O APT28 está por trás dos ataques STIFF#BIZON atribuídos ao APT37 ligado à Coreia do Norte?

O grupo APT37 ligado à Coreia do Norte tem como alvo organizações de alto valor na República Tcheca, Polônia e outros países.

Pesquisadores da equipe Securonix Threat Research (STR) descobriram uma nova campanha de ataque, rastreada como STIFF#BIZON, visando organizações de alto valor em vários países, incluindo República Tcheca e Polônia. Os pesquisadores atribuem esta campanha ao grupo APT37 ligado à Coreia do Norte , também conhecido como Ricochet Chollima.

Os invasores empregaram o Konni RAT (trojan de acesso remoto), que foi detectado pela primeira vez pelos pesquisadores do Cisco Talos em 2017 e não foi detectado desde 2014 enquanto era empregado em ataques altamente direcionados. O RAT foi capaz de evitar a detecção devido à evolução contínua, é capaz de executar código arbitrário nos sistemas de destino e roubar dados.

O Konni RAT foi atribuído a agentes de ameaças ligados à Coreia do Norte rastreados como  Thallium  e  APT37 .

A cadeia de ataque começa com mensagens de phishing que tentam induzir as vítimas a abrir um anexo malicioso.

Ataques de phishing APT37

O anexo usado nesta campanha é um arquivo contendo um documento do Word (missile.docx) e um arquivo de atalho do Windows (_weapons.doc.lnk.lnk).

Uma vez aberto o arquivo LNK, a cadeia de infecção é iniciada.

“A execução do código começa incorporando pequenos trechos de código no arquivo de atalho que será executado e executado junto com o binário pretendido quando o usuário clicar duas vezes nele.” lê a análise publicada pelos especialistas. “Este código executa e executa o texto codificado em Base64 anexado ao final do arquivo míssil.docx.”

A carga útil Base64 é executada junto com um script do PowerShell que contata o C2 para baixar e executar os arquivos “weapons.doc” e “wp.vbs”.

O armas.doc é um documento chamariz, enquanto o wp.vbs é executado silenciosamente em segundo plano e cria uma tarefa agendada no host chamada “Office Update” que executa um script do PowerShell codificado em Base64.

Neste ponto, as comunicações C2 são novamente estabelecidas, permitindo que os invasores acessem o sistema.

Uma vez que o Konni RAT é carregado no sistema infectado, os agentes de ameaças podem impulsionar os seguintes recursos usando módulos específicos:

  • Capture.net.exe – Capture capturas de tela usando a API Win32 GDI e carregue os resultados compactados com gzip para o servidor C2.
  • chkey.net.exe – Extraia as chaves de estado armazenadas no arquivo Local State, criptografadas usando DPAPI. Uma chave de estado permite que os invasores descriptografem a descriptografia do banco de dados de cookies, útil no desvio de MFA.
  • pull.net.exe – Extraia credenciais salvas dos navegadores da vítima.
  • shell.net.exe – Estabeleça um shell interativo remoto que possa executar comandos a cada 10 segundos.

Para manter ainda mais a persistência, os agentes de ameaças usam uma versão modificada do malware Konni, eles podem baixar um arquivo .cab contendo vários arquivos relacionados ao malware (bat, dll, dat, ini, dll).

Os especialistas também discutem a possibilidade de operações de bandeira falsa, onde o grupo APT28 alinhado à Rússia pode estar disfarçado de APT37.

“Além disso, parece haver uma correlação direta entre endereços IP, provedor de hospedagem e nomes de host entre este ataque e dados históricos que vimos anteriormente do FancyBear/APT28 [3] . No final, o que torna esse caso específico interessante é o uso do malware Konni em conjunto com semelhanças de tradecraft com o APT28.” conclui o relatório.