguito.
- Un oggetto incorporato che finge di essere un file JPEG e che include una stringa sospetta molto lunga (codice JS crittografato).
Emulazione multistrato
Sebbene a questo punto un'analisi manuale richiederebbe l'applicazione di tecniche avanzate di decrittografia e interpretazione del codice (ad esempio utilizzando Binary Refinery, riformattando il codice per migliorarne la leggibilità o rinominando le variabili per maggiore chiarezza), possiamo contare sulla tecnologia avanzata di emulazione in sandbox di MetaDefender , che esegue automaticamente tutte queste operazioni al posto nostro.
Passiamo alla scheda "Dati di emulazione" sul lato sinistro del report:
Osservando alcuni degli eventi dell'emulatore, possiamo vedere chiaramente l'intera catena di attacchi che si sta svolgendo:
Ma non è tutto: il nuovo codice JS è anche altamente offuscato. Se diamo un'occhiata all'evento Shell, questo è stato eseguito con "NPEfpRZ4aqnh1YuGwQd0" come parametro. Questo parametro è una chiave RC4 utilizzata nella successiva iterazione di decodifica.
Nella fase successiva, il file mailform.js decodifica il payload JS finale memorizzato come una lunga stringa Base64. Questa stringa viene decodificata da Base64, quindi decrittografata utilizzando RC4 con la chiave (menzionata sopra) passata come parametro e, infine, eseguita tramite la funzione eval(). Si noti che questo codice JS risiede solo in memoria, ma MetaDefender procederà con tutti i restanti protocolli di rilevamento.
Il codice JS completamente decriptato mostra la funzionalità del malware come backdoor di base, in grado di eseguire comandi da un server C2 remoto. Come ultima trovata, prima di connettersi al server C2, costruisce un profilo della vittima, ottiene la persistenza e quindi esfiltra i dati utilizzando richieste HTTP al server C2.
Estrazione del CIO
La sottopagina "Indicator of Compromise" aggrega tutti i CIO estratti da qualsiasi fase dell'analisi automatizzata, visualizzando gli URL C2 chiave sotto l'origine "VBA emulation":
Ogni volta che individuiamo il nome di una famiglia di malware nota all'interno di un'etichetta antivirus o di una regola YARA, oppure la rileviamo ad esempio tramite un file di configurazione decodificato, MetaDefender genera automaticamente il tag appropriato e lo inserisce nella pagina di destinazione di primo livello del report:
Anche se non è sempre garantita l'accuratezza, si tratta di un indicatore di riferimento che aiuta a fare un ulteriore triage e a eseguire un'attribuzione accurata.
Conclusione
Questa analisi tecnica di un campione del malware APT Turla evidenzia la complessità e la sofisticatezza delle moderne minacce informatiche, nonché il modo in cui MetaDefender consente di risparmiare una notevole quantità di tempo, rimuovendo automaticamente i diversi livelli di crittografia fino a individuare preziosi indicatori di compromissione (IOC). Si tratta di un campione interessante che dimostra come il nostro sistema di emulazione sia in grado di adattarsi efficacemente alla natura polimorfica delle tecniche di offuscamento utilizzate nelle campagne reali condotte da sofisticati attori malintenzionati.
Indicatori di compromesso (IOC)
Documento MS Word
Sha256: 2299ff9c7e5995333691f3e68373ebbb036aa619acd61cbea6c5210490699bb6
Mailform.fs
Sha256: 4f8bc0c14dd95afeb5a14be0f392a66408d3039518543c3e1e666d973f2ba634
Server C2
hxxp[://]belcollegium[.]org/wp-admin/includes/class-wp-upload-plugins-list-table[.]php
hxxp[://]soligro[.]com/wp-includes/pomo/db[.]php
