Палмерворм: Шпијунска ИТ банда циља медије, финансијске и друге секторе

Напади су се догодили 2019. године, а наставили су се и у 2020. години, циљајући организације у секторима медија, грађевинарства, инжењеринга, електронике и финансија.

Примећено је да је група користила претходно непознат малвер у тим нападима.

У овој кампањи, Палмерворм користи комбинацију прилагођеног малвера, алата с двоструком наменом и „living off the land“ тактику, у којој нападачи користе софтвер и алате који већ постоје у окружењу жртве.

Палмерворм група је активна барем од 2013. године, док је прва активност у овој кампањи забележена у августу 2019. године.

Тактика, алатке и процедуре

Примећено је да Палмерворм у овим нападима користи како алате с двоструком наменом, тако и прилагођени малвер.

Међу породицама прилагођеног малвера које су уочени, нашли су се Backdoor.Consock, Backdoor.Waship, Backdoor.Dalwit и Backdoor.Nomri.

Није примећено да је група користила ове малвер породице у претходним нападима, већ је могуће је да су то новоразвијени алати или еволуција старијих Палмерворм алата.

Малвер који је Палмерворм користио у прошлости укључивао је Backdoor.Kivars и Backdoor.Pled.

Прилагођени малвер који је група користила у овој кампањи није познат од раније, али други елементи напада имају сличности са прошлим Палмерворм кампањама, што нас доводи до закључка да иста група спроводи ову кампању.

Поред четири поменута, примећено је да група користи прилагођени лоудинг алат и алат за извиђање мреже, које Симантек детектује као тројанца и Hacktool.

Група је такође користила неколико алата двоструке намене, укључујући:

Putty - може се користити за даљинско приступање, како би се извукли подаци и послали нападачима.

PSExec - легитиман Мајкрософтов алат који нападачи могу да злоупотребе за бочно кретање кроз мрежу жртве.

NScan - овај алат се може користити за извиђање мреже, за проналажење других потенцијалних мета на мрежама жртаве.

WinRAR - алатка за архивирање која се може користити за компримовање датотека (потенцијално ради лакшег слања назад нападачима) као и за издвајање датотека из зипованих фолдера.

Све ове алате са двоструком наменом често експлоатишу малициозни актери попут Палмерворма, а примећено је и то да АПТ групе (Advanced Persistent Threat - напредне перзистентне претње), последњих година све више користе „living off the land“ тактику уз коришћење алата са двоструком наменом.

Ови алати обезбеђују нападачима добар степен приступа системима жртава без потребе да креирају компликовани прилагођени малвер који се лакше може повезати с одређеном групом.

У овој кампањи, Палмерворм такође користи украдене сертификате за потписивање кôда којим потписују свој паyлоад, што чини да он изгледа легитимније, а самим тим и да га безбедносни софтвер теже открива.

Није утврђено који је вектор инфекције Палмерворм користио за добијање иницијалног приступа мрежама жртава у овој кампањи, али знамо да је у прошлости група користила циљане, спер-фишинг имејлове како би обезбедила приступ мрежама жртава.

Жртве

Симантек је идентификовао више жртава у овој кампањи, у бројним индустријама, укључујући медије, грађевинарство, инжењеринг, електронику и финансије.

Све медијске, електронске и финансијске компаније биле су стациониране на Тајвану, седиште инжењерске компаније било је у Јапану, а грађевинска компанија у Kини.

Очигледно је да Палмерворм има велико интересовање за компаније у овом региону источне Азије. Сектор компанија које су биле на мети у Сједињеним Амерчким Државама није идентификован.

Шта нападачи желе?

Мада се не може видети шта је Палмерворм извукао од ових жртава, сматра се да се ради о шпијунској групи и највероватније јој је мотив крађа информација од циљаних компанија.

И ако прилагођени малвер који је коришћен у овом нападу није малвер који је Палмерворм раније користио, неке од узорака идентификованих у овом истраживању други вендори детектују као PLEAD, а то је позната Палмерворм породица малвера.

АПТ групе су и даље веома активне у 2020. години, а употреба алата двоструке намене и „living off the land“ тактике чини све тежим откривање њихове активности.

То наглашава потребу за свеобухватним безбедносним решењем које је способно да открије ову врсту активности.

Тим ловаца на претње чини група стручњака за безбедност унутар Симантека, чија је мисија да истражују циљане нападе, допринесу унапређењу заштите у својим производима и презентују анализе које помажу клијентима да адекватно одговоре на нападе.