MosaicRegressor: угроза в недрах UEFI. Часть 2

#Обучение

По данным нашей телеметрии, в период с 2017 по 2019 годы компоненты из фреймворка MosaicRegressor были доставлены на компьютеры нескольких десятков потенциальных жертв. Целями атаки были дипломатические представительства и неправительственные организации в Африке, Азии и Европе. Только две из них были также заражены буткитом UEFI в 2019 году, еще до заражения компонентом BitsReg. 

Учитывая особенности целей, мы смогли определить, что они в той или иной мере имеют отношение к КНДР — некоторые осуществляют некоммерческую деятельность, связанную с этой страной, другие фактически присутствуют в ней. Эта мысль подтверждается и одним из векторов заражения, задействованным для доставки вредоносной программы части жертв: злоумышленники использовали SFX-архивы с документами различной тематики, связанной с Северной Кореей. Эти архивы содержали и сам документ, и один из вариантов MosaicRegressor, который запускался при распаковке архива. Примеры документов-приманок можно посмотреть ниже.

Организаторы атаки 

Анализируя различные варианты MosaicRegressor, мы обратили внимание на несколько интересных фактов, позволяющих предположить, кто может стоять за этим фреймворком. Насколько мы можем судить, атаки были проведены китайскоязычными злоумышленниками, которые, возможно, ранее использовали бэкдор Winnti. Мы обнаружили следующие доказательства в пользу этой версии: 

• В отчете о системе, который создаёт вариант BitsRegEx, есть много строк, оканчивающихся на последовательность символов «0xA3, 0xBA». Эта последовательность недопустима для строки в кодировке UTF8, а кодировка LATIN1 транслирует эти символы в знак фунта, за которым следует «индикатор порядкового числительного мужского рода» (£º). Попытка перебора всех доступных кодировок iconv для преобразования в UTF-8 позволила выявить несколько наиболее осмысленных вариантов. Учитывая контекст, в котором эти символы используются, и следующие за ним символы перевода строки, наиболее подходящим вариантом кажется символ двоеточия в полную ширину (full-width colon) в Юникоде, транслированный либо с китайской, либо с корейской кодовой страницы (CP936 и CP949).

Мы обнаружили и другой след: ресурсы в модулях CurlReg скомпилированы с идентификатором языка 2052 (zh-CN).

Мы обнаружили объект OLE2, извлеченный из документа, эксплуатирующего уязвимость CVE-2018-0802, который был создан генератором документов Royal Road / 8.t и использовался для установки варианта CurlReg. Насколько нам известно, этот генератор широко используется китайскоязычными злоумышленниками.

Адрес командного сервера (103.82.52[.]18), обнаруженный в одном из вариантов MosaicRegressor (MD5:3B58E122D9E17121416B146DAAB4DB9D), ранее использовали «Winnti Umbrella и связанные с ней группировки», как сказано в общедоступном отчете. Поскольку больше ничто не указывает на связь между нашими находками и группировками, использующими бэкдор Winnti, мы с низким уровнем достоверности предполагаем, что одна из них действительно ответственна за эти атаки.

Выводы 

Атаки, описанные в этой статье, показывают, насколько далеко может зайти злоумышленник, чтобы как можно прочнее закрепиться на компьютере жертвы. Скомпрометированные прошивки UEFI «в дикой природе» встретить очень сложно. Как правило, это обусловлено незаметностью подобных атак, а также сложностью заражения флэш-чипа SPI жертвы и высоким риском скомпрометировать дорогостоящий инструментарий. 

Тем не менее мы видим, что UEFI продолжает представлять интерес для APT-групп, в то время как разработчики систем безопасности не уделяют этой технологии должного внимания. Сочетание наших защитных технологий и понимания механизмов проведения как текущих, так и прошлых кампаний с использованием зараженных прошивок помогает нам отслеживать ситуацию и позволит сообщать о подобных атаках в будущем. 

Полная информация об этом исследовании и развитии событий в связи с этим типом угроз доступны клиентам сервиса информирования об APT-угрозах на нашем портале Threat Intelligence Portal.

Индикаторы компрометации (IoC)

Модули UEFI  

F5B320F7E87CC6F9D02E28350BB87DE6 (SmmInterfaceBase)

0C136186858FD36080A7066657DE81F5 (SmmAccessSub)

91A473D3711C28C3C563284DFAFE926B (SmmReset)

DD8D3718197A10097CD72A94ED223238 (Ntfs) 

Дропперы RAR SFX

 0EFB785C75C3030C438698C77F6E960E

12B5FED367DB92475B071B6D622E44CD

3B3BC0A2772641D2FC2E7CBC6DDA33EC

3B58E122D9E17121416B146DAAB4DB9D

70DEF87D180616406E010051ED773749

7908B9935479081A6E0F681CCEF2FDD9

AE66ED2276336668E793B167B6950040

B23E1FE87AE049F46180091D643C0201

CFB072D1B50425FF162F02846ED263F9 

Документы—приманки

 0D386EBBA1CCF1758A19FB0B25451AFE

233B300A58D5236C355AFD373DABC48B

449BE89F939F5F909734C0E74A0B9751

67CF741E627986E97293A8F38DE492A7

6E949601EBDD5D50707C0AF7D3F3C7A5

92F6C00DA977110200B5A3359F5E1462

A69205984849744C39CFB421D8E97B1F

D197648A3FB0D8FF6318DB922552E49E 

BitsReg

 B53880397D331C6FE3493A9EF81CD76E

AFC09DEB7B205EADAE4268F954444984 (64-bit) 

BitsRegEx 

DC14EE862DDA3BCC0D2445FDCB3EE5AE

88750B4A3C5E80FD82CF0DD534903FC0

C63D3C25ABD49EE131004E6401AF856C

D273CD2B96E78DEF437D9C1E37155E00

72C514C0B96E3A31F6F1A85D8F28403C 

CurlReg 

9E182D30B070BB14A8922CFF4837B94D

61B4E0B1F14D93D7B176981964388291

3D2835C35BA789BD86620F98CBFBF08B 

CurlRegEx 

328AD6468F6EDB80B3ABF97AC39A0721

7B213A6CE7AB30A62E84D81D455B4DEA 

MailReg

 E2F4914E38BB632E975CFF14C39D8DCD 

Загрузчики на основе WinHTTP

 08ECD8068617C86D7E3A3E810B106DCE

1732357D3A0081A87D56EE1AE8B4D205

74DB88B890054259D2F16FF22C79144D

7C3C4C4E7273C10DBBAB628F6B2336D8 

Полезная нагрузка BitsReg (FileA.z) 

89527F932188BD73572E2974F4344D46 

Загрузчики второго этапа 

36B51D2C0D8F48A7DC834F4B9E477238 (mapisp.dll)

1C5377A54CBAA1B86279F63EE226B1DF (cryptui.sep)

9F13636D5861066835ED5A79819AAC28 (cryptui.sep) 

Полезная нагрузка третьего этапа 

FA0A874926453E452E3B6CED045D2206 (load.rem) 

Пути к файлам 

%APPDATA%\Microsoft\Credentials\MSI36C2.dat

%APPDATA%\Microsoft\Internet Explorer\%Computername%.dat

%APPDATA%\Microsoft\Internet Explorer\FileA.dll

%APPDATA%\Microsoft\Internet Explorer\FileB.dll

%APPDATA%\Microsoft\Internet Explorer\FileC.dll

%APPDATA%\Microsoft\Internet Explorer\FileD.dll

%APPDATA%\Microsoft\Internet Explorer\FileOutA.dat

%APPDATA%\Microsoft\Network\DFileA.dll

%APPDATA%\Microsoft\Network\DFileC.dll

%APPDATA%\Microsoft\Network\DFileD.dll

%APPDATA%\Microsoft\Network\subst.sep

%APPDATA%\Microsoft\WebA.dll

%APPDATA%\Microsoft\WebB.dll

%APPDATA%\Microsoft\WebC.dll

%APPDATA%\Microsoft\Windows\LnkClass.dat

%APPDATA%\Microsoft\Windows\SendTo\cryptui.sep

%APPDATA%\Microsoft\Windows\SendTo\load.dll %APPDATA%\Microsoft\Windows\load.rem

%APPDATA%\Microsoft\Windows\mapisp.dll

%APPDATA%\Microsoft\exitUI.rs

%APPDATA%\Microsoft\sppsvc.tbl

%APPDATA%\Microsoft\subst.tbl

%APPDATA%\newplgs.dll

%APPDATA%\rfvtgb.dll

%APPDATA%\sdfcvb.dll

%APPDATA%\msreg.dll

%APPDATA\Microsoft\dfsadu.dll

%COMMON_APPDATA%\Microsoft\Windows\user.rem

%TEMP%\BeFileA.dll

%TEMP%\BeFileC.dll

%TEMP%\RepairA.dll

%TEMP%\RepairB.dll

%TEMP%\RepairC.dll

%TEMP%\RepairD.dll

%TEMP%\wrtreg_32.dll

%TEMP%\wrtreg_64.dll

%appdata%\dwhost.exe

%appdata%\msreg.exe

%appdata%\return.exe

%appdata%\winword.exe 

Домены и IP-адреса 

103.195.150.106

103.229.1.26

103.243.24.171

103.243.26.211

103.30.40.116

103.30.40.39

103.39.109.239

103.39.109.252

103.39.110.193

103.56.115.69

103.82.52.18

117.18.4.6

144.48.241.167

144.48.241.32

150.129.81.21

43.252.228.179

43.252.228.252

43.252.228.75

43.252.228.84

43.252.230.180

menjitghyukl.myfirewall.org 

Дополнительные возможные командные сервера

 43.252.230.173

185.216.117.91

103.215.82.161

103.96.72.148

122.10.82.30 

Мьютексы 

FindFirstFile Message Bi

set instance state

foregrounduu state

single UI

Office Module

process attach Module

Источник