ESET-Forscher haben eine neue Malware-Kampagne entdeckt, bei der gestohlene digitale Zertifikate zum Einsatz kommen.
Wir spürten die Malware auf, als unsere Systeme mehrere Dateien als verdächtig einstuften. Interessanterweise trugen die markierten Dateien valide digitale Signaturen durch Code Signing-Zertifikate von der D-Link Corporation. Das gleiche Zertifikat wurde dazu benutzt, nicht schädliche D-Link Software zu signieren. Wir glaubten also, dass das Zertifikat gestohlen wurde.
Bald bestätigte sich die schädliche Natur der Dateien. Wir setzten D-Link darüber in Kenntnis, worauf das Unternehmen seine eigenen Untersuchungen begann.
Seit dem 3. Juli 2018 wird das kompromittierte digitale Zertifikat von D-Link zurückgewiesen.
Die Malware
Unsere Analysen ergaben zwei unterschiedliche Malware-Familien, die sich das gestohlene Zertifikat zu Nutze machten. Einerseits handelt es sich hierbei um die PLEAD Malware – eine ferngesteuerte Backdoor – und um eine Komponente zum Stehlen von Passwörtern. Erst vor gut einem Monat veröffentlichte das Japan Computer Emergency Response Team (JPCERT) eine tiefergehende Analyse der PLEAD Backdoor. Micro Trend zu Folge wird die Hintertür von der Cyberspionage-Gruppe BlackTech eingesetzt.
Neben den PLEAD Samples, welche mit D-Link Zertifikaten signiert waren, haben ESET-Forscher auch Samples identifiziert, die ein Zertifikat eines taiwanesischen Sicherheitsunternehmens Changing Information Technology Inc. missbrauchten.
Obwohl Changing Information Technology Inc. das Zertifikat seit dem 4. Juli zurückweist, benutzt es die BlackTech-Gruppe immernoch, um ihre schädlichen Tools zu signieren.
Die Fähigkeiten, mehrere taiwanesische Technologiekonzerne zu kompromittieren, um ihr Code Signing-Zertifikate für zukünftige Attacken zu stehlen, zeigen, wie gut sich die Gruppe auskennt und wie fokussiert sie auf die Region Ostasien sind.
Die signierten PLEAD Malware-Samples waren sehr mit unbrauchbaren (Junk-)Code übersät. Allerdings verfolgen sie alle denselben Zweck. Von einem Remote Server oder vom lokalen Speicher aus öffnet der Schadcode ein kleines verschlüsseltes BLOB. Dieses BLOB enthält einen verschlüsselten Shellcode, der das abschließende PLEAD-Backdoor-Modul herunterlädt.
Das Passwort-Stealer-Tool wird verwendet, um gespeicherte Passwörter von folgenden Anwendungen zu sammeln:
- Google Chrome
- Microsoft Internet Explorer
- Microsoft Outlook
- Mozilla Firefox
Warum digitale Zertifikate stehlen?
Das Zweckentfremden von digitalen Zertifikaten ist ein Weg vieler Cyberkrimineller ihre schädlichen Absichten zu verschleiern. Ein gestohlenes Zertifikat kann Malware als valide Software klassifizieren. Damit besteht die größere Chance, dass sich die Malware an Sicherheitsmaßnahmen ohne größere Aufmerksamkeit vorbeischummelt.
Die möglicherweise bekannteste Malware, die sich für den Diebstahl mehrerer digitaler Zertifikate verantwortlich machen muss, ist der Stuxnet Wurm. Die 2010 entdeckte Malware ist für eine der ersten Cyberattacken auf kritische Infrastrukturen bekannt. Stuxnet benutzte gestohlene RealTek und JMicron Zertifikate – zwei sehr bekannte Sicherheitsunternehmen, die auch aus Taiwan stammen.
Unsere aktuellen Entdeckungen beweisen aber, dass die Methode mit den gestohlenen Zertifikaten nicht nur bei hochkarätigen Zielen (wie kritischen Infrastrukturen) zum Einsatz kommt.
IoCs
ESET detection names |
---|
Win32/PSW.Agent.OES trojan |
Win32/Plead.L trojan |
Win32/Plead.S trojan |
Win32/Plead.T trojan |
Win32/Plead.U trojan |
Win32/Plead.V trojan |
Win32/Plead.X trojan |
Win32/Plead.Y trojan |
Win32/Plead.Z trojan |
Unsigned samples (SHA-1) |
---|
80AE7B26AC04C93AD693A2D816E8742B906CC0E3 |
62A693F5E4F92CCB5A2821239EFBE5BD792A46CD |
B01D8501F1EEAF423AA1C14FCC816FAB81AC8ED8 |
11A5D1A965A3E1391E840B11705FFC02759618F8 |
239786038B9619F9C22401B110CF0AF433E0CEAD |
Signed samples (SHA-1) |
1DB4650A89BC7C810953160C6E41A36547E8CF0B |
CA160884AE90CFE6BEC5722FAC5B908BF77D9EEF |
9C4F8358462FAFD83DF51459DBE4CD8E5E7F2039 |
13D064741B801E421E3B53BC5DABFA7031C98DD9 |
C&C servers |
---|
amazon.panasocin[.]com |
office.panasocin[.]com |
okinawas.ssl443[.]org |
Code signing certificates serial numbers | |
---|---|
D-Link Corporation: | 13:03:03:e4:57:0c:27:29:09:e2:65:dd:b8:59:de:ef |
Changing Information Technology Inc: | 73:65:ed:e7:f8:fb:b1:47:67:02:d2:93:08:39:6f:51 |
1e:50:cc:3d:d3:9b:4a:cc:5e:83:98:cc:d0:dd:53:ea |