Um dos alvos do grupo chamado Waterbug (também conhecido como Turla) foi o Ministério das Relações Exteriores de um país da América Latina

O grupo de espionagem Waterbug (também conhecido como Turla) tem prosseguido com seu ataque a governos e organizações internacionais ao longo dos últimos dezoito meses, em uma série de campanhas que contam com um conjunto de ferramentas que evolui rapidamente com a aparente invasão da infraestrutura de outro grupo de espionagem.

Três ondas de ataques

A recente atividade do Waterbug pode ser dividida em três campanhas distintas. Uma campanha envolveu uma nova backdoor chamada Neptun (Backdoor.Whisperer), que é instalada nos servidores do Microsoft Exchange e é desenvolvida para obedecer aos comandos dos invasores de forma passiva. Essa capacidade de resposta passiva torna mais difícil a detecção desse malware. Neptun também é capaz de fazer o download de ferramentas adicionais, fazer upload de arquivos roubados e executar comandos de shell. Um dos ataques, durante essa campanha, envolveu o uso da infraestrutura pertencente a outro grupo de espionagem conhecido como Crambus (vulgo OilRig, APT34).

Uma segunda campanha usou a Meterpreter, uma backdoor disponível publicamente. O Waterbug tem usado a Meterpreter desde, pelo menos, 2018 e, em sua campanha, usou uma versão modificada que foi codificada e recebeu uma extensão .wav, para poder ocultar seu verdadeiro propósito.

A terceira campanha implantou uma backdoor de RTC personalizada diferente daquela usada na segunda campanha, e que usava um código derivado do PowerShellRunner, disponível publicamente Essa ferramenta foi desenvolvida para burlar a detecção que identifica o uso malicioso do PowerShell.

Reequipado

As campanhas mais recentes do Waterbug envolveram uma linha de novas ferramentas, incluindo malwares personalizados, versões modificadas de ferramentas de hacking disponíveis publicamente e outras legítimas de administração. O grupo também seguiu a tendência atual de “ferramentas prontas”, fazendo uso de scripts do PowerShell e PsExec, do Microsoft Sysinternals e usada para executar processos em outros sistemas.

Além das novas ferramentas já mencionadas acima, o Waterbug também implantou: Um novo disseminador personalizado que é utilizado para instalar a Neptun como um serviço.

Uma ferramenta de hacking personalizada que combina quatro ferramentas vazadas do Equation Group (EternalBlue, EternalRomance, DoublePulsar e SMBTouch) em um único executável.

Uma ferramenta USB de coleta de dados que busca um drive USB conectado e rouba certos tipos de arquivos, criptografando-os em um arquivo RAR. O WebDAV é então utilizado para fazer upload a um drive Box na nuvem.

Scripts do Visual Basic que executam o reconhecimento do sistema após a infecção inicial e, em seguida, enviam as informações aos servidores de comando e controle (C&C) do Waterbug.

Scripts de PowerShell que executam o reconhecimento do sistema e o roubo de credenciais do Windows Credential Manager e depois enviam essa informação de volta aos C&Cs do Waterbug.

Ferramentas disponíveis publicamente, como a IntelliAdmin, para executar comandos de RPC, SScan e NBTScan para reconhecimento de rede, PsExec para a execução de movimento lateral, Mimikatz (Hacktool.Mimikatz) para o roubo de credenciais, e Certutil.exe para fazer o download de arquivos remotos e decodificá-los. Essas ferramentas foram identificadas tendo seu download feito por ferramentas ou pela infraestrutura do Waterbug.

Vítimas

Essas três recentes campanhas do Waterbug fizeram o grupo comprometer governos e organizações internacionais por todo o mundo, além de alvos nos setores de TI e educação. Desde o começo de 2018, o Waterbug já atacou 13 organizações em 10 países diferentes: O Ministério das Relações Exteriores de um país da América Latina; o Ministério das Relações Exteriores de um país do Oriente Médio; o Ministério das Relações Exteriores de um país europeu; o Ministério da Administração Interna de um país sul-asiático; duas organizações governamentais não identificadas de um país do Oriente Médio; duas organizações governamentais não identificadas de um país do Sudeste Asiático; o departamento do governo de um país sul-asiático com sede em outro país; uma organização de tecnologias da informação e comunicação de um país do Oriente Médio; duas organizações de tecnologias da informação e comunicação de dois países europeus; uma organização de tecnologias da informação e comunicação de um país sul-asiático; uma organização multinacional de um país do Oriente Médio; uma instituição educacional de um país sul-asiático

Infraestrutura invadida

Durante o ataque a um alvo do Oriente Médio, o Waterbug pareceu ter invadido a infraestrutura do grupo de espionagem Crambus e a utilizado para entregar malwares à rede da vítima. Os relatos da imprensa ligaram Crambus e Waterbug a diferentes países. Apesar de ser possível que os dois grupos estejam colaborando entre si, a Symantec não encontrou nenhuma evidência que possa fundamentar isso. Ao que tudo indica, o uso da infraestrutura do Crambus pela Waterbug parece ter sido uma ocupação hostil. Curiosamente, porém, o Waterbug comprometeu outros computadores da rede da vítima utilizando sua própria infraestrutura.

Durante esse ataque, uma variante personalizada da ferramenta de hacking Mimikatz, disponível publicamente, teve seu download realizado em um computador da rede da vítima, por meio da infraestrutura de rede controlada pelo Crambus. A Symantec acredita que a variante da Mimikatz usada nesse ataque seja única do Waterbug. Ela foi altamente modificada, com quase todo o seu código original sendo alterado, com exceção do recurso de roubo de credenciais sekurlsa::logonpasswords. O Waterbug tem frequentemente feito modificações extensivas em ferramentas disponíveis publicamente, algo de que o Crambus não é conhecido por fazer.

A variante da Mimikatz usada foi acompanhada de uma rotina de empacotamento que nunca foi vista antes em algum malware que não seja do Waterbug. O Waterbug usou este mesmo empacotador em uma segunda variante personalizada da Mimikatz e em um disseminador para o serviço Neuron (Trojan.Cadanif), personalizado pelo grupo.

No caso do ataque contra o alvo do Oriente Médio, o Crambus foi o primeiro grupo a comprometer a rede da vítima, com a primeira evidência de atividade datando de novembro de 2017. A primeira evidência de atividade do Waterbug observada foi em 11 de janeiro de 2018, quando uma ferramenta ligada ao grupo foi disseminada em um computador da rede da vítima. No dia seguinte, 12 de janeiro, a variante da Mimikatz citada acima teve seu download realizado no mesmo computador, por meio de um servidor de C&C do Crambus já conhecido.

As intrusões do Waterbug na rede da vítima continuaram por boa parte de 2018. Por fim, o problema ficou ainda mais confuso devido à aparição de uma ferramenta legítima de administração de sistemas chamada IntelliAdmin, na rede da vítima. Essa ferramenta é conhecida por ter sido usada pelo Crambus e foi mencionada no vazamento de seus documentos. Contudo, neste caso, a IntelliAdmin foi disseminada por backdoors personalizadas do Waterbug, incluindo a backdoor Neptun recém-identificada, em computadores que não tinham sido afetados pelo comprometimento do Crambus.

Demais campanhas

O Waterbug também montou outras duas campanhas ao longo do ano passado, que foram abrangentes e atingiram alvos na Europa, América Latina e sul da Ásia.

Na primeira campanha, o Waterbug usou duas versões de um carregador personalizado para carregar a backdoor PhotoBased.dll e executar a função de exportação GetUpdate nos computadores da vítima. A backdoor modifica o registro do Windows Media Player para armazenar sua configuração de C&C. Ela também reconfigura o registro do Microsoft Sysinternals para prevenir pop-ups ao executar a ferramenta PsExec. A backdoor possui a capacidade de fazer download e upload de arquivos, executar comandos de shell e atualizar sua configuração. O objetivo foi executar vários comandos que fornecem controle total ao sistema da vítima.

Na segunda campanha, o Waterbug usou uma backdoor completamente diferente, chamada securlsa.chk, que pode receber comandos por meio do protocolo RPC. Suas capacidades incluem:

  • Executar comandos por meio do cmd.exe com a saída redirecionada a um arquivo temporário
  • Ler a saída do comando contida no arquivo temporário
  • Ler ou escrever arquivos arbitrários

Apesar das duas campanhas terem envolvido ferramentas distintas durante a fase inicial de comprometimento, havia também muitas similaridades. Ambas eram caracterizadas pelo uso de uma combinação de malware personalizado e ferramentas disponíveis publicamente. Além disso, durante ambas as campanhas, o Waterbug executou várias cargas praticamente simultâneas, provavelmente para garantir a sobreposição do acesso à rede, caso os defensores encontrassem e removessem uma das backdoors.

O Waterbug tomou várias precauções para evitar ser detectado. Ele nomeou a Meterpreter como um arquivo do tipo WAV, provavelmente na esperança de que isso não levantasse suspeitas. O grupo também usou o GitHub como um repositório para as ferramentas que tiveram seus downloads feitos após o comprometimento. Provavelmente, isso também foi motivado por um desejo de evitar a detecção, já que o GitHub é um site conceituado. Ele usou o Certutil.exe para fazer o download dos arquivos do repositório – uma técnica usada para downloads remotos que burla a lista branca de aplicativos.

Em uma dessas campanhas, o Waterbug usou um ladrão de USB que escaneia os dispositivos de armazenamento removíveis, a fim de identificar e coletar arquivos de interesse. Ele então reúne os arquivos roubados em um arquivo RAR protegido por senha. O malware então usa o WebDAV para fazer upload do arquivo RAR para uma conta Box.

Questões sem respostas

Essa é a primeira vez que a Symantec observa um grupo invasor direcionado a invadir e usar a infraestrutura de outro grupo. Contudo, ainda é difícil determinar a motivação por trás da invasão. Não se sabe se o Waterbug simplesmente aproveitou a oportunidade para criar confusão sobre a invasão ou se houve um pensamento mais estratégico.

A constante mudança do conjunto de ferramentas do Waterbug, demonstra um alto nível de adaptabilidade de um grupo determinado a evitar ser detectado, ficando sempre um passo à frente de seus alvos. A adaptabilidade constante e a propensão a flertar com táticas de bandeira falsa fizeram desse grupo um dos adversários mais desafiadores no âmbito de invasões direcionadas.

Fonte: Security Report