Co najmniej jeden podmiot powiązany z operacją ransomware BlackMatter zaczął używać w swoich atakach niestandardowego narzędzia do eksfiltracji danych. Narzędzie nazwane zostało „Exmatter” przez zespół łowców zagrożeń firmy Symantec, którzy odkryli i opisali je na początku listopada.
Złośliwy program kradnie określone typy plików z kilku wybranych katalogów i przesyła je na serwer kontrolowany przez atakującego przed wdrożeniem samego oprogramowania ransomware w sieci ofiary.
To już trzeci raz, kiedy wydaje się, że niestandardowe narzędzie do eksfiltracji danych zostało opracowane przez operatorów ransomware, po wcześniejszym odkryciu narzędzia Ryuk Stealer i StealBit, które są powiązane z ransomware LockBit.
Exmatter w akcji
Exmatter jest skompilowany jako plik wykonywalny .NET, a jego kod jest mocno zaciemniony. Po uruchomieniu sprawdza argumenty wiersza poleceń pod kątem następujących ciągów: „nownd” i „-nownd”. Jeśli któryś z nich zostanie znaleziony, próbuje ukryć własne okno, wywołując API „ShowWindow” w następujący sposób:
– ShowWindow(Process.GetCurrentProcess().MainWindowHandle, 0);
Aby zidentyfikować pliki do eksfiltracji, Exmatter pobiera nazwy wszystkich dysków logicznych na zainfekowanym komputerze i zbiera wszystkie nazwy ścieżek plików, pomijając wszystko w następujących katalogach:
- C:\Documents and Settings
- C:\PerfLogs
- C:\Program Files\Windows Defender Advanced Threat Protection\Classification\Configuration
- C:\Program Files\WindowsApps
- C:\ProgramData\Application Data
- C:\ProgramData\Desktop
- C:\ProgramData\Documents
- C:\ProgramData\Microsoft
- C:\ProgramData\Packages
- C:\ProgramData\Start Menu
- C:\ProgramData\Templates
- C:\ProgramData\WindowsHolographicDevices
- C:\Recovery
- C:\System Volume Information
- C:\Users\All Users
- C:\Users\Default
- C:\Users\Public\Documents
- C:\Windows
Wykluczone zostają też wszystkie pliki o rozmiarze mniejszym niż 1024 bajty i następujących atrybutach:
- FileAttributes.System
- FileAttributes.Temporary
- FileAttributes.Directory
Oraz eksfiltrowane są pliki tylko z poniższymi rozszerzeniami:
- doc
- .docx
- .xls
- .xlsx
- .msg
- .png
- .ppt
- .pptx
- .sda
- .sdm
- .sdw
- .csv
Exmatter próbuje nawet priorytetyzować pliki pod kątem pola „LastModified”, aby przesyłać najpierw te najbardziej aktualne.
Wszystkie pliki, które spełniają kryteria są przesyłane na zdalny serwer SFTP o następujących parametrach:
- Host: 165.22.84.147
- Port: 22
Kiedy operacja zakończy się, malware zaczyna proces „autodestrukcji” wywołując następujący skrypt w PowerShell:
• WindowStyle Hidden -C $path = ‘[FILEPATH_OF_THE_EXECUTING_SAMPLE]’;Get-Process | Where-Object {$_.Path -like $path} | Stop-Process -Force;[byte[]]$arr = new-object byte[] 65536;Set-Content -Path $path -Value $arr;Remove-Item -Path $path;
Tak jak widzimy, najpierw próbuje nadpisać siebie innymi danymi, a potem dopiero usunąć, aby trwale zatrzeć ślady.
Nowsze warianty
Znaleziono wiele wariantów Exmattera, co sugeruje, że atakujący udoskonalali narzędzie w celu przyspieszenia eksfiltracji wystarczającej ilości danych o wysokiej wartości w jak najkrótszym czasie.
W drugim wariancie katalog „C:\Program Files\Windows Defender Advanced Threat Protection\Classification\Configuration” został zastąpiony „C:\Program Files\Windows Defender Advanced Threat Protection” na liście wykluczeń oraz typy plików „ .xlsm” i „.zip” zostały dodane do listy rozszerzeń.
Trzecia wersja malware dodała klienta WebDav. Struktura kodu sugeruje, że SFTP pozostaje protokołem pierwszego wyboru, a WebDav działa jako kopia zapasowa. Klient WebDav używa następującego adresu URL: https://157.230.28.192/data/.
Następujące rozszerzenia plików zostały dodane do listy:
- .json
- .config
- .ts
- .cs
- .js
- .aspx
- .pst
A dodatkowo, wszystkie pliki i katalogi zawierające w nazwie poniższe stringi zostały wykluczone:
- OneDriveMedTile
- locale-
- SmallLogo
- VisualElements
- adobe_sign
- Adobe Sign
- core_icons
Podsumowanie
BlackMatter jest powiązany z grupą cyberprzestępczą Coreid, która wcześniej była odpowiedzialna za oprogramowanie ransomware Darkside. Przez ostatnie 12 miesięcy był jednym z najbardziej aktywnych operatorów ukierunkowanego oprogramowania ransomware, a jego narzędzia zostały wykorzystane w wielu ambitnych atakach, w szczególności ataku Darkside w maju 2021 r. na rurociąg Colonial, który zakłócił dostawy paliwa na wschodnie wybrzeże USA.
Coreid działa w modelu RaaS, współpracując z podmiotami stowarzyszonymi w celu przeprowadzania ataków ransomware, a następnie dzieląc się zyskami. Podobnie jak większość podmiotów zajmujących się oprogramowaniem ransomware, ataki powiązane z Coreid kradną dane ofiar, a następnie grupa grozi, że je opublikuje, aby jeszcze bardziej wywrzeć nacisk na ofiary. To, czy Exmatter jest dziełem samego Coreid, czy jednego z jego podmiotów stowarzyszonych, dopiero się okaże, ale jego rozwój sugeruje, że kradzież danych i wyłudzenia nadal są głównym obszarem zainteresowania grupy.