Nowe narzędzie do eksfiltracji danych używane przez gangi ransomware

Exmatter w akcji

Exmatter jest skompilowany jako plik wykonywalny .NET, a jego kod jest mocno zaciemniony. Po uruchomieniu sprawdza argumenty wiersza poleceń pod kątem następujących ciągów: „nownd” i „-nownd”. Jeśli któryś z nich zostanie znaleziony, próbuje ukryć własne okno, wywołując API „ShowWindow” w następujący sposób:

– ShowWindow(Process.GetCurrentProcess().MainWindowHandle, 0);

Aby zidentyfikować pliki do eksfiltracji, Exmatter pobiera nazwy wszystkich dysków logicznych na zainfekowanym komputerze i zbiera wszystkie nazwy ścieżek plików, pomijając wszystko w następujących katalogach:

• C:\Documents and Settings
• C:\PerfLogs
• C:\Program Files\Windows Defender Advanced Threat Protection\Classification\Configuration
• C:\Program Files\WindowsApps
• C:\ProgramData\Application Data
• C:\ProgramData\Desktop
• C:\ProgramData\Documents
• C:\ProgramData\Microsoft
• C:\ProgramData\Packages
• C:\ProgramData\Start Menu
• C:\ProgramData\Templates
• C:\ProgramData\WindowsHolographicDevices
• C:\Recovery
• C:\System Volume Information
• C:\Users\All Users
• C:\Users\Default
• C:\Users\Public\Documents
• C:\Windows

Wykluczone zostają też wszystkie pliki o rozmiarze mniejszym niż 1024 bajty i następujących atrybutach:

• FileAttributes.System
• FileAttributes.Temporary
• FileAttributes.Directory

Oraz eksfiltrowane są pliki tylko z poniższymi rozszerzeniami:

• doc
• .docx
• .xls
• .xlsx
• .pdf
• .msg
• .png
• .ppt
• .pptx
• .sda
• .sdm
• .sdw
• .csv

Exmatter próbuje nawet priorytetyzować pliki pod kątem pola „LastModified”, aby przesyłać najpierw te najbardziej aktualne.

Wszystkie pliki, które spełniają kryteria są przesyłane na zdalny serwer SFTP o następujących parametrach:

• Host: 165.22.84.147
• Port: 22

Kiedy operacja zakończy się, malware zaczyna proces „autodestrukcji” wywołując następujący skrypt w PowerShell:

• WindowStyle Hidden -C $path = '[FILEPATH_OF_THE_EXECUTING_SAMPLE]’;Get-Process | Where-Object {$_.Path -like $path} | Stop-Process -Force;[byte[]]$arr = new-object byte[] 65536;Set-Content -Path $path -Value $arr;Remove-Item -Path $path;

Tak jak widzimy, najpierw próbuje nadpisać siebie innymi danymi, a potem dopiero usunąć, aby trwale zatrzeć ślady.

Nowsze warianty

Znaleziono wiele wariantów Exmattera, co sugeruje, że atakujący udoskonalali narzędzie w celu przyspieszenia eksfiltracji wystarczającej ilości danych o wysokiej wartości w jak najkrótszym czasie.

W drugim wariancie katalog „C:\Program Files\Windows Defender Advanced Threat Protection\Classification\Configuration” został zastąpiony „C:\Program Files\Windows Defender Advanced Threat Protection” na liście wykluczeń oraz typy plików „ .xlsm” i „.zip” zostały dodane do listy rozszerzeń.

Trzecia wersja malware dodała klienta WebDav. Struktura kodu sugeruje, że SFTP pozostaje protokołem pierwszego wyboru, a WebDav działa jako kopia zapasowa. Klient WebDav używa następującego adresu URL: https://157.230.28.192/data/.

Następujące rozszerzenia plików zostały dodane do listy:

• .json
• .config
• .ts
• .cs
• .js
• .aspx
• .pst

A dodatkowo, wszystkie pliki i katalogi zawierające w nazwie poniższe stringi zostały wykluczone:

• OneDriveMedTile
• locale-
• SmallLogo
• VisualElements
• adobe_sign
• Adobe Sign
• core_icons

Podsumowanie

BlackMatter jest powiązany z grupą cyberprzestępczą Coreid, która wcześniej była odpowiedzialna za oprogramowanie ransomware Darkside. Przez ostatnie 12 miesięcy był jednym z najbardziej aktywnych operatorów ukierunkowanego oprogramowania ransomware, a jego narzędzia zostały wykorzystane w wielu ambitnych atakach, w szczególności ataku Darkside w maju 2021 r. na rurociąg Colonial, który zakłócił dostawy paliwa na wschodnie wybrzeże USA.

Coreid działa w modelu RaaS, współpracując z podmiotami stowarzyszonymi w celu przeprowadzania ataków ransomware, a następnie dzieląc się zyskami. Podobnie jak większość podmiotów zajmujących się oprogramowaniem ransomware, ataki powiązane z Coreid kradną dane ofiar, a następnie grupa grozi, że je opublikuje, aby jeszcze bardziej wywrzeć nacisk na ofiary. To, czy Exmatter jest dziełem samego Coreid, czy jednego z jego podmiotów stowarzyszonych, dopiero się okaże, ale jego rozwój sugeruje, że kradzież danych i wyłudzenia nadal są głównym obszarem zainteresowania grupy.