av Bhabesh Raj Rai, Associate Security Analytics Engineer

Den 6 maj 2021 publicerade CISA en rapport om en ny variant av en utpressningstrojan kallad FiveHands som användes i en framgångsrik nyligen genomförd cyberattack mot en organisation. Tidigare rapporterade Mandiant den 29 april om en aggressiv ekonomiskt motiverad grupp, UNC2447, som utnyttjade en zero-day-sårbarhet i SonicWall VPN för att distribuera utpressningstrojanen FiveHands tillsammans med en avancerad skadlig kod som tidigare kallats SombRAT.

Hur hotaktören UNC2447 fick åtkomst för att kunna installera FiveHands

Den 23 januari 2021 släppte SonicWall en rekommendation om en zero-day-sårbarhet  (CVE-2021-20016) i sina SonicWall Secure Mobile Access-enheter (SMA). Den allvarliga SQL-injektionssårbarheten gör det möjligt för en overifierad angripare att hämta autentiseringsuppgifter från de berörda enheterna på distans. Hotaktören UNC2447 utnyttjade denna zero-day-sårbarhet (T1190) som initial attackvektor för att få åtkomst till målorganisationen.

 Hotaktören använde en rad publika verktyg som RouterScan och Rclone för nätverksidentifiering, behörighetsåtkomst och exfiltreringsfaser.  UNC2447 installerade även en specialanpassad Remote Access-trojan (RAT) kallad SombRAT för att ladda ner och exekvera skadliga nyttolaster. BlackBerry Research and Intelligence-teamet har tidigare rapporterat om användningen av SombRAT i spionagekampanjen CostaRicto.  För att undvika att bli identifierad av säkerhetsverktyg (TA0005), använde UNC2447 batch- (T1059.003) och textfiler för att exekvera och anropa PowerShell-skript (T1059.001) som avkrypterade loader-programmet SombRAT.

Kontakta Logpoint

Kontakta oss och få information om varför branschledande företag väljer Logpoint:

Kontakta Logpoint

Snabbfakta om FiveHands

• Upptäcktes i januari 2021
• Utlöst av hotaktören UNC2447
• UNC2447 har konsekvent använt avancerade funktioner för att kringgå upptäckt
• Distribueras tillsammans med SombRAT

FiveHands använder en aggressiv dubbelutpressningsteknik

FiveHands hotaktörer använder en ökänd dubbelutpressningstaktik för att sätta maximal press på offren att betala lösensumman. De illasinnade aktörerna krypterar de stulna uppgifterna och hotar offren med att offentliggöra intrånget i media och sälja data på hackerforum om offren inte betalar lösensumman för att avkryptera data. F-Secures rapport Attack Landscape Update  visade att nästan40 % av varianterna av utpressningstrojaner som upptäcktes 2020, liksom flera äldre varianter, hade dataexfiltreringskapacitet i slutet av 2020.  När hotaktörer kan exfiltrera data kan de använda sig av dubbelutpressningstaktiken för att öka avkastningen på sina investeringar. Rapporten fann också att i slutet av 2020 använde fler än 15 ransomware-grupper dubbelutpressning jämfört med 2019, där endast varianter av utpressningstrojanen Maze använde denna aggressiva strategi.

Vi kommer att fokusera på hur säkerhetsadministratörer kan använda LogPoint för att enkelt identifiera UNC2447:s taktiker, tekniker och procedurer (TTP:er) för att installera utpressningstrojanen FiveHands.

Identifiera FiveHands med hjälp av LogPoint

Den initiala infektionsvektorn var genom en zero-day-sårbarhet i SonicWall SMA100-enheter. Gruppen som identifierade zero-day-sårbarheten vill dock inte avslöja detaljer om hur kompromettering kan identifieras eftersom gruppen inte vill hjälpa angriparna att bygga sina egna PoC:er, som i fallet med F5 och Citrix. Trots bristen på detaljer kan vi fortfarande fortsätta att identifiera FiveHands i andra faser av dess Kill Chain.

För reconnaissance använde UNC2447 SoftPerfect Network Scanner (netscan.exe) för att samla in värdnamn och identifiera nätverkstjänster (T1046). Vi kan enkelt hålla utkik efter exekvering av detta verktyg via Sysmons processkapande händelser.

norm_id=WindowsSysmon label="Process" label=Create vendor="SoftPerfect Pty Ltd" description="Application for scanning networks"

Verktyget genererar en rapport av dess resultat som kallas netscan.xml eller mer allmänt <Namn på exe>.xml. Om Sysmon har konfigurerats för att logga skapande av XML-filer fungerar detta som ytterligare en metod för att identifiera exekvering av verktyget.

[ norm_id=WindowsSysmon label="Process" label=Create -image IN ["C:\Windows\*", "C:\Program Files*"] | norm on image <image_name:'[^\\]+'><:'(?i)\.exe'> ] as s1 followed by[ norm_id=WindowsSysmon event_id=11 file="*.XML" | norm on file <file_name:'\S+'><:'(?i)\.xml'> ] as s2 on s1.image_name=s2.file_name

På samma sätt använde UNC2447 verktyget RouterScan för att identifiera nätverksroutrar och proxyservrar i nätverket. Den senaste versionen av RouterScan innehåller en lista över vanligt förekommande administratörsnamn och lösenord som kan användas för en ordboksattack (T1110.001) för att få tillgång till en router tillsammans med förmågan att identifiera vanliga sårbarheter och utnyttja svagheter mot många populära routrar (T1595.002). Verktyget kan också skanna alla subnät och alla specifika portar/protokoll (T1046). RouterScan-verktyget kan enkelt identifieras via Sysmons processkapande händelser.

norm_id=WindowsSysmon label="Process" label=Create application="Router Scan by Stas'M"

Alternativt kan vi hålla utkik efter uppladdning av DLL-filerna som RouterScan behöver för att fungera via Sysmons filskapande händelser. 

norm_id=WindowsSysmon event_id=11 file IN ["librouter.dll", "libeay32.dll"]

UNC2447 har också använt Microsofts populära fjärradministrationsverktyg PsExec för att exekvera nyttolasten på olika värdar. Du kan identifiera PsExec via Windows-händelser och Sysmons pipe-händelser enligt nedan.

norm_id=WinServer event_id=4697 service=PSEXESVC| chart count() by host, user, service, file

norm_id=WindowsSysmon event_id IN [17, 18] pipe IN ["*-stdin", "*-stderr", "*-stdout"]

Säkerhetsadministratörer kan se vår blogg för mer information om heltäckande sökning av PsExec-exekvering i sina miljöer.

Vi kan också identifiera exekvering av verktyget Rclone, ett molnbaserat lagringsverktyg med öppen källkod via Sysmons processkapande händelser.

norm_id=WindowsSysmon label="Process" label=Create description="Rsync for cloud storage"

På samma sätt installerade UNC2447 en kostnadsfri version av programmet S3 Browser för överföring och nedladdning av data till/från ett molnkonto (T1567.002). Vi kan identifiera installation av S3 Browser från Sysmons register och detektera dess exekvering genom processkapande händelser.

norm_id=WindowsSysmon label=Registry label=Value label=Set detail="*\S3 browser\s3browser-con.exe"norm_id=WindowsSysmon label="Process" label=Create vendor="NetSDK Software, LLC" application="S3 Browser"

Som tidigare nämnt använder UNC2447 batch- och txt-filer (i underkataloger i %PROGRAMDATA%) för att anropa PowerShell-skript som avkrypterar loader-programmet för SombRAT. Vi kan söka efter nedladdning av dessa artefakter via Sysmons filskapande händelser

norm_id=WindowsSysmon event_id=11 path="C:\ProgramData*" file IN ["WwanSvc.*"]

Om Microsoft Defender har konfigurerats i miljön ska du vara uppmärksam på följande hot som är associerade med UNC2447.

norm_id=WinServer label=Threat label=Detect threat IN ["Trojan:Win32/Casdet!rfn", "Trojan:BAT/Somrat", "Ransom:Win32/CryptoLocker!MSR", "Ransom:Win32/Filecoder.PA!MTB"]

Det är avgörande att kunna identifiera utpressningstrojaner i ett tidigt skede

I dagens hotlandskap använder många hotaktörer som UNC2447, UNC1878 och REvil kontinuerligt flera allmänt tillgängliga verktyg som Advanced IP Scanner, Rclone och ADFind i sina kampanjer. Andra hotaktörer kan sannolikt komma ikapp trenden att använda allmänt tillgängliga verktyg för att minska resurserna som krävs för att utveckla sina egna verktyg. Att använda vanligt förekommande publikt tillgängliga verktyg har också den extra fördelen att försvåra arbetet för Threat Intelligence-analytiker.

Således bör företags IT-avdelningar ha detekteringslösningar för identifiering av vanligt förekommande publika verktyg, eftersom de används av aggressiva hotaktörer för att uppnå sina mål mycket snabbt. Om din organisation använder ovannämnda verktyg för legitima administrativa uppgifter kan det vara bättre att övergå till ett annat ramverk som PowerShell och behandla alla exekveringar av dessa verktyg som skadliga. Organisationer måste identifiera exekvering av publika verktyg som används av angripare i ett tidigt skede för att motverka eventuella utpressningsförsök.

Learn more about Logpoint

Book a demo
Customer cases
Customer reviews