Neste artigo, vamos resumir as principais descobertas publicadas na íntegra em nosso white paper em Inglês “Quasar, Sobaken and Vermin: A deeper look into an ongoing espionage campaign”.
Os cibercriminosos por trás da campanha estão sendo monitorados pela ESET desde meados de 2017, embora o primeiro relatório público sobre a sua atividade tenha sido produzido em janeiro de 2018. De acordo com a nossa análise, os cibercriminosos continuam realizando melhorias em suas campanhas através do desenvolvimento de novos versões de suas ferramentas de espionagem.
Segundo a telemetria da ESET, os ataques foram direcionados a instituições do governo da Ucrânia e até agora deixaram pelo menos algumas centenas de vítimas em diferentes organizações. Para realizar os ataques, eles usaram ferramentas sigilosas de acesso remoto (RAT) para roubar documentação sensível dos computadores das vítimas.
Nesta campanha detectamos três variantes diferentes do malware .NET: RAT Quasar, RAT Sobaken, e um RAT personalizado denominado Vermin. As três variantes, que foram usadas de forma ativa e simultânea, compartilham parte da infraestrutura e se conectam ao mesmo servidor C&C.
O Quasar é um RAT de código aberto que está disponível gratuitamente no GitHub. Especialistas da ESET conseguiram rastrear campanhas desses atores até outubro de 2015 usando os binários do RAT Quasar.
O Sobaken é uma versão do RAT Quasar fortemente modificado. Neste sentido, algumas funcionalidades foram removidas para tornar o executável menor e vários truques de evasão foram adicionados.
O Vermin é um backdoor feito sob medida. Sua primeira aparição foi em meados de 2016 e, no momento da publicação deste artigo, continua sendo usado. Assim como o Quasar e o Sobaken, está escrito em .NET e, para evitar a detecção, o código da ameaça está protegido usando uma das duas ferramentas para acessar o código: NET Reactor ou a ferramenta de protecção de código aberto ConfuserEX.
Vermin é um backdoor muito completo que possui vários componentes opcionais. A última versão conhecida dessa ameaça suporta 24 comandos implementados na payload principal e vários comandos adicionais implementados através de componentes opcionais, incluindo gravação de áudio, keylogging e roubo de senhas.
As campanhas analisadas foram baseados em Engenharia Social, mas também usaram alguns truques adicionais na tentativa de enganar vítimas para baixarem e executarem o malware que vem incluído como um anexo. Alguns desses truques eram: esconder a extensão real dos anexos e torná-las semelhantes a um PDF para disfarçar anexos de e-mails como arquivos RAR auto-extraíveis, e a combinação de um documento do Word especialmente projetado com um exploit CVE-2017-0199.
As três variantes do malware são instaladas da mesma forma: um arquivo é dropeado com o payload (com o malware Vermin, Quasar ou Sobaken) dentro da pasta % APPDATA%, e por sua vez para uma subpasta com o nome de uma empresa legítimo (geralmente Adobe, Intel ou Microsoft). Em seguida, a ameaça cria uma tarefa programada que executa o payload a cada 10 minutos com o objetivo de garantir sua persistência.
Para garantir que o malware seja executado em máquinas que fazem parte de alvos de ataque e evitar sistemas de análise automatizados e sandboxes, os cibercriminosos implementaram várias medidas. Por isso, o malware não atua em máquinas onde não há teclados configurados em russo ou ucraniano, ou mesmo se o endereço IP do sistema de destino estiver fora desses dois países ou está inscrito para um dos vários fornecedores ou prestadores de antimalware selecionados ou fornecedores de armazenamento em nuvem. O malware também evita a execução em computadores com nomes de usuários típicos criados por sistemas automatizados de verificação de malware. Para determinar se está contra um sistema de análise automatizada, a ameaça tenta chegar ao nome/URL de um site criado de forma aleatória para confirmar se a conexão com a URL falha, como se supõe que faria em um sistema real automatizado.
Esses cibercriminosos não receberam muita atenção da opinião pública, assim como outros, cujos ataques foram direcionados a organizações reconhecidas na Ucrânia. No entanto, eles mostraram que, com armadilhas de Engenharia Social, os ataques de ciberespionagem podem prosperar mesmo sem o uso de malwares sofisticados. Isso destaca a importância de capacitar as equipes de trabalho na área de segurança cibernética, o que acaba sendo ainda mais importante do que ter uma solução de segurança de qualidade.
Os nomes de detecção da ESET e outros indicadores de comprometimento com a campanha mencionada podem ser encontrados no white paper (em inglês): Quasar, Sobaken and Vermin: A deeper look into an ongoing espionage campaign.