O grupo Buhtrap é bem conhecido por suas campanhas direcionadas a instituições financeiras e empresas na Rússia. No entanto, desde o final de 2015, assistimos a uma mudança interessante em seus alvos tradicionais. Ao ser um grupo cibercriminoso que comete cibercrimes com o objetivo de obter ganhos financeiros, seu kit de ferramentas foi ampliado com o malware usado para realizar tarefas de espionagem na Europa Oriental e na Ásia Central.

Ao longo do nosso acompanhamento do Buhtrap, vimos este grupo implantar seu backdoor principal, bem como outras ferramentas, contra várias vítimas; mas no mês passado foi a primeira vez que vimos o grupo Buhtrap usar um exploit 0-day como parte de uma campanha. Nesse caso, observamos o Buhtrap usando um exploit de escalonamento de privilégio local, CVE-2019-1132, contra uma de suas vítimas.

O exploit se aproveita de uma vulnerabilidade de escalonamento de privilégio local no Microsoft Windows, especificamente um desreferenciamento de ponteiro NULL (nulo) no componente win32k.sys. Depois que o exploit foi descoberto e analisado, informamos o caso ao Microsoft Security Response Center, que rapidamente corrigiu a vulnerabilidade e lançou um patch.

Este post está enfocado em explicar a evolução do Buhtrap e a adoção de uma mentalidade de espionagem.

História

A linha do tempo da Figura 1 destaca alguns dos desenvolvimentos mais importantes na atividade do Buhtrap.

Figura 1. Principais eventos na linha do tempo do Buhtrap.

É sempre difícil atribuir uma campanha a um determinado agente quando o código-fonte de suas ferramentas está disponível gratuitamente na web. No entanto, como as mudanças nos alvos do grupo ocorreram antes do vazamento do código-fonte, acreditamos, sem medo de erro, que as mesmas pessoas que estão por trás dos ataques do malware do Buhtrap contra empresas e bancos também estão envolvidas com as campanhas contra instituições governamentais.

Embora tenham sido adicionadas novas ferramentas ao seu arsenal e tenham sido realizadas atualizações às mais antigas, as táticas, técnicas e procedimentos (TTPs) usados ​​nas diferentes campanhas da Buhtrap não mudaram drasticamente em todos esses anos. Eles ainda fazem uso extensivo dos instaladores do NSIS como droppers e estes são entregues principalmente através de documentos maliciosos. Além disso, várias de suas ferramentas são assinadas com certificados de assinatura de código válidos e abusam de um aplicativo legítimo conhecido para carregar lateralmente seus payloads maliciosas.

Os documentos usados ​​para entregar os payloads maliciosos muitas vezes vêm com documentos benignos como "iscas" para evitar levantar suspeitas caso a vítima os abra. A análise desses documentos atraentes fornece pistas sobre quem são os alvos. Nos casos em que o grupo Buhtrap direcionava ataques a empresas, os documentos usados ​​como isca eram tipicamente contratos ou faturas. A Figura 2 é um exemplo típico de uma fatura genérica que o grupo usou em uma campanha em 2014.

Figura 2. Documento isca usado em campanhas contra empresas russas.

Quando o foco do grupo mudou para os bancos, os documentos usados ​​como isca estavam relacionados aos regulamentos ou avisos do sistema bancário da FinCERT, uma organização criada pelo governo russo para fornecer ajuda e orientação a suas instituições financeiras (como pode ser visto no exemplo da Figura 3).

Figura 3. Documento isca usado em campanhas contra instituições financeiras russas.

Portanto, quando vimos pela primeira vez documentos “isca” relacionados com as operações do governo, imediatamente começamos a acompanhar essas novas campanhas. Umas das principais amostras maliciosas que apresentava tal mudança foi observada em dezembro de 2015. A ameaça baixava um instalador do NSIS cuja função era instalar o backdoor principal do Buhtrap, mas o documento usado como isca (veja a Figura 4) era intrigante.

Figura 4. Documento isca usado em campanhas contra organizações governamentais.

O endereço de internet no texto é revelador. É muito semelhante ao site do Serviço de Migração do Estado da Ucrânia, dmsu.gov.ua. O texto, em ucraniano, pede aos funcionários para que forneçam suas informações de contato, especialmente seus endereços de e-mail. Ele também tenta convencê-los a clicar no domínio malicioso incluído no texto.

Este foi o primeiro de muitas amostras maliciosas usadas ​​pelo grupo Buhtrap para dirigir-se as instituições governamentais que encontramos. Outro documento isca mais recente, que acreditamos que também foi distribuído pelo grupo Buhtrap, pode ser visto na Figura 5. É um documento que atrai um grupo muito diferente de pessoas, mas ainda relacionado ao governo.

Figura 5. Documentos isca usados em campanhas contra organizações governamentais.

Análise de campanhas direcionadas que aproveitam uma vulnerabilidade 0-day

As ferramentas usadas nas campanhas de espionagem foram muito semelhantes às usadas contra empresas e instituições financeiras. Uma das primeiras amostras maliciosas que analisamos e que foram usadas em ataques direcionados a organizações governamentais específicas foi uma amostra com hash SHA-1 2F2640720CCE2F83CA2F0633330F13651384DD6A. Este instalador do NSIS faz o download do pacote regular que contém o backdoor do Buhtrap e exibe o documento isca mostrado na Figura 4.

Desde então, vimos várias campanhas diferentes contra organizações governamentais provenientes desse grupo, nas quais usavam rotineiramente vulnerabilidades para elevar seus privilégios a fim de instalar seu malware. Portanto, nós os vimos explorando vulnerabilidades antigas, como a CVE-2015-2387. No entanto, elas sempre foram vulnerabilidades conhecidas. A vulnerabilidade 0-day que o grupo usou recentemente é parte do mesmo padrão: poder executar o malware com os privilégios mais altos.

Ao longo dos anos, pacotes com diferentes funcionalidades apareceram. Recentemente, encontramos dois novos pacotes que valem a pena descrever, já que se desviam do conjunto de ferramentas típico.

Backdoor legado com uma pequena mudança – E0F3557EA9F2BA4F7074CAA0D0CF3B187C4472FF

Este documento contém uma macro maliciosa que, quando habilitada, droppea um instalador do NSIS cuja tarefa é preparar a instalação do backdoor principal. No entanto, esse instalador do NSIS é muito diferente das versões anteriores usadas por esse grupo. É muito mais simples e só é usado para estabelecer persistência e lançar dois módulos maliciosos embutidos nele.

O primeiro módulo, chamado pelo autor de "grabber", é um ladrão de senhas que funciona de forma independente (standalone). Ele tenta coletar senhas de clientes de e-mail, navegadores, etc., e as envia para um servidor C&C. Este módulo, que também foi detectado como parte da campanha que usou a vulnerabilidade 0-day, usa as APIs padrão do Windows para se comunicar com o servidor C&C.

Figura 6. Recursos do módulo de rede do grabber.

O segundo módulo é algo esperado dos operadores grupo Buhtrap: um instalador NSIS que contém um aplicativo legítimo que será usado de maneira inadequada para carregar de forma lateral o backdoor principal do Buhtrap. Neste caso, o aplicativo legítimo que é abusado é o AVZ, um verificador antivírus gratuito.

Meterpreter e DNS tunneling- C17C335B7DDB5C8979444EC36AB668AE8E4E0A72

Este documento contém uma macro maliciosa que, quando ativada, remove um instalador do NSIS cuja tarefa é preparar a instalação do backdoor principal. Parte do processo de instalação é configurar regras de firewall para permitir que o componente malicioso se comunique com o servidor C&C. A seguir, um exemplo de um comando que o instalador do NSIS usa para configurar essas regras:

cmd.exe /c netsh advfirewall firewall add rule name=\"Realtek HD Audio Update Utility\" dir=in action=allow program=\"<path>\RtlUpd.exe\" enable=yes profile=any

No entanto, o payload final é algo que nunca vimos associado ao grupo Buhtrap. Criptografados em seu corpo, existem dois payloads. O primeiro é um pequeno downloader de shellcode, enquanto o segundo é o Meterpreter do Metasploit. O Meterpreter é um shell inverso que fornece aos seus operadores acesso total ao sistema comprometido.

O shell reverso do Meterpreter usa o DNS tunneling para se comunicar com seu servidor C&C usando um módulo similar ao descrito aqui. Detectar o DNS tunneling pode ser difícil para os defensores, uma vez que todo o tráfego malicioso é realizado através do protocolo DNS, ao contrário do protocolo TCP mais comum. Abaixo está um fragmento da comunicação inicial deste módulo malicioso.

7812.reg0.4621.toor.win10.ipv6-microsoft[.]org
7812.reg0.5173.toor.win10.ipv6-microsoft[.]org
7812.reg0.5204.toor.win10.ipv6-microsoft[.]org
7812.reg0.5267.toor.win10.ipv6-microsoft[.]org
7812.reg0.5314.toor.win10.ipv6-microsoft[.]org
7812.reg0.5361.toor.win10.ipv6-microsoft[.]org
[…]

O nome de domínio do servidor C&C neste exemplo está representando a Microsoft. Na verdade, os atacantes registraram nomes de domínio diferentes para essas campanhas, a maioria deles abusando das marcas registradas da Microsoft de uma forma ou de outra.

Conclusão

Embora não saibamos por que esse grupo mudou seu alvo de uma forma repentina, esse é um bom exemplo das linhas cada vez mais confusas entre grupos de pura espionagem e aqueles que estão envolvidos principalmente em atividades relacionadas ao crime financeiro. Neste caso, não está claro se um ou vários membros deste grupo decidiram mudar o foco e por quais motivos, mas definitivamente é algo que provavelmente veremos cada vez mais daqui para frente.

Indicadores de Comprometimento (IoCs)

Nomes de detecção da ESET

VBA/TrojanDropper.Agent.ABM
VBA/TrojanDropper.Agent.AGK
Win32/Spy.Buhtrap.W
Win32/Spy.Buhtrap.AK
Win32/RiskWare.Meterpreter.G

Amostras de malware

Main packages SHA-1

2F2640720CCE2F83CA2F0633330F13651384DD6A
E0F3557EA9F2BA4F7074CAA0D0CF3B187C4472FF
C17C335B7DDB5C8979444EC36AB668AE8E4E0A72

Grabber SHA-1

9c3434ebdf29e5a4762afb610ea59714d8be2392

Servidores C&C

https://hdfilm-seyret[.]com/help/index.php
https://redmond.corp-microsoft[.]com/help/index.php
dns://win10.ipv6-microsoft[.]org
https://services-glbdns2[.]com/FIGm6uJx0MhjJ2ImOVurJQTs0rRv5Ef2UGoSc
https://secure-telemetry[.]net/wp-login.php

Certificados

Company name Fingerprint
YUVA-TRAVEL 5e662e84b62ca6bdf6d050a1a4f5db6b28fbb7c5
SET&CO LIMITED b25def9ac34f31b84062a8e8626b2f0ef589921f

Técnicas de MITRE ATT&CK

Tactic ID Name Description
Execution T1204 User execution The user must run the executable.
T1106 Execution through API Executes additional malware through CreateProcess.
T1059 Command-Line Interface Some packages provide Meterpreter shell access.
Persistence T1053 Scheduled Task Some of the packages create a scheduled task to be executed periodically.
Defense evasion T1116 Code Signing Some of the samples are signed.
Credential Access T1056 Input Capture Backdoor contains a keylogger.
T1111 Two-Factor Authentication Interception Backdoor actively searches for a connected smart card.
Collection T1115 Clipboard Data Backdoor logs clipboard content.
Exfiltration T1020 Automated Exfiltration Log files are automatically exfiltrated.
T1022 Data Encrypted Data sent to C&C is encrypted.
T1041 Exfiltration Over Command and Control Channel Exfiltrated data is sent to a server.
Command and Control T1043 Commonly Used Port Communicates with a server using HTTPS.
T1071 Standard Application Layer Protocol HTTPS is used.
T1094 Custom Command and Control Protocol Meterpreter is using DNS tunneling to communicate.
T1105 Remote File Copy Backdoor can download and execute file from C&C server.