В 2022 году одна промышленная компания пригласила нас, специалистов PT Expert Security Center, расследовать киберинцидент. В ее скомпрометированной инфраструктуре мы обнаружили образцы не встречавшегося ранее вредоносного ПО. Дальнейший анализ показал, что это сложный модульный бэкдор с хорошо проработанными архитектурой и транспортной системой. В его имени компиляции есть строка «MATA», а еще он может долго и незаметно работать в захваченных системах, поэтому мы дали ему имя MataDoor.
Стоящая за его созданием новая киберпреступная группировка, которую мы назвали Dark River, целенаправленно атакует промышленные предприятия. На данный момент известно всего четыре случая применения MataDoor в атаках, причем все жертвы этого опасного вредоноса связаны с оборонкой. По нашим данным, бэкдор нацелен на шпионаж и хищение секретов российского ОПК.
Подробнее о способах его доставки и устройстве, а также о том, как MataDoor внедряется в инфосистемы и действует, рассказываем в этом посте.
Полный разбор вредоносной программы с детальным описанием его компонентов и схемы работы доступен в нашем блоге.
Классика: в начале был фишинг
Когда мы впервые столкнулись с MataDoor при расследовании инцидента, выяснилось, что имена файлов этого вредоноса были похожи на имена легального ПО, установленного на зараженных устройствах, а у ряда образцов была действительная цифровая подпись. Исполняемые файлы и библиотеки также были обработаны протектором Themida для усложнения их анализа и обнаружения.
Мы предполагаем, что начальным вектором внедрения бэкдора было фишинговое письмо с вложением — документом в формате DOCX на актуальную для деятельности атакованного предприятия тему. Документ содержал в себе эксплойт для уязвимости CVE-2021-40444. Восстановить полную цепочку атаки нам не удалось, однако корреляция времени начала активности вредоноса и времени отправки письма позволяет предположить, что источником внедрения бэкдора стал именно вредоносный документ.
Этот случай не был единичным: аналогичные сообщения, содержащие документы с эксплойтами для CVE-2021-40444, рассылались на российские предприятия оборонно-промышленного комплекса в августе-сентябре 2022 года. Часть из них по содержанию относилась к сфере деятельности атакованных предприятий, а часть была просто составлена так, чтобы привлечь внимание адресата. При этом все письма побуждали сотрудников активировать режим редактирования документа — это необходимое условие для отработки эксплойта.
Оформление, в котором выполнены приведенные документы, побуждает пользователя включить режим редактирования и сменить цвет шрифта на более контрастный. При включении режима редактирования происходит загрузка и выполнение вредоносной полезной нагрузки с контролируемого атакующими ресурса вследствие эксплуатации уязвимости CVE-2021-40444. Саму полезную нагрузку получить не удалось, так как на момент начала расследования серверы с ней были недоступны.
При анализе свойств этих документов мы выявили, что URL, с которого загружается полезная нагрузка эксплойта, закодирован в формате HTML encoding:
Отметим, что при анализе массива документов, эксплуатирующих уязвимость CVE-2021-40444, использование данного способа кодирования URL полезной нагрузки встречалось только в приведенных документах. Это позволяет предположить, что исследованные рассылки могут быть реализованы одним инициатором.
Есть также определенные сходства данных рассылок с фишинговыми письмами, направленными в адрес российских оборонных предприятий в сентябре 2021 года.
Сведения о них опубликовала компания Malwarebytes. В ее отчете упоминалась рассылка с приложением в виде документа в формате DOCX, якобы направленная отделом кадров предприятия с требованием заполнить приведенную в документе таблицу. При активации режима редактирования документа происходила эксплуатация уязвимости CVE-2021-40444 с последующим выполнением вредоносного содержимого.
Что интересно: один и тот же способ кодирования URL полезной нагрузки вредоносного документа позволяет предположить, что у описанных выше рассылок 2021 и 2022 года один и тот же инициатор.
В пользу этого также говорят следующие факты:
полезная нагрузка в рассылках от сентября 2021 года и некоторые экземпляры бэкдора MataDoor, выявленные в 2022 году, были подписаны сертификатами Sectigo;
доменные имена серверов с полезной нагрузкой всех упомянутых выше вредоносных документов зарегистрированы в регистраторе namecheap. Там же зарегистрированы доменные имена С2 MataDoor;
объектами всех описанных атак стали российские предприятия оборонно-промышленного комплекса.
Элементы сетевой инфраструктуры, использованной при атаках на разные организации, не имеют пересечений между собой. Информация о реквизитах, на которые зарегистрированы домены, скрыта.
Некоторые сведения о характеристиках бэкдора MataDoor был опубликованы «Лабораторией Касперского» в разделе Southeast Asia and Korean Peninsula отчета APT trends report Q2 2023. В этом отчете данный бэкдор, названный MATAv5, связывался с активностью группировки Lazarus.
Что интересно: в ходе проведенного исследования нам не удалось однозначно атрибутировать автора этого инструмента; в связи с этим мы присвоили группировке, инициировавшей атаку на предприятие ОПК, наименование Dark River — по имени River, указанному в поле Author некоторых упомянутых фишинговых документов.
Препарируем коварный вредонос
Главная особенность MataDoor — беспрецедентная сложность внутренней архитектуры. Анализ кода бэкдора показывает, что в разработку данного инструмента были вложены большие ресурсы. Это хорошо проработанный вредонос, с индивидуальной разработкой в плане транспорта, скрытности и архитектуры.
Еще один любопытный момент: группировка не стала использовать коробочные решения, многие протоколы бэкдора были намеренно реализованы самостоятельно. Его большая и сложная транспортная система позволяет гибко настраивать коммуникацию с командой оператора, с сервером, чтобы оставаться скрытым и незамеченным. Это вредоносное ПО может действовать даже в логически изолированных сетях, вытаскивать и передавать данные откуда угодно.
Запуск и закрепление
Бэкдор представляет собой DLL, которая, помимо стандартной функций DllMain, экспортирует функцию DllRegisterServer — она позволяет запускать полезную нагрузку при вызове через стандартную программу Windows Regsvr32, выполняющую регистрацию элементов управления OLE в системном реестре. Фактически обе функции — DllMain и DllRegisterServer — выполняют одни и те же действия, инициализируя бэкдор и запуская основную логику его выполнения в отдельном потоке.
Однако во всех известных случаях бэкдор выполняется с помощью дополнительного компонента loader service — службы Windows, которая выполняется автоматически при запуске системы, за счет чего обеспечивается в том числе и закрепление в системе. Loader service не выполняет никаких действий, кроме запуска DLL c бэкдором, путь к которой задается в его конфигурации. Конфигурация загрузчика, как и конфигурация самого бэкдора, зашифрована алгоритмом AES в режиме Cipher Feedback (CFB).
Во всех исследованных образцах в качестве ключа расшифровки конфигурации применяется последовательность 29 23 BE 84 E1 6C D6 AE 52 90 49 F1 F1 BB E9 EB, которая представляет собой последовательность из первых 16 байт, сгенерированных линейным конгруэнтным генератором X[n] = (0x343fd × X[n-1] + 0x269ec3) mod 0xffffffff, где в качестве seed (X[0]) использовано число 1. Данный генератор соответствует реализации функции rand() из библиотеки стандартных функций языка C, реализованной Microsoft (Microsoft C Runtime).
Отметим, что компоненты данного ВПО имеют характерные имена компиляции, загрузчики — loader_service_raw_win_intel_64_le_RELEASE.dll, бэкдоры — MATA_DLL_DLL_PACK_**********_win_intel_64_le_RELEASE.dll, где на месте ********** указывается некоторая дата. Мы исследовали варианты бэкдоров со следующими именами компиляции:
Из-за строки «MATA» в имени компиляции бэкдор и получил наименование MataDoor.
Что интересно: имена исполняемых файлов загрузчика и вредоноса подбираются атакующим при установке бэкдора отдельно для каждого скомпрометированного узла, чтобы мимикрировать под имена файлов легитимного ПО. Например, если в системе присутствует легитимный исполняемый файл с именем 1cv8.dll, имя файла ВПО может иметь вид 1cv8u.dll. Во многих случаях мы отметили схожесть имен загрузчика и бэкдора, например: dlpsvc.dll — имя файла загрузчика, dlpsvcHelper.dll — имя файла бэкдора.
Общая архитектура
Исследованный образец представляет собой модульный бэкдор, состоящий из ядра (оркестратора) и модулей (плагинов). Ядро включает в себя следующую функциональность:
предоставление механизма сериализации данных, для чего используется свой, кастомный формат;
работа с конфигурацией бэкдора;
прием и обработка команд от управляющего сервера (С2);
предоставление механизма выполнения асинхронных операций;
работа с плагинами.
Детальный разбор устройства плагинов (модулей) бэкдора, схемы работы этого ВПО и обзор компонентов его транспортной подсистемы читайте в полном отчете.
Как защититься от MataDoor
Наш анализ показал, что для группы Dark River характерен тщательный выбор объектов атаки и точечный подход: об этом свидетельствуют целенаправленные рассылки, посвященные деятельности атакуемых предприятий. Расследование еще раз подтвердило, что предприятия российского ОПК продолжают оставаться мишенями в целевых атаках, а киберпреступники постоянно совершенствуют свои инструменты и разрабатывают все новые вредоносные программы. При этом атрибутировать такие атаки очень сложно: используемая сетевая инфраструктура для каждого атакуемого объекта разворачивается отдельно и не имеет каких-либо пересечений с другими вредоносными кампаниями.
Для защиты корпоративных систем от внедрения бэкдора MataDoor мы рекомендуем принимать следующие проактивные и профилактические меры:
Использовать песочницы, позволяющие выявлять даже такое сложное ВПО с помощью анализа поведения файлов в виртуальной среде, а также анализаторы трафика.
Dark River применяет почтовый фишинг, поэтому мы также советуем придерживаться стандартных правил кибергигиены: осторожнее относиться к входящим электронным письмам, сообщениям в мессенджерах и социальных сетях, не переходить по сомнительным ссылкам и не открывать подозрительные вложения.
Поскольку в некоторых атаках киберпреступники использовали взломанные почтовые ящики, необходимо учесть, что они могут прибегнуть к социальной инженерии. Поэтому обращайте также внимание на то, есть ли в письме нетипичные для переписок в вашей компании вложения, верна ли подпись, мог ли вам написать отправитель и насколько его вопрос в ваших компетенциях.