Omówienie luk bezpieczeństwa w pakiecie Microsoft Office używane przez chińską grupę ATP

Łańcuch infekcji

Do pracowników z Azji Południowo-Wschodniej rozsyłany był przez cyberprzestępców mail ze złośliwym dokumentem Word (DOCX). Okazało się, że maile były dobrze przygotowane i większość ludzi myślała, że pochodzą one z podmiotów związanych z agencjami rządowymi. Hakerzy z grupy APT wykorzystywali metodę zdalnego szablonu do następnego etapu ataku.

W łańcuchu infekcji hakerzy używają również nowego wariantu narzędzia hackerskiego RoyalRoad, który pomaga im stworzyć spersonalizowany dokument z osadzonymi obiektami.

Ponadto dokumenty wykorzystują lukę edytora równań w programie Word Microsoft (Microsoft Equation). Chociaż te luki są stare, ale nadal używane przez chińskich cyberprzestępców.

Backdoor i jego możliwości

Ostatnim krokiem ataku jest pobranie plik DLL o nazwie „VictoryDll_x86.dll”.

Backdoor posiada pewne specyficzne funkcje:

• Pobieranie zrzutów ekranu
• Pipe Read/Write – uruchamianie poleceń przez cmd.exe
• Utworzenie/zakończenie procesu
• Pobieranie tabel TCP/UDP
• Pobieranie danych z napędów CDROM
• Pobieranie/tworzenie/zmiana nazwy/odczyt/zapis plików i uzyskiwanie ich atrybutów
• Pobieranie informacji o procesach i usługach
• Pobieranie informacji o kluczach rejestru
• Pobieranie tytułów wszystkich okien najwyższego poziomu
• Uzyskiwanie informacji o komputerze ofiary — nazwa komputera, nazwa użytkownika, adres bramy, dane karty, wersja systemu Windows (wersja główna/pomocnicza i numer kompilacji) oraz typ użytkownika
• Wyłączanie komputera

Komunikacja C&C

W komunikacji C&C backdoor stosuje konfigurację, która obejmuje adres IP i port serwera. Jej kroki wymieniono poniżej:

1. Wysłanie wiadomości „Start conversation” (0x540) XOR’owana do serwera wraz z zakodowanym na stałe 256-bajtowym kluczem:

2. Następnie serwer zwraca wiadomość „Get Victim Information” (0x541) i nowy 256-bajtowy klucz, który później jest używany do komunikacji:

Późniejsza komunikacja wraz z serwerem C&C ma następujący format: [Size], a następnie XORed [TypeID] i [Data] (z kluczem 256-bajtowym).

Analitycy bezpieczeństwa stwierdzili, że w tym przypadku osoby atakujące podjęły różne znaczące kroki, aby ukryć wszystkie swoje działania i dlatego wielokrotnie zmieniali swoją infrastrukturę od czasu jej powstania. Co więcej, luki wykorzystywane przez cyberprzestępców w tej kampanii są starymi lukami, ale nadal są dość popularne wśród chińskich grup APT.

Radzimy na bieżąco aktualizować aplikacje i systemy. O metodach phishingu i radzeniu sobie z nim opisaliśmy w naszej kampanii Socjotechnika.