LookBack

Por GoldSparrow em Malware

Recentemente, houve uma série de ataques contra várias empresas e instituições localizadas nos Estados Unidos e que lidam com o setor de serviços públicos. Os atacantes usam e-mails de phishing para propagar sua ameaça. Esses e-mails reivindicam ser enviados pelo Conselho Nacional de Examinadores de Engenharia e Inspeção e são projetados para parecerem legítimos com cuidado e não levantar sinais de alerta. Os emails indicariam que o destinatário falhou em atender aos padrões estabelecidos pela organização. Eles oferecem mais informações sobre a questão que supostamente está contida no '.DOC ', que é anexado ao email fraudulento. Esse parece ser o trabalho de um grupo sofisticado de criminosos cibernéticos, e alguns pesquisadores de malware especulam que um APT (Ameaça Persistente Avançada) pode ser responsável por esses ataques.

As atividades do LookBack foram notadas entre 19 e 25 de julho de 2019, quando foram encontrados emails de spear phishing direcionados a três empresas de serviços públicos dos EUA. Os e-mails estavam tentando afirmar que eram um conselho de licenciamento de engenharia dos EUA. Os e-mails vinham do que parecia ser um domínio controlado pelos atores da ameaça - nceess[dot]com. A tentativa foi criar um site que tentasse se passar pelo Conselho Nacional de Examinadores de Engenharia e Agrimensura dos EUA. O email continha um anexo malicioso do Microsoft Word, que instala e executa o malware LookBack. O LookBack é uma combinação de um Trojan de Acesso Remoto (RAT) e um mecanismo usado para comunicações de Comando e Controle com os servidores usados pelos atores de ameaças. O anexo do documento no email tinha o nome de arquivo 'Result Notice.doc'.

Inicialmente, isso parece um ataque semelhante ao que afetou a usina nuclear de Gundremmingen na Alemanha, mas, após uma inspeção mais detalhada, parece ser apenas um golpe de phishing associado a um Trojan de acesso remoto. Parece haver uma possível conexão com o agente de ameaças do APT10, pois um conjunto semelhante de macros do VBA foi usado nas campanhas do APT contra empresas japonesas em 2018, mas não há provas sólidas de que os mesmos agentes de ameaças estejam por trás dessa campanha. Os e-mails fraudulentos tentam parecer o mais legítimos possível, chegando ao ponto de incluir seu próprio logotipo, conforme descoberto pela empresa de segurança ProofPoint:

email de phishing de malware de lookback

Todos os emails eram originários do IP 79.141.168[.]137, que parece ser o IP usado pelos atores de ameaças para hospedar seu domínio de phishing. O exame do DNS passivo e do histórico de registro de domínio revelou mais domínios registrados pelo mesmo agente de ameaça, também tentando se passar por órgãos de licenciamento de engenharia e elétrica nos Estados Unidos. Dos domínios envolvidos nessas atividades, apenas o nceess[dot]com foi observado como ativo na campanha de phishing.

O anexo do Word usa macros VBA para instalar o malware LookBack. Depois que o anexo é executado, a macro VBA libera três arquivos PEM (Privacy Enhanced Mail) no host - tempsodom.txt, tempgup2.txt e tempgup.txt. Além disso, o macro cria uma cópia dos arquivos PEM decodificados, restaurando suas extensões apropriadas no processo. O Tempgup.txt é alterado para GUP.exe, que representa um binário de código aberto usado pelo Notepad ++, o tempsodom.exe se torna Sodom.txt, contendo os dados de configuração de Comando e Controle usados pelo malware. Finalmente, o tempbup2.txt é renomeado como libcurl.dll, que é uma DLL do carregador malicioso que se torna parte do pacote.

O Malware LookBack

O LookBack é um Trojan de Acesso Remoto, escrito em C ++, que depende de uma ferramenta de comunicação por proxy para enviar dados de hosts infectados para um servidor de comando e controle. O LookBack pode visualizar processos, dados do sistema e do arquivo, executar comandos, tirar capturas de tela, registrar movimentos e cliques do mouse e excluir arquivos. Ele também pode reiniciar o sistema e pode até se excluir dos hosts infectados para ocultar suas trilhas após a conclusão do trabalho. O malware contém os seguintes componentes:

GUP - a ferramenta proxy de Comando e Controle

Um carregador de malware que usa um arquivo libcurl.dll legítimo com uma função modificada para executar o shellcode.

O módulo de comunicação SodomNormal, que cria o canal C&C usado pela ferramenta de proxy GUP.

O componente Trojan de Acesso Remoto SodomMain foi entregue após a decodificação da resposta inicial do beacon recebida por meio da ferramenta de proxy GUP e do proxy do host SodomNormal.
O método de ataque completo é muito semelhante ao do APT10 foi visualizado abaixo, cortesia do FireEye:

método de lookback de malware

Em conclusão, a detecção de uma nova família de malware voltada para as empresas de serviços públicos dos Estados Unidos sugere um possível ator estatal por trás da campanha, como as táticas usadas pelo APT10 em 2016 e 2018. Embora uma atribuição definitiva a um ator específico não possa ser feita no momento, o conjunto de ferramentas, a infraestrutura, os métodos e os riscos da campanha têm uma semelhança impressionante com a do APT10.

Código Ofuscado

O código da ameaça que está contida no 'corrompido'. O arquivo DOC 'está ofuscado. O objetivo de ofuscar o código do malware é evitar a detecção por aplicativos antimalware, que podem estar presentes no host comprometido. Se a ameaça conseguir permanecer sob o radar de qualquer ferramenta de segurança, o LookBack RAT (Trojan de Acesso Remoto) será executado.

Usa um Servidor Proxy

O LookBack inclui recursos semelhantes ao RAT, mas também possui outras funcionalidades, o que é um sinal claro de que seus autores não são amadores. Quando o LookBack compromete um computador, ele tenta configurar um servidor proxy usado para encapsular o tráfego malicioso. Para fazer toda a operação parecer discreta, o servidor proxy da LookBack imita o utilitário de código aberto WinGup usado por notáveis suítes de software como o Notepad ++.

UmS de Macro Usado Antes

Parece que o script de macro usado na instalação do LookBack RAT foi usado anteriormente em 2018 em vários ataques direcionados a empresas localizadas no Japão. Esses ataques foram realizados pelo APT10. No entanto, isso não significa que eles estejam envolvidos na disseminação do LookBack RAT, e isso pode ser uma pura coincidência.

Recursos

O LookBack RAT é uma ameaça bastante potente, com uma longa lista de recursos, tais como:

  • Tirar screenshots da área de trabalho.
  • Reiniciar ou desligando o sistema.
  • Usar o prompt de comando para executar comandos remotos.
  • Listar diretórios.
  • Iniciar arquivos.
  • Modificar/copiar/excluir arquivos.
  • Controlar o o cursor.
  • Listar e controlar processos.
  • Iniciar/parar/navegar nos Serviços do Windows.
  • Remover-se do host.

Apesar de o LookBack RAT ser detectado apenas em várias campanhas, é provável que os seus criadores não parem por aí, pois esse é um malware muito bem construído. Certifique-se de baixar e instalar um pacote de software anti-vírus legítimo que manterá o seu sistema protegido contra ameaças como o LookBack RAT.

Tendendo

Mais visto

Carregando...