En este artículo, resumiremos los principales hallazgos publicados de forma completa en nuestro white paper en inglés “Quasar, Sobaken and Vermin: A deeper look into an ongoing espionage campaign”.
Los atacantes detrás de la campaña vienen siendo monitoreados por ESET desde mediados de 2017, aunque el primer reporte público sobre su actividad fue en enero de 2018. De acuerdo a nuestros análisis, los cibercriminales continúan realizando mejoras en sus campañas a través del desarrollo de nuevas versiones de sus herramientas para el espionaje.
Según la telemetría de ESET, los ataques han estado dirigidos a instituciones gubernamentales de Ucrania y hasta ahora dejaron un saldo de unos pocos cientos de víctimas en diferentes organizaciones. Para los ataques han utilizado sigilosas herramientas de acceso remoto (RAT) para extraer documentación sensible de las computadoras de las víctimas.
En esta campaña detectamos tres variantes diferentes de malware en .NET: RAT Quasar, RAT Sobaken, y un RAT personalizado denominado Vermin. Las tres variantes, que han estado siendo utilizadas de forma activa y en simultaneo, comparten parte de la infraestructura y conectan al mismo servidor C&C.
Quasar es un RAT de código abierto que está disponible de forma gratuita en GitHub. Desde ESET fuimos capaces de rastrear campañas de estos actores hasta octubre de 2015 utilizando los binarios del RAT Quasar.
Sobaken es una versión del RAT Quasar fuertemente modificada. En este sentido, algunas funcionalidades fueron removidas para hacer que el ejecutable sea más pequeño y varios trucos de evasión fueron agregados.
Vermin es un backdoor hecho a medida. Su primera aparición fue a mediados de 2016 y al momento de escribir este artículo continúa siendo utilizado. Al igual que Quasar y Sobaken, está escrito en .NET; y para dificultar su análisis, el código de la amenaza está protegido utilizando una de dos herramientas para acceder al código: NET Reactor o el protector de código abierto ConfuserEX.
Se trata de un backdoor muy completo que cuenta con múltiples componentes opcionales. La última versión conocida de Vermin soporta 24 comandos implementados en el payload principal, y varios comandos adicionales implementados a través de componentes opcionales; incluyendo grabación de audio, keylogging y robo de contraseñas.
Las campañas analizadas se basaron en ingeniería social, aunque también utilizaron algunos trucos adicionales en su intento de engañar a las víctimas para que descarguen y ejecuten el malware que viene incluido como archivo adjunto. Algunos de estos trucos fueron: esconder la extensión real de los adjuntos y hacer que parezca un PDF; disfrazar los adjuntos en los correos como archivos RAR auto extraíbles, y la combinación de un documento Word especialmente diseñado que porta un exploit CVE-2017-0199.
Las tres variantes del malware son instaladas de la misma manera: se dropea un archivo con el payload (con el malware Vermin, Quasar o Sobaken) dentro de la carpeta %APPDATA%, y a su vez dentro de una subcarpeta con el nombre de una compañía legítima (generalmente Adobe, Intel o Microsoft). Luego, crea una tarea programada que ejecuta el payload cada 10 minutos para asegurar su persistencia.
Para asegurarse que el malware se ejecuta en máquinas que forman parte de los blancos de ataque y evitar sistemas de análisis automatizados y sandboxes, los atacantes implementaron varias medidas. En este sentido, el malware no actúa en máquinas donde no hay configurados teclados en ruso o ucraniano; si la dirección IP del sistema atacado se encuentra fuera de estos dos países o si está suscrita a uno de los varios proveedores antimalware seleccionados o proveedores de almacenamiento en la nube. El malware también evita ejecutarse en computadoras con típicos nombres de usuario creados por sistemas de análisis de malware automatizado. Para determinar si está ante un sistema de análisis automatizado, intenta alcanzar el nombre/URL de un sitio web creado de manera aleatoria para corroborar si la conexión con la URL falla, tal como se supone que haría en un sistema automatizado real.
Estos atacantes no han recibido mucha atención por parte de la opinión pública como sí tuvieron otros cuyos ataques estaban dirigidos a reconocidas organizaciones en Ucrania. Sin embargo, han demostrado que con trampas de ingeniería social los ataques de ciberespionaje pueden prosperar incluso sin el uso de un malware muy sofisticado. Esto pone de relieve la importancia de capacitar a los equipos de trabajo en el terreno de la ciberseguridad, lo cual termina siendo inclusive más importante que contar con una solución de seguridad de calidad.
Los nombres de detección de ESET y otros Indicadores de Compromiso para la campaña mencionada pueden encontrarse en el white paper (en inglés): Quasar, Sobaken and Vermin: A deeper look into an ongoing espionage campaign.