Nowe narzędzie do eksfiltracji danych używane przez gangi ransomware

Co najmniej jeden podmiot powiązany z operacją ransomware BlackMatter zaczął używać w swoich atakach niestandardowego narzędzia do eksfiltracji danych. Narzędzie nazwane zostało „Exmatter” przez zespół łowców zagrożeń firmy Symantec, którzy odkryli i opisali je na początku listopada. Złośliwy program kradnie określone typy plików z kilku wybranych katalogów i przesyła je na serwer kontrolowany przez atakującego przed wdrożeniem samego oprogramowania ransomware w sieci ofiary.

To już trzeci raz, kiedy wydaje się, że niestandardowe narzędzie do eksfiltracji danych zostało opracowane przez operatorów ransomware, po wcześniejszym odkryciu narzędzia Ryuk Stealer i StealBit, które są powiązane z ransomware LockBit.

Autor: Kapitan Hack Data dodania: 9 lis 2021 11:01 5 min czytania

Exmatter w akcji

Exmatter jest skompilowany jako plik wykonywalny .NET, a jego kod jest mocno zaciemniony. Po uruchomieniu sprawdza argumenty wiersza poleceń pod kątem następujących ciągów: „nownd” i „-nownd”. Jeśli któryś z nich zostanie znaleziony, próbuje ukryć własne okno, wywołując API „ShowWindow” w następujący sposób:

– ShowWindow(Process.GetCurrentProcess().MainWindowHandle, 0);

Aby zidentyfikować pliki do eksfiltracji, Exmatter pobiera nazwy wszystkich dysków logicznych na zainfekowanym komputerze i zbiera wszystkie nazwy ścieżek plików, pomijając wszystko w następujących katalogach:

C:\Documents and Settings
C:\PerfLogs
C:\Program Files\Windows Defender Advanced Threat Protection\Classification\Configuration
C:\Program Files\WindowsApps
C:\ProgramData\Application Data
C:\ProgramData\Desktop
C:\ProgramData\Documents
C:\ProgramData\Microsoft
C:\ProgramData\Packages
C:\ProgramData\Start Menu
C:\ProgramData\Templates
C:\ProgramData\WindowsHolographicDevices
C:\Recovery
C:\System Volume Information
C:\Users\All Users
C:\Users\Default
C:\Users\Public\Documents
C:\Windows

Wykluczone zostają też wszystkie pliki o rozmiarze mniejszym niż 1024 bajty i następujących atrybutach:

FileAttributes.System
FileAttributes.Temporary
FileAttributes.Directory

Oraz eksfiltrowane są pliki tylko z poniższymi rozszerzeniami:

doc
.docx
.xls
.xlsx
.pdf
.msg
.png
.ppt
.pptx
.sda
.sdm
.sdw
.csv

Exmatter próbuje nawet priorytetyzować pliki pod kątem pola „LastModified”, aby przesyłać najpierw te najbardziej aktualne.

Wszystkie pliki, które spełniają kryteria są przesyłane na zdalny serwer SFTP o następujących parametrach:

Host: 165.22.84.147
Port: 22

Kiedy operacja zakończy się, malware zaczyna proces „autodestrukcji” wywołując następujący skrypt w PowerShell:

• WindowStyle Hidden -C $path = '[FILEPATH_OF_THE_EXECUTING_SAMPLE]’;Get-Process | Where-Object {$_.Path -like $path} | Stop-Process -Force;[byte[]]$arr = new-object byte[] 65536;Set-Content -Path $path -Value $arr;Remove-Item -Path $path;

Tak jak widzimy, najpierw próbuje nadpisać siebie innymi danymi, a potem dopiero usunąć, aby trwale zatrzeć ślady.

Nowsze warianty

Znaleziono wiele wariantów Exmattera, co sugeruje, że atakujący udoskonalali narzędzie w celu przyspieszenia eksfiltracji wystarczającej ilości danych o wysokiej wartości w jak najkrótszym czasie.

W drugim wariancie katalog „C:\Program Files\Windows Defender Advanced Threat Protection\Classification\Configuration” został zastąpiony „C:\Program Files\Windows Defender Advanced Threat Protection” na liście wykluczeń oraz typy plików „ .xlsm” i „.zip” zostały dodane do listy rozszerzeń.

Trzecia wersja malware dodała klienta WebDav. Struktura kodu sugeruje, że SFTP pozostaje protokołem pierwszego wyboru, a WebDav działa jako kopia zapasowa. Klient WebDav używa następującego adresu URL: https://157.230.28.192/data/.

Następujące rozszerzenia plików zostały dodane do listy:

.json
.config
.ts
.cs
.js
.aspx
.pst

A dodatkowo, wszystkie pliki i katalogi zawierające w nazwie poniższe stringi zostały wykluczone:

OneDriveMedTile
locale-
SmallLogo
VisualElements
adobe_sign
Adobe Sign
core_icons

Podsumowanie

BlackMatter jest powiązany z grupą cyberprzestępczą Coreid, która wcześniej była odpowiedzialna za oprogramowanie ransomware Darkside. Przez ostatnie 12 miesięcy był jednym z najbardziej aktywnych operatorów ukierunkowanego oprogramowania ransomware, a jego narzędzia zostały wykorzystane w wielu ambitnych atakach, w szczególności ataku Darkside w maju 2021 r. na rurociąg Colonial, który zakłócił dostawy paliwa na wschodnie wybrzeże USA.

Coreid działa w modelu RaaS, współpracując z podmiotami stowarzyszonymi w celu przeprowadzania ataków ransomware, a następnie dzieląc się zyskami. Podobnie jak większość podmiotów zajmujących się oprogramowaniem ransomware, ataki powiązane z Coreid kradną dane ofiar, a następnie grupa grozi, że je opublikuje, aby jeszcze bardziej wywrzeć nacisk na ofiary. To, czy Exmatter jest dziełem samego Coreid, czy jednego z jego podmiotów stowarzyszonych, dopiero się okaże, ale jego rozwój sugeruje, że kradzież danych i wyłudzenia nadal są głównym obszarem zainteresowania grupy.