Categoria: Inteligência do adversário

Indústria: Governo

Motivação:Acesso

Região: Oriente Médio

Fonte: Subterrâneo

‍

Sumário executivo

AMEAÇA

• Backdoor Powershell personalizado implantado em entidade governamental não identificada dos Emirados Árabes Unidos.
• Depois disso, vários outros implantes e cargas úteis foram implantados, um desses implantes com capacidade de coleta de credenciais.

IMPACTO

• Acesso a ativos governamentais e entidades relacionadas.
• Acesso às contas do governo.

‍

Análise e atribuição

Resumo técnico - Visão geral do ataque

‍

• Uma campanha envolvendo um backdoor Powershell personalizado foi redescoberta. Essa campanha teve como alvo servidores Microsoft Exchange pertencentes a uma entidade governamental não identificada dos Emirados Árabes Unidos.
• O backdoor do PowerExchange era entregue por meio de um e-mail de phishing, que continha um executável que servia como carregador para o backdoor do Powershell.
• A porta traseira alcançada persistência usando a tarefa agendada MicrosoftEdgeUpdateService, fazendo com que a carga seja executada a cada cinco minutos em um novo processo.

‍

• O acesso fornecido pelo backdoor foi usado para implantar mais cargas úteis, incluindo módulos do projeto de código aberto Invoque The-Hash para se mover lateralmente em todo o domínio de destino.
• Dois webshells C# também foram implantados na forma de .dlls. Um deles foi nomeado ExchangeLeech, que tinha recursos de coleta de credenciais além de fornecer a capacidade de executar comandos. Consulte Regras da Yara para caçar ameaças.

‍

Resumo técnico - PowerExchange Backdoor

• O backdoor vem na forma de um script Powershell personalizado.
• O que o torna engenhoso por natureza é que ele usa a API Microsoft Exchange Web Services para se conectar aos servidores Exchange do alvo e recebe comandos do agente da ameaça usando caixas de correio no servidor.

• Para indicar que está em execução, o backdoor se conecta ao servidor Exchange de destino e envia o nome do computador codificado em base64 para uma caixa de correio. As credenciais usadas para a conexão estão codificadas no script.
• Para enviar dados, o backdoor cria um e-mail com o assunto “Atualizar Microsoft Edge” e o corpo “Microsoft Edge Update”, com os dados sendo enviados em um anexo.txt.
• Os comandos são enviados para o backdoor na forma de anexos contendo conteúdo base64, e os comandos permitem que o agente da ameaça execute comandos, baixe arquivos ou faça upload de arquivos.

‍

Atribuição

Com base em pesquisas publicadas por várias fontes sobre a campanha xHunt, de julho de 2018, voltada para entidades governamentais e companhias marítimas do Kuwait, podemos atribuir essa campanha, o backdoor do PowerExchange e ferramentas relacionadas ao APT34, que é uma ameaça iraniana.

‍

As ferramentas usadas na campanha xHunt, principalmente o backdoor TriFive, compartilham muitas semelhanças com o backdoor do PowerExchange. Ambos os backdoors são scripts do Powershell e usam tarefas agendadas para obter persistência e usam o mesmo método para comunicação C2: os servidores Exchange usando a API do EWS. Sabe-se que o APT34 usa phishing para obter acesso inicial e já teve como alvo entidades dos Emirados Árabes Unidos.

‍

MITRE TTPs

Os TTPs MITRE associados a esta campanha são os seguintes:

‍

‍

Regras da YARA

Os Webshells C# (.dll) estão associados ao backdoor do ExchangeLeech mencionado no relatório.

import "pe"
rule System_Web_Transport_d11
{
meta:
description = "Webshell DLL installed as IIS module with named pipe tunneling"
author = "Digital14 Incident Response Team"
score=100
strings:
$opcode1 = {0C 72 [4] 0D 07 6F [4] 09 (1?| 1? ??) (1?| 1? ??) 6F [4] 6F [4] 1? ?? 07 6F [4] 09 (1?| 1? ??) (1?| 1? ??) 6F [4] 6F [4] 1? ??} //opcode for EndRequest
$opcode2 = {72 [4] 0A 72 [4] 0B 72 [4] 07 72 [4] 03 28 [4] 28 [4] 07 06 73 [4] 0C 08 20 [4] 6F [4].08} //opcode for Client
$PATH= "C:\\Users\\sheep\\" //DLL compilation folder
$splsvc= "splsvc" fullword wide //Named pipe defined name
condition:
pe.DLL and (($PATH and $splsvc) or any of ($opcode1, $opcode2)) and filesize < 12KB
}


rule System_Web_ServiceAuthentication_d11
{
meta:
description = "DLL installed as IIS module acting as credential harvester for users logging to OWA"
author = "Digital4 Incident Response Team"
score=100
strings:
$opcode1 {07 6F [4] 72 [4] 6F [4] 39 [4] 07 6F [4] 72 [4] 6F [4] 39 [4] 07 6F [4] 72 [4] 6F [4] 6F [4] ??} //opcode for begingHandler
$opcode2= {72 [4] 6F [4] 39 [4] 08 6F [4] 72 [4] 6F [4] 72 [4] 6F [4] 3A [4] 07 6F [4] 72 [4] 6F [4] ??} //opcode for Endrequest handler
$PATH1 = "c$\\windows\\temp\\D226B187 44C3 454B AD66" fullword wide //Users credentials output file save location
$PATH2 = "C:\\Users\\sheep\\" //DLL compilation folder
condition:
pe.DLL and (($PATH1 and $PATH2) or any of ($opcode1, $opcode2)) and filesize < 15KB
}

‍Referências

• Equipe de resposta a incidentes da Digital14
• Pesquisa de ameaças da Fortinet
• Invoque o projeto The-Hash Github

‍