ESET-Forscher haben eine neue Malware-Kampagne entdeckt, bei der gestohlene digitale Zertifikate zum Einsatz kommen.

Wir spürten die Malware auf, als unsere Systeme mehrere Dateien als verdächtig einstuften. Interessanterweise trugen die markierten Dateien valide digitale Signaturen durch Code Signing-Zertifikate von der D-Link Corporation. Das gleiche Zertifikat wurde dazu benutzt, nicht schädliche D-Link Software zu signieren. Wir glaubten also, dass das Zertifikat gestohlen wurde.

Bald bestätigte sich die schädliche Natur der Dateien. Wir setzten D-Link darüber in Kenntnis, worauf das Unternehmen seine eigenen Untersuchungen begann.
Seit dem 3. Juli 2018 wird das kompromittierte digitale Zertifikat von D-Link zurückgewiesen.

Das D-Link Code Signing-Zertifikat wurde verwendet, um Malware zu signieren.

Abbildung 1: Das D-Link Code Signing-Zertifikat wurde verwendet, um Malware zu signieren.

Die Malware

Unsere Analysen ergaben zwei unterschiedliche Malware-Familien, die sich das gestohlene Zertifikat zu Nutze machten. Einerseits handelt es sich hierbei um die PLEAD Malware – eine ferngesteuerte Backdoor – und um eine Komponente zum Stehlen von Passwörtern. Erst vor gut einem Monat veröffentlichte das Japan Computer Emergency Response Team (JPCERT) eine tiefergehende Analyse der PLEAD Backdoor. Micro Trend zu Folge wird die Hintertür von der Cyberspionage-Gruppe BlackTech eingesetzt.

Das Changing Information Technology Inc. Code Signing-Zertifikat wurde verwendet, um Malware zu signieren.

Abbildung 2: Das Changing Information Technology Inc. Code Signing-Zertifikat wurde verwendet, um Malware zu signieren.

Neben den PLEAD Samples, welche mit D-Link Zertifikaten signiert waren, haben ESET-Forscher auch Samples identifiziert, die ein Zertifikat eines taiwanesischen Sicherheitsunternehmens Changing Information Technology Inc. missbrauchten.

Obwohl Changing Information Technology Inc. das Zertifikat seit dem 4. Juli zurückweist, benutzt es die BlackTech-Gruppe immernoch, um ihre schädlichen Tools zu signieren.

Die Fähigkeiten, mehrere taiwanesische Technologiekonzerne zu kompromittieren, um ihr Code Signing-Zertifikate für zukünftige Attacken zu stehlen, zeigen, wie gut sich die Gruppe auskennt und wie fokussiert sie auf die Region Ostasien sind.

Die signierten PLEAD Malware-Samples waren sehr mit unbrauchbaren (Junk-)Code übersät. Allerdings verfolgen sie alle denselben Zweck. Von einem Remote Server oder vom lokalen Speicher aus öffnet der Schadcode ein kleines verschlüsseltes BLOB. Dieses BLOB enthält einen verschlüsselten Shellcode, der das abschließende PLEAD-Backdoor-Modul herunterlädt.

Verschleierter Code der PLEAD Malware

Abbildung 3: Verschleierter Code der PLEAD Malware

Das Passwort-Stealer-Tool wird verwendet, um gespeicherte Passwörter von folgenden Anwendungen zu sammeln:

  • Google Chrome
  • Microsoft Internet Explorer
  • Microsoft Outlook
  • Mozilla Firefox

Warum digitale Zertifikate stehlen?

Das Zweckentfremden von digitalen Zertifikaten ist ein Weg vieler Cyberkrimineller ihre schädlichen Absichten zu verschleiern. Ein gestohlenes Zertifikat kann Malware als valide Software klassifizieren. Damit besteht die größere Chance, dass sich die Malware an Sicherheitsmaßnahmen ohne größere Aufmerksamkeit vorbeischummelt.

Die möglicherweise bekannteste Malware, die sich für den Diebstahl mehrerer digitaler Zertifikate verantwortlich machen muss, ist der Stuxnet Wurm. Die 2010 entdeckte Malware ist für eine der ersten Cyberattacken auf kritische Infrastrukturen bekannt. Stuxnet benutzte gestohlene RealTek und JMicron Zertifikate – zwei sehr bekannte Sicherheitsunternehmen, die auch aus Taiwan stammen.

Unsere aktuellen Entdeckungen beweisen aber, dass die Methode mit den gestohlenen Zertifikaten nicht nur bei hochkarätigen Zielen (wie kritischen Infrastrukturen) zum Einsatz kommt.

IoCs

ESET detection names
Win32/PSW.Agent.OES trojan
Win32/Plead.L trojan
Win32/Plead.S trojan
Win32/Plead.T trojan
Win32/Plead.U trojan
Win32/Plead.V trojan
Win32/Plead.X trojan
Win32/Plead.Y trojan
Win32/Plead.Z trojan

Unsigned samples (SHA-1)
80AE7B26AC04C93AD693A2D816E8742B906CC0E3
62A693F5E4F92CCB5A2821239EFBE5BD792A46CD
B01D8501F1EEAF423AA1C14FCC816FAB81AC8ED8
11A5D1A965A3E1391E840B11705FFC02759618F8
239786038B9619F9C22401B110CF0AF433E0CEAD
Signed samples (SHA-1)
1DB4650A89BC7C810953160C6E41A36547E8CF0B
CA160884AE90CFE6BEC5722FAC5B908BF77D9EEF
9C4F8358462FAFD83DF51459DBE4CD8E5E7F2039
13D064741B801E421E3B53BC5DABFA7031C98DD9

C&C servers
amazon.panasocin[.]com
office.panasocin[.]com
okinawas.ssl443[.]org

Code signing certificates serial numbers
D-Link Corporation: 13:03:03:e4:57:0c:27:29:09:e2:65:dd:b8:59:de:ef
Changing Information Technology Inc: 73:65:ed:e7:f8:fb:b1:47:67:02:d2:93:08:39:6f:51
1e:50:cc:3d:d3:9b:4a:cc:5e:83:98:cc:d0:dd:53:ea