Uzun süredir devam eden aktör APT28, Fantezi Bear, Sofacy ve Sednit olarak izlendi, araştırmacıların Phantom Net Voksel olarak belgelediği kompakt ama teknik olarak sofistike bir kampanya kullandı. Kampanya, CERT-UA’nın Beardshell ve Covenant çerçevesi hakkındaki raporunun bir uzantısıdır, ancak Sekioa araştırmacıları daha önce hiç kamuya açıklanmamış ek silahlı ofis belgelerini ve ince teknikleri ortaya çıkardılar.
Operasyon, modüler arka planlar sunmak ve gizli kalıcılığı korumak için sosyal mühendisliği, steganografik yükleri ve meşru bulut hizmetlerini birleştirdi. Sonuç, standart tespit oyun kitaplarından kaçan hafif, esnek bir enfeksiyon zinciriydi.
Ayrıca Oku: Bulut API’lerinde ve dokümanlarda gizlenmiş arka fırınlarla hedeflenen Ukrayna hükümet sistemleri
Saldırı Döngüsü
Kampanya, sinyal gibi özel mesajlaşma uygulamaları ve e -posta yoluyla gönderilen yüksek hedefli ofis belgeleriyle başladı. Lures, Ukrayna askeri ve idari iş akışlarını yansıtmak için hazırlanmış olan personel raporları, tıbbi tazminat formları, lojistik makbuzları – akla yatkın başlıklar taşıdı. Makrolar yürüttüğünde, belge iki eser bıraktı: bir DLL (kalıcılık için) ve şifreli kabuk kodu içeren bir PNG görüntüsü. Bir com-hijack kayıt defteri anahtarı, DLL’yi altına yüklemeye zorladı. explorer.exe İşlem yeniden başlat.
Alıcıların bu belgeleri açma olasılığı daha yüksekti, çünkü dosyalar düzenli olarak ele aldıkları formlarla eşleşti, bu da şüpheyi azaltı.
Steganografi + Shellcode
Sekoia’nın analizi, PNG dosyalarının AES-CBC şifrelenmiş blobları piksel verilerinin içinde sakladığını gösterdi. Kötü amaçlı yazılım, en az anlamlı bitleri çıkardı, bir SHA-1 etiketi ile doğrulanmış bütünlük, şifresini çözdü ve daha sonra bir .NET çalışma zamanını başlatan ve bir Covenant Grunt HTTP Stager’ı yürüten gömülü kabuk kodunu başlattı. Yürütülebilir içeriği aksi takdirde sıradan bir görüntüye yerleştirerek, saldırganlar bir algılama engel ekledi, çünkü birçok tarayıcı kötü amaçlı yükü kaçırdı.
Modüler implantlar ve bulut tabanlı C2
İlk evrelemeden sonra, kampanya modüler bir ikinci aşamaya geçti. Araştırmacılar, şifreli komutlar için Icedrive gibi bulut depolama sağlayıcılarını yok eden Cert-UA araştırmacıları tarafından Beardshell olarak adlandırılan bir C ++ arka kapısını ortaya çıkardılar. İzlerini kapsayacak şekilde görevleri, yüklenen sonuçları ve silinmiş dosyaları yürüttü. Aktör, kurban verilerini organize etmek için ana bilgisayar parmak izlerinden türetilen Guid tabanlı dizin adlarını kullandı.
Refakatçi bir implant, slimagent, yakalanan ekran görüntüleri, tuş vuruşları ve hassas veriler topladı. Sonuçları AES-256 ile şifreledi, RSA ile oturum anahtarlarını sabitledi ve pesfiltrasyondan önce yerel olarak sakladı.
Meşru bulut API’lerine dayanarak, saldırganlar kötü amaçlı trafiği normal hizmet istekleri ve zorla savunucuları üretkenlik araçlarını engelleme ve gizli komut ve kontrol sağlayan zor seçimlere zorladı.
Kaçma ve Anti-Analiz Hileleri
Phantom net voksel çoklu anti-analiz önlemleri içeriyordu. Kötü amaçlı yazılım, çalışma zamanı ortamlarını, sistem kaynaklarını ve hata ayıklama araçlarını kontrol etti, koşullar bir sanal alan önerirse hemen çıktı. Kimlik avı sayfaları, otomatik tarayıcıları ve araştırmacıları filtrelemek için Captchas ve Devtools blokerleri dahil etti. Dizeler ve konfigürasyon değerleri sadece çalışma zamanında şifre çözüldü ve tespit için statik ayak izini daralttı.
Üç tasarım kararı göze çarpıyordu:
-
Steganografik evreleme – PNG dosyalarında kabuk kodunu gizlemek gizli ve medya varlıklarına olan güvenden yararlandı.
-
Bulut C2 kanalları – Sağlayıcıların da meşru müşterilere hizmet ettiği gibi, Icedrive, Koofr ve Fileen trafiğine kötü amaçlı işlemlerin yerleşimi karmaşık yayından kaldırma işlemleri.
-
Com Kafa Kalıcılık – DLL’leri yükleme
explorer.exeBirçok AV kancasını atladı ve güvenilir bir bağlamda yürütmeyi sürdürdü.
Savunucular için algılama pivotları
Sekoia, Stego Loader ve Beardshell için IOCS (Belge ve DLL Hashes) ve Yara kurallarını yayınladı. Analistlere, gömülü şifreli lekeler için PNG görüntülerini taramaları, olağandışı bulut API etkinliğini GUID benzeri dizin yapılarıyla izlemeleri, denetim kayıt defteri CLSID girişlerini standart olmayan DLL’lere işaret etmeleri ve izlemeleri tavsiye edildi. explorer.exe Beklenmedik süreçlerin yumurtlama.
Periyodik yoklama aralıklarının tespiti veya tüketici bulut depolama API’lerinin anormal kullanımı da değerli sinyaller sağlamıştır.
Phantom Net Voxel Operasyonu, APT28 oyun kitabını yeniden icat etmedi, bunun yerine kanıtlanmış teknikleri daha gizli, modüler bir zincir haline getirdi. Grup, yükleri görüntülere yerleştirerek ve komut kanallarını ticari bulut sağlayıcılarına kaydırarak otomatik algılama maliyetini artırdı ve savunucuları telemetrelerini genişletmeye zorladı.