WinorDLL64: una backdoor dal vasto arsenale di Lazarus?

I ricercatori ESET hanno scoperto uno dei payload del Scarica Wslink che abbiamo scoperto nel 2021. Abbiamo chiamato questo payload WinorDLL64 in base al suo nome file WinorDLL64.dll. Wslink, che aveva il nome file WinorLoaderDLL64.dll, è un caricatore per i binari di Windows che, a differenza di altri caricatori di questo tipo, viene eseguito come server ed esegue i moduli ricevuti in memoria. Come suggerisce la formulazione, un caricatore funge da strumento per caricare un payload, o il malware vero e proprio, sul sistema già compromesso. Il vettore di compromesso Wslink iniziale non è stato identificato.

Il payload Wslink inizialmente sconosciuto è stato caricato su VirusTotal dalla Corea del Sud poco dopo la pubblicazione del nostro post sul blog e ha raggiunto una delle nostre regole YARA basate sul nome univoco di Wslink WinorDLL64. Per quanto riguarda Wslink, la telemetria ESET ha visto solo pochi rilevamenti: in Europa centrale, Nord America e Medio Oriente.

I WinorDLL64 Il payload funge da backdoor che in particolare acquisisce ampie informazioni di sistema, fornisce mezzi per la manipolazione dei file, come l'esfiltrazione, la sovrascrittura e la rimozione di file ed esegue comandi aggiuntivi. È interessante notare che comunica tramite una connessione già stabilita dal caricatore Wslink.

Nel 2021, non abbiamo trovato alcun dato che suggerisca che Wslink sia uno strumento di un noto attore di minacce. Tuttavia, dopo un'analisi approfondita del carico utile, abbiamo attribuito WinorDLL64 al gruppo Lazarus APT con bassa confidenza basata sulla regione target e una sovrapposizione sia nel comportamento che nel codice con campioni Lazarus noti.

Attivo almeno dal 2009, questo famigerato gruppo schierato con la Corea del Nord è responsabile di incidenti di alto profilo come sia il Hack della Sony Pictures Entertainment e decine di milioni di dollari attacchi informatici nel 2016, le WannaCryptor (alias WannaCry) nel 2017 e una lunga storia di attacchi dirompenti contro Infrastrutture pubbliche e critiche sudcoreane almeno dal 2011. US-CERT e FBI chiamano questo gruppo COBRA NASCOSTO.

Sulla base del nostro vasta conoscenza delle attività e delle operazioni di questo gruppo, riteniamo che Lazarus sia costituito da un grande team sistematicamente organizzato, ben preparato e composto da diversi sottogruppi che utilizzano un ampio set di strumenti. L'anno scorso, noi ha scoperto uno strumento di Lazzaro che ha approfittato del CVE‑2021‑21551 vulnerabilità per prendere di mira un dipendente di un'azienda aerospaziale nei Paesi Bassi e un giornalista politico in Belgio. È stato il primo abuso registrato della vulnerabilità; in combinazione, lo strumento e la vulnerabilità hanno portato all'accecamento del monitoraggio di tutte le soluzioni di sicurezza sulle macchine compromesse. Abbiamo anche fornito un'ampia descrizione del struttura della macchina virtuale utilizzato nei campioni di Wslink.

Questo blogpost spiega l'attribuzione di WinorDLL64 a Lazarus e fornisce un'analisi del payload.

Link a Lazzaro

Abbiamo scoperto sovrapposizioni sia nel comportamento che nel codice con i campioni di Lazarus da Operazione GhostSecret e la Impianto Bankshot descritto da McAfee. La descrizione degli impianti in entrambi gli articoli GhostSecret e Bankshot contiene sovrapposizioni nella funzionalità con WinorDLL64 e abbiamo riscontrato alcune sovrapposizioni di codice negli esempi. In questo blogpost useremo solo il file FE887FCAB66D7D7F79F05E0266C0649F0114BA7C campione da GhostSecret per il confronto con WinorDLL64 (1BA443FDE984CEE85EBD4D4FA7EB1263A6F1257F), se non diversamente specificato.

I seguenti dettagli riassumono i fatti a sostegno della nostra attribuzione di scarsa fiducia a Lazarus:

1. Vittimologia

• I colleghi ricercatori di AhnLab hanno confermato le vittime sudcoreane di Wslink nella loro telemetria, che è un indicatore rilevante considerando i tradizionali obiettivi di Lazarus e che abbiamo osservato solo pochi colpi.

Figura 1. Vittima sudcoreana denunciata, dove mstoned7 è il ricercatore di Ahnlab

2. Malware

• L'ultimo esempio di GhostSecret riportato da McAfee (FE887FCAB66D7D7F79F05E0266C0649F0114BA7C) risale a febbraio 2018; abbiamo individuato il primo campione di Wslink alla fine del 2018 e altri ricercatori hanno riportato successi nell'agosto 2018, che hanno rivelato dopo la nostra pubblicazione. Quindi, questi campioni sono stati individuati a distanza di tempo relativamente breve.
• I Intestazioni ricche di PE indicano che lo stesso ambiente di sviluppo e progetti di dimensioni simili sono stati utilizzati in molti altri campioni noti di Lazarus (ad es. 70DE783E5D48C6FBB576BC494BAF0634BC304FD6; 8EC9219303953396E1CB7105CDB18ED6C568E962). Abbiamo trovato questa sovrapposizione utilizzando le seguenti regole che coprono solo questi campioni Wslink e Lazarus, che è un indicatore con un peso ridotto. Li abbiamo testati La retrocaccia di VirusTotal e il nostro corpus di file interno.

rich_signature.length == 80 e
pe.rich_signature.toolid(175, 30319) == 7 e
pe.rich_signature.toolid(155, 30319) == 1 e
pe.rich_signature.toolid(158, 30319) == 10 e
pe.rich_signature.toolid(170, 30319) >= 90 e
pe.rich_signature.toolid(170, 30319) <= 108

Questa regola può essere tradotta nella seguente notazione che è più leggibile e utilizzata da VirusTotal, dove è possibile vedere la versione del prodotto e l'ID build (VS2010 build 30319), numero e tipo di file sorgente/oggetto utilizzati ([LTCG C++] dove LTCG sta per Link Time Code Generation, [ASM], [ C ]), e numero di esportazioni ([SCAD]) nella regola:

[LTCG C++] VS2010 build 30319 conteggio=7
[EXP] VS2010 build 30319 conteggio=1
[ASM] VS2010 build 30319 conteggio=10
[ C ] VS2010 build 30319 conteggio in [ 90 .. 108 ]

• L'articolo di GhostSecret descriveva "un componente unico per la raccolta di dati e l'installazione di impianti che ascolta sulla porta 443 le connessioni al server di controllo in entrata" che funzionava anche come servizio. Questa è una descrizione accurata del comportamento del downloader Wslink, a parte il numero di porta, che può variare in base alla configurazione. Per riassumere, anche se l'implementazione è diversa, entrambi hanno lo stesso scopo.
• Il caricatore è virtualizzato da Code Virtualizer di Oreans, che è una protezione commerciale utilizzata frequentemente di Lazzaro.
• Il caricatore utilizza il Modulo di memoria libreria per caricare i moduli direttamente dalla memoria. La libreria non è comunemente utilizzata dal malware, ma è piuttosto popolare tra i gruppi allineati alla Corea del Nord come Lazarus e Kimsuky.
• Sovrapposizione nel codice tra WinorDLL64 e GhostSecret che abbiamo riscontrato durante la nostra analisi. I risultati e il significato nell'attribuzione sono elencati nella Tabella 1.

Tabella 1. Somiglianze tra WinorDLL64 e GhostSecret e il loro significato nell'attribuire entrambi allo stesso autore di minacce

La sovrapposizione del codice nella funzionalità di invio di file è evidenziata nella Figura 2 e nella Figura 3.

Figura 2. GhostSecret invia un file

Figura 3. Wslink invia un file

Analisi tecnica

WinorDLL64 funge da backdoor che in particolare acquisisce ampie informazioni di sistema, fornisce mezzi per la manipolazione dei file ed esegue comandi aggiuntivi. È interessante notare che comunica tramite una connessione TCP già stabilita dal suo caricatore e utilizza alcune delle funzioni del caricatore.

Figura 4. Visualizzazione della comunicazione di Wslink

La backdoor è una DLL con una singola esportazione senza nome che accetta un parametro, una struttura per la comunicazione già descritta nel nostro post precedente. La struttura contiene un contesto TLS – socket, key, IV – e callback per l'invio e la ricezione di messaggi crittografati con AES-CBC a 256 bit che consentono a WinorDLL64 di scambiare dati in modo sicuro con l'operatore su una connessione già stabilita.

I seguenti fatti ci portano a credere con grande sicurezza che la biblioteca faccia effettivamente parte di Wslink:

• La struttura univoca viene utilizzata ovunque nel modo previsto, ad esempio, il contesto TLS e altri parametri significativi vengono forniti nell'ordine previsto ai callback corretti.
• Il nome della DLL è WinorDLL64.dll e il nome di Wslink era WinorLoaderDLL64.dll.

WinorDLL64 accetta diversi comandi. La Figura 5 mostra il ciclo che riceve e gestisce i comandi. Ogni comando è associato a un ID univoco e accetta una configurazione che contiene parametri aggiuntivi.

Figura 5. La parte principale del ciclo di ricezione dei comandi della backdoor

L'elenco dei comandi, con le nostre etichette, è in Figura 6.

Figura 6. L'elenco dei comandi

La tabella 2 contiene un riepilogo dei comandi WinorDLL64, dove le categorie modificate e vecchie si riferiscono alla relazione con la funzionalità GhostSecret precedentemente documentata. Evidenziamo solo cambiamenti significativi nella categoria modificata.

Tabella 2. Panoramica dei comandi backdoor

Conclusione

Il carico utile di Wslink è dedicato a fornire mezzi per la manipolazione dei file, l'esecuzione di ulteriore codice e l'ottenimento di ampie informazioni sul sistema sottostante che possono essere sfruttate in seguito per il movimento laterale, a causa dell'interesse specifico per le sessioni di rete. Il caricatore Wslink è in ascolto su una porta specificata nella configurazione e può servire ulteriori client di connessione e persino caricare vari payload.

WinorDLL64 contiene una sovrapposizione nell'ambiente di sviluppo, nel comportamento e nel codice con diversi esempi di Lazarus, il che indica che potrebbe essere uno strumento del vasto arsenale di questo gruppo APT allineato con la Corea del Nord.

IOCS

Tecniche MITRE ATT&CK

Questa tabella è stata creata utilizzando Versione 12 del framework ATT&CK. Non menzioniamo di nuovo le tecniche del caricatore, solo il carico utile.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. Accedi qui.
• Fonte: https://www.welivesecurity.com/2023/02/23/winordll64-backdoor-vast-lazarus-arsenal/