Co najmniej jeden podmiot powiązany z operacją ransomware BlackMatter zaczął używać w swoich atakach niestandardowego narzędzia do eksfiltracji danych. Narzędzie nazwane zostało „Exmatter” przez zespół łowców zagrożeń firmy Symantec, którzy odkryli i opisali je na początku listopada. Złośliwy program kradnie określone typy plików z kilku wybranych katalogów i przesyła je na serwer kontrolowany przez atakującego przed wdrożeniem samego oprogramowania ransomware w sieci ofiary.

To już trzeci raz, kiedy wydaje się, że niestandardowe narzędzie do eksfiltracji danych zostało opracowane przez operatorów ransomware, po wcześniejszym odkryciu narzędzia Ryuk Stealer i StealBit, które są powiązane z ransomware LockBit.


Exmatter w akcji

Exmatter jest skompilowany jako plik wykonywalny .NET, a jego kod jest mocno zaciemniony. Po uruchomieniu sprawdza argumenty wiersza poleceń pod kątem następujących ciągów: „nownd” i „-nownd”. Jeśli któryś z nich zostanie znaleziony, próbuje ukryć własne okno, wywołując API „ShowWindow” w następujący sposób:

ShowWindow(Process.GetCurrentProcess().MainWindowHandle, 0);

Aby zidentyfikować pliki do eksfiltracji, Exmatter pobiera nazwy wszystkich dysków logicznych na zainfekowanym komputerze i zbiera wszystkie nazwy ścieżek plików, pomijając wszystko w następujących katalogach:

  • C:\Documents and Settings
  • C:\PerfLogs
  • C:\Program Files\Windows Defender Advanced Threat Protection\Classification\Configuration
  • C:\Program Files\WindowsApps
  • C:\ProgramData\Application Data
  • C:\ProgramData\Desktop
  • C:\ProgramData\Documents
  • C:\ProgramData\Microsoft
  • C:\ProgramData\Packages
  • C:\ProgramData\Start Menu
  • C:\ProgramData\Templates
  • C:\ProgramData\WindowsHolographicDevices
  • C:\Recovery
  • C:\System Volume Information
  • C:\Users\All Users
  • C:\Users\Default
  • C:\Users\Public\Documents
  • C:\Windows

Wykluczone zostają też wszystkie pliki o rozmiarze mniejszym niż 1024 bajty i następujących atrybutach:

  • FileAttributes.System
  • FileAttributes.Temporary
  • FileAttributes.Directory

Oraz eksfiltrowane są pliki tylko z poniższymi rozszerzeniami:

  • doc
  • .docx
  • .xls
  • .xlsx
  • .pdf
  • .msg
  • .png
  • .ppt
  • .pptx
  • .sda
  • .sdm
  • .sdw
  • .csv

Exmatter próbuje nawet priorytetyzować pliki pod kątem pola „LastModified”, aby przesyłać najpierw te najbardziej aktualne.

Wszystkie pliki, które spełniają kryteria są przesyłane na zdalny serwer SFTP o następujących parametrach:

  • Host: 165.22.84.147
  • Port: 22

Kiedy operacja zakończy się, malware zaczyna proces „autodestrukcji” wywołując następujący skrypt w PowerShell:

WindowStyle Hidden -C $path = ‘[FILEPATH_OF_THE_EXECUTING_SAMPLE]’;Get-Process | Where-Object {$_.Path -like $path} | Stop-Process -Force;[byte[]]$arr = new-object byte[] 65536;Set-Content -Path $path -Value $arr;Remove-Item -Path $path;

Tak jak widzimy, najpierw próbuje nadpisać siebie innymi danymi, a potem dopiero usunąć, aby trwale zatrzeć ślady.


Nowsze warianty

Znaleziono wiele wariantów Exmattera, co sugeruje, że atakujący udoskonalali narzędzie w celu przyspieszenia eksfiltracji wystarczającej ilości danych o wysokiej wartości w jak najkrótszym czasie.

W drugim wariancie katalog „C:\Program Files\Windows Defender Advanced Threat Protection\Classification\Configuration” został zastąpiony „C:\Program Files\Windows Defender Advanced Threat Protection” na liście wykluczeń oraz typy plików „ .xlsm” i „.zip” zostały dodane do listy rozszerzeń.

Trzecia wersja malware dodała klienta WebDav. Struktura kodu sugeruje, że SFTP pozostaje protokołem pierwszego wyboru, a WebDav działa jako kopia zapasowa. Klient WebDav używa następującego adresu URL: https://157.230.28.192/data/.

Następujące rozszerzenia plików zostały dodane do listy:

  • .json
  • .config
  • .ts
  • .cs
  • .js
  • .aspx
  • .pst

A dodatkowo, wszystkie pliki i katalogi zawierające w nazwie poniższe stringi zostały wykluczone:

  • OneDriveMedTile
  • locale-
  • SmallLogo
  • VisualElements
  • adobe_sign
  • Adobe Sign
  • core_icons

Podsumowanie

BlackMatter jest powiązany z grupą cyberprzestępczą Coreid, która wcześniej była odpowiedzialna za oprogramowanie ransomware Darkside. Przez ostatnie 12 miesięcy był jednym z najbardziej aktywnych operatorów ukierunkowanego oprogramowania ransomware, a jego narzędzia zostały wykorzystane w wielu ambitnych atakach, w szczególności ataku Darkside w maju 2021 r. na rurociąg Colonial, który zakłócił dostawy paliwa na wschodnie wybrzeże USA.

Coreid działa w modelu RaaS, współpracując z podmiotami stowarzyszonymi w celu przeprowadzania ataków ransomware, a następnie dzieląc się zyskami. Podobnie jak większość podmiotów zajmujących się oprogramowaniem ransomware, ataki powiązane z Coreid kradną dane ofiar, a następnie grupa grozi, że je opublikuje, aby jeszcze bardziej wywrzeć nacisk na ofiary. To, czy Exmatter jest dziełem samego Coreid, czy jednego z jego podmiotów stowarzyszonych, dopiero się okaże, ale jego rozwój sugeruje, że kradzież danych i wyłudzenia nadal są głównym obszarem zainteresowania grupy.

Podziel się z innymi tym artykułem!