Pawn Storm voert aantal spear-phishing-aanvallen op voordat Zero-Days worden gepatcht

Afbeelding Operation Pawn StormLees hier de originele, Engelstalige blogpost door: Feike Hacquebord (Senior Threat Researcher)

De effectiviteit van een zero-day als aanvalsinstrument vermindert snel nadat het is ontdekt en gepatcht door de getroffen softwareleveranciers. In de tijd tussen de ontdekking en de fix, zou een slechterik kunnen proberen het maximale te halen uit zijn eerder nog waardevolle aanvalsinstrument. Dit is dan ook precies wat we eind oktober en begin november 2016 zagen gebeuren toen spionagegroep Pawn Storm (ook wel bekend als Fancy Bear, APT28, Sofacy, en STRONTIUM) het aantal spear-phishing-campagnes opvoerde tegen verschillende regeringen en ambassades over de hele wereld. In deze campagnes gebruikte Pawn Storm een voorheen onbekende zero-day in Adobe’s flash (CVE-2016-7855, gefixt op 26 oktober 2016 met een emergency update) in combinatie met een privilege escalation kwetsbaarheid in Microsoft’s Windows Operating System (CVE-2016-7255) die op 8 november 2016 is gefixt.

Na de correctie van CVE-2016-7855 in Adobe’s Flash, begon Pawn Storm veel meer doelen bloot te stellen aan deze kwetsbaarheden. We hebben verschillende campagnes gezien die gericht waren tegen high-profile doelen tussen 28 oktober 2016 en begin november 2016.

Afbeelding 1 infectie chain

Afbeelding 1: Infectieroute van de spear-phishing-campagne

Begin november stuurde Pawn Storm spear-phishing e-mails naar verschillende regeringen over de hele wereld. In één van de campagnes van Pawn Storm op 1 november was het e-mailonderwerp: “Statement van het Europees Parlement over nucleaire bedreigingen”. De e-mail kwam ogenschijnlijk van een echte persvoorlichter die werkt voor de persafdeling van de Europese Unie. Maar in werkelijkheid was de afzender van het e-mailadres vervalst. Een klik op de link in de spear-phishing e-mail zou leiden naar de exploit kit van Pawn Storm.

Deze exploit kit infecteert eerst zijn doelen met invasive Javascript, dat OS-gegevens, tijdzone, geïnstalleerde browser plugins en taalinstellingen uploadt naar de exploit server. De exploit server stuurt dan ofwel een exploit terug, of redirect simpelweg naar een goedaardige server. In de recente aanvallen zagen we dat de exploit kit de geselecteerde doelen blootstelde aan Flash-kwetsbaarheid CVE-2016-7855 gecombineerd met, in die tijd ongepatchte, de privilege escalation kwetsbaarheid in Windows (CVE-2016-7255). Internetgebruikers die gebruik maakten van Windows Vista tot Windows 7, zonder de nieuwste patch voor Flash, liepen groot risico om automatisch geïnfecteerd te raken.

Van 28 oktober tot begin november 2016 werden verschillende stromen met spear-phishing e-mails verstuurd naar ambassades en andere overheidsinstellingen. Sommige van de e-mails deden zich voor als een uitnodiging voor een ‘Cyber Threat Intelligence en Incident Response conferentie in november’ van Defensie IQ, een media-organisatie die gespecialiseerd is in het nieuws van defensie en het leger. De conferentie bestaat echt, maar het afzenderadres was vervalst. De spear-phishing e-mail bevatte een RTF (Rich Text Format)-document met de naam ‘Programm Details.doc’.

Het openen van het RTF-document (gedetecteerd door Trend Micro als TROJ_ARTIEF.JEJOSU) zou de programma-details van de echte conferentie in Londen laten zien. Echter heeft het RTF-document een embedded Flash-bestand (SWF_CONEX.A ) dat extra bestanden van een externe server downloadt. Deze aanvalsmethodologie van Pawn Storm is eerder waargenomen. We hebben ook geconstateerd dat het embedded Flash-bestand een Flash-exploit downloadt voor het onlangs gepatchte CVE-2016-7855. Er werd ook een tweede dossier gedownload, maar dit bestand liet Microsoft Word steeds crashen tijdens onze tests.

Afbeelding 2 phishing email

Afbeelding 2: Spear-phishingmail van Pawn Storm

Afbeelding 3 word bestand met programma conferentie Londen

Afbeelding 3: Het Word-document met programma van de daadwerkelijke conferentie met embedded Flash-bestand dat exploits downloadt van een server op afstand

Afgezien van deze twee campagnes, lanceerde Pawn Storm nog verscheidene andere campagnes in de periode tussen de ontdekking van de zero-days en de release van de patches van Adobe en Microsoft. Dit toont aan dat Pawn Storm het aantal spear-phishing-aanvallen heeft opgevoerd kort nadat de zero-days werden ontdekt. Het is mogelijk dat niet alle organisaties in staat zijn geweest onmiddellijk Adobe’s Flash te patchen en de Windows-kwetsbaarheid werd niet gepatcht tot 8 november 2016.

Eindgebruikers worden dringend verzocht hun Windows-OS (via MS16-135) en Flash Player te updaten (via de emergency patch) om deze bedreigingen af te weren.

Trend Micro-oplossingen

Trend Micro Deep Discovery maakt gebruik van uitgebreide detectietechnieken en controleert al het verkeer binnen virtuele en fysieke netwerken voor real-time bescherming en diepgaande threat-analyse. Smart Sandbox, een op maat gemaakte sandbox- en emulator-technologie die onderdeel is van Trend Micro Deep Security, en Vulnerability Protection bieden virtual patching voor de bescherming van endpoints en netwerken tegen bedreigingen die ongepatchte kwetsbaarheden misbruiken. OfficeScan’s Intrusion Defense Firewall plugin beschermt endpoints tegen geïdentificeerde en onbekende kwetsbaarheid-exploits, nog voordat patches worden geïmplementeerd.

TippingPoint-klanten worden beschermd tegen aanvallen die misbruik maken van deze kwetsbaarheden met deze MainlineDV filters:

  •         25498: HTTP: Adobe Flash AMF Use-After-Free Vulnerability
  •         25729: HTTP: Microsoft Windows NtSetWindowLongPtr Privilege Escalation Vulnerability
  •         25728: HTTPS: TROJ_KEFLER.A Checkin

TSPY_SEDNIT.F is gedetecteerd door Trend Micro Deep Discovery Sandbox as VAN_FILE_INFECTOR.UMXX.

Trend Micro Deep Security and Vulnerability Protection beschermen endpoints en netwerken via Rule-update DSRU16-034, inclusief de volgende Deep Packet Inspection (DPI)-rules:

  •         1008003-Adobe Flash Player Use-After-Free Vulnerability (CVE-2016-7855)
  •         1008033-Microsoft Windows Elevation Of Privilege Vulnerability

Indicators of Compromise:

Exploit sites:

  •         abc24news[.]com
  •         defenceglobalnews[.]com
  •         globaldefencetalk[.]com
  •         politlco[.]com
  •         pressservices[.]net
  •         washingtnpostnews[.]com
  •         worldpressjournal[.]com
  •         worldpostjournal[.]com

RTF document (TROJ_ARTIEF.JEJOSU): 4173b29a251cd9c1cab135f67cb60acab4ace0c5

CVE-2016-7855 sample (SWF_EXES.A): cb1e30e6e583178f8d4bf6a487a399bd341c0cdc

Payload (TSPY_SEDNIT.F): c2f8ea43f0599444d0f6334fc6634082fdd4a69f

C&C Servers:

  •         microsoftstoreservice[.]com
  •         servicetlnt[.]net
  •         windowsdefltr[.]net

Remote sites giving back exploits to RTF Documents met embedded SWF:

  •         appexsrv[.]net
  •         securityprotectingcorp[.]com
  •         uniquecorpind[.]com
  •         versiontask[.]com

Met aanvullende analyse door Francis Antazo en Jeanne Jocson

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *