In een rapport vandaag onthullen onderzoekers van Symantec, een divisie van Broadcom Software, details over de activiteiten van een cybercriminele groep die ze volgen als Bluebottle, die significante gelijkenissen vertoont met de tactieken, technieken en procedures (TTP’s) van de bende OPERA1ER.
De campagnes van OPERA1ER zijn vastgelegd door cybersecurity-bedrijf Group-IB in een uitgebreid rapport dat in november 2022 werd gepubliceerd, waarbij onderzoekers opmerken dat er geen aangepaste malware wordt gebruikt en dat er uitgebreid gebruik wordt gemaakt van vooraf beschikbare tools (open source, commodity, frameworks).
Het rapport van Symantec voegt enkele technische details toe, zoals het gebruik van het GuLoader-gereedschap voor het laden van malware en een ondertekende stuurprogramma (kernelmodus) die de aanvaller helpt processen van beveiligingsproducten op het slachtoffernetwerk te doden. De onderzoekers zeggen dat de malware twee componenten had, “een controlerende DLL die een lijst met processen uit een derde bestand leest en een ondertekende ‘helper’-stuurprogramma dat door de eerste stuurprogramma wordt gecontroleerd en wordt gebruikt om de processen in de lijst te beëindigen”.
Het lijkt erop dat het ondertekende kwaadwillige stuurprogramma door verschillende cybercriminele groepen is gebruikt om de verdediging uit te schakelen. Mandiant en Sophos meldden het in december, in een lijst met kernelmodus-stuurprogramma’s die waren geverifieerd met Authenticode-handtekeningen van het Windows Hardware Developer Program van Microsoft. Mandiant volgt het stuurprogramma als POORTRY, en zegt dat het eerste teken ervan in juni 2022 was en dat het werd gebruikt met een mix van certificaten, waaronder sommige gestolen en populair onder cybercriminelen. De versie die onderzoekers van Symantec hebben gevonden, is hoewel hetzelfde stuurprogramma, ondertekend met een digitale certificaat van het Chinese bedrijf Zhuhai Liancheng Technology Co., Ltd.
Dit laat zien dat cybercriminelen leveranciers hebben die legitieme handtekeningen kunnen leveren van vertrouwde entiteiten zodat hun kwaadaardige hulpmiddelen verificatiemechanismen kunnen doorstaan en detectie kunnen vermijden. De onderzoekers merken op dat dezelfde stuurprogramma werd gebruikt in activiteiten die vermoedelijk leiden tot een ransomware-aanval op een non-profit entiteit in Canada.
Symantec zegt dat de Bluebottle-activiteit die ze zagen was zo recent als juli 2022 en liep tot september. Het is echter mogelijk dat sommige activiteiten al een paar maanden eerder, in mei, zijn begonnen.
De recente aanvallen tonen ook enkele nieuwe TTP’s, waaronder het gebruik van GuLoader in de vroege stadia van de aanval. Bovendien zagen de onderzoekers aanwijzingen dat de dreigingsacteur ISO-schijfafbeeldingen gebruikte als initiële infectievector in gerichte spearphishing met als thema banen. Symantec-onderzoekers analyseerden Bluebottle-aanvallen op drie verschillende financiële instellingen in Afrikaanse landen.
Bij één daarvan steunde de dreigingsacteur zich op meerdere dual-use-tools en hulpprogramma’s die al op het systeem aanwezig waren. Beschikbare gebruikte tools:
- Quser voor gebruikersontdekking
- Ping voor het controleren van internetverbinding
- Ngrok voor netwerktunneling
- Net localgroup /add voor het toevoegen van gebruikers
- Fortinet VPN client – waarschijnlijk voor een secundaire toegangskanaal
- Xcopy om RDP-wrapperbestanden te kopiëren
- Netsh om poort 3389 in de firewall te openen
- Het Autoupdatebat ‘Automatische RDP Wrapper-installatie- en updatetool’ om meerdere gelijktijdige RDP-sessies op een systeem mogelijk te maken
- SC privs om SSH-agentmachtigingen te wijzigen – dit zou kunnen zijn voor manipulatie voor sleutel diefstal of installatie van een ander kanaal
Hoewel de laatste activiteit op het slachtoffer-netwerk werd gezien in september, zeggen de onderzoekers dat het Ngrok tunneling-gereedschap tot november aanwezig was, wat Group-IB’s bevindingen over de OPERA1ER hackers ondersteunt die zich gedurende lange perioden op de geïnfecteerde netwerken bevonden (tussen de drie tot twaalf maanden).
Bluebottle maakte ook gebruik van kwaadwillige gereedschappen zoals GuLoader, Mimikatz om wachtwoorden uit het geheugen te extraheren, Reveal Keylogger om toetsaanslagen op te nemen en de Netwire remote access trojan.
De bedreigingsacteur begon ongeveer drie weken na de initiële infectie met manuele lateral movement-activiteiten, met behulp van een opdrachtprompt en PsExec.
Hoewel de analyse van de aanvallen en de gebruikte gereedschappen suggereren dat OPERA1ER en Bluebottle dezelfde groep zijn, kan Symantec niet bevestigen dat de activiteit die zij hebben gezien dezelfde monetisatiesucces had als gerapporteerd door Group-IB.