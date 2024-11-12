A partir de novembro de 2024, a IBM X-Force tem monitorado campanhas Hive0145 em andamento, entregando malware Strela Stealer a vítimas em toda a Europa, principalmente Espanha, Alemanha e Ucrânia. Os e-mails de phishing usados nessas campanhas são notificações de faturas reais, que foram roubadas por meio de credenciais de e-mail exfiltradas anteriormente. O Strela Stealer foi projetado para extrair credenciais de usuário armazenadas no Microsoft Outlook e no Mozilla Thunderbird. Durante os últimos 18 meses, o grupo testou várias técnicas para aprimorar a eficácia de suas operações. É provável que o Hive0145 seja um corretor de acesso inicial (IAB) com motivação financeira, ativo desde o final de 2022 e, potencialmente, o único operador do Strela Stealer. O ritmo operacional contínuo das campanhas da Hive0145 destaca um risco maior para possíveis vítimas em toda a Europa.
A partir de meados de abril de 2023, o X-Force começou a rastrear um aumento na atividade do Hive0145. O Hive0145 é provavelmente um corretor de acesso inicial (IAB) com motivação financeira e, potencialmente, o único operador do Strela Stealer. Strela Stealer é um malware projetado para extrair credenciais de e-mail dos usuários armazenados no Microsoft Outlook e no Mozilla Thunderbird, potencialmente levando ao Comprometimento de E-mails Empresariais (BEC). Os IABs coletam rotineiramente credenciais e outros dados que são vendidos a agentes da ameaça afiliados especializados na invasão da rede das vítimas. No entanto, não se sabe se a Hive0145 tem uma rede de parceiros específica para vender o acesso obtido por meio de suas campanhas.
Ao longo do ano passado, a Hive0145 demonstrou proficiência na evolução de Táticas, Técnicas e Procedimentos (TTPs) para visar vítimas em toda a Europa. Vítimas italianas, espanholas, alemãs e ucranianas continuam recebendo anexos armados que as induzem a abrir o arquivo. As campanhas do agente apresentam à vítima faturas ou recibos falsos e, muitas vezes, uma mensagem curta e genérica de urgência para as vítimas atenderem. Ao carregar o arquivo anexado, a vítima executa involuntariamente a cadeia de infecção que leva ao malware Strela Stealer.
Figura 1 Campanha de e-mail com o tema do Banco Santander
O Hive0145 continuou esse padrão de uso de mensagens genéricas, faturas e recibos falsos ao longo do primeiro semestre de 2024. No entanto, no início de julho de 2024, o grupo adotou uma abordagem diferente e começou a transformar e-mails roubados de entidades reais nos setores financeiro, de tecnologia, manufatura, mídia, comércio eletrônico e outros. A mudança na simplicidade indica a mudança do Hive0145 em um recurso de operações cibernéticas que está amadurecendo.
Em julho de 2024, a X-Force observou uma mudança no meio da campanha nos e-mails distribuídos pela Hive0145, com as mensagens curtas e genéricas sendo substituídas pelo que pareciam ser e-mails roubados legítimos. Os e-mails de phishing correspondiam exatamente aos e-mails oficiais de comunicação de faturas e, em alguns casos, ainda se dirigiam diretamente aos destinatários originais pelo nome. X-Force conseguiu verificar que os e-mails eram de fato notificações de faturas autênticas de uma variedade de entidades dos setores financeiro, de tecnologia, manufatura, mídia, comércio eletrônico e outros setores. É provável que o grupo tenha obtido os e-mails por meio de credenciais anteriormente exfiltradas de suas campanhas anteriores.
O conceito de usar e-mails roubados não é novo, foi usado amplamente pelo grupo Emotet e distribuidores de malware, como Hive0118 (também conhecido como TA577), TA551 e TA570. Em suas campanhas, eles aproveitavam o sequestro de encadeamento, onde novos encadeamentos para e-mails roubados eram usados como forma de aumentar a aparência de legitimidade. Os e-mails modificados foram enviados aos contatos correspondentes de vítimas anteriores, fazendo com que o e-mail final parecesse uma resposta ao e-mail roubado, interceptando assim o encadeamento de e-mails. O texto que os distribuidores adicionam aos e-mails geralmente é uma resposta curta, solicitando que as vítimas vejam os anexos ou URLs incluídos.
A técnica empregada pelo Hive0145 difere do thread-hijacking porque, em vez de adicionar uma mensagem de resposta ao e-mail roubado, o conteúdo original permanece praticamente inalterado e apenas o anexo é alterado para incluir uma carga útil maliciosa com o nome de arquivo original (sem a extensão original) . Dentro do corpo do e-mail, o Hive0145 também substitui a parte local e o domínio do remetente de e-mail original pela da nova vítima de phishing para personalizar o e-mail. Os e-mails com anexos sequestrados são então enviados em campanhas de phishing em massa. O Hive0145 também parece considerar cuidadosamente os e-mails sequestrados, selecionando apenas aqueles que se referem a faturas e contêm anexos. O X-Force observa a técnica de sequestro de anexos desde meados de 2024 em campanhas direcionadas a falantes de alemão, espanhol e ucraniano.
Figura 2 Exemplo de e-mail original roubado de uma fatura da Deutsche Bahn com anexo sequestrado
A campanha de julho de 2024 começou a revelar baixos volumes de entrega de e-mails durante a semana de 8 de julho. O Hive0145 pareceu fazer uma pequena pausa antes de retornar com uma campanha maior na semana de 22 de julho, seguida por um período de inatividade. A partir de meados de outubro de 2024, o Hive0145 voltou com uma campanha generalizada de sequestro de anexos visando vítimas espanholas, alemãs e ucranianas. Ao contrário da breve campanha de julho, esta continuou enviando volumes notáveis de e-mails, com a maioria enviada durante os dias da semana.
Figura 3 A campanha em andamento do final de outubro de 2024
Os e-mails roubados dos setores financeiro, de tecnologia, manufatura, mídia, comércio eletrônico e outros continuam sendo usados como armas desde o início de novembro de 2024, em uma das maiores campanhas observadas do Hive0145 até o momento. Na campanha em andamento, a vítima recebe um arquivo contendo um arquivo JavaScript altamente ofuscado que baixa e executa uma LLC criptografada do Strela Stealer. A partir de 7 de novembro de 2024, a Hive0145 está incluindo falantes de ucraniano na campanha em andamento, sinalizando um desenvolvimento significativo em comparação com a vitimologia observada anteriormente.
Figura 4 Exemplo do e-mail roubado original de uma fatura direcionada à Ucrânia
O aumento do volume de entregas do Hive0145 usando sequestro de anexos com um fornecimento constante de e-mails recém-roubados pode sugerir que o grupo adotou a automação para coletar, armar, empacotar e enviar seus e-mails de phishing . O grupo continua a mostrar preferência pela invasão generalizada de vítimas espanholas, alemãs e ucranianas em toda a Europa.
A Hive0145 se destaca entre outros distribuidores de malware por seu nível de esforço em adotar métodos cada vez mais sofisticados de entregar o Strela Stealer. O nível de sofisticação reflete outros distribuidores em massa bem-sucedidos de malware, como Emotet, Pikabot e Qakbot, que frequentemente levaram à implantação de ransomware. Veja abaixo um detalhamento das técnicas notáveis usadas pelo Hive0145 ao longo do tempo, com algumas sendo testadas brevemente e outras totalmente adotadas.
As primeiras campanhas de Strela Stealer observadas pelo X-Force fizeram uso de arquivos poliglotas, conforme relatado pela primeira vez em um blog pela DCSO (Deutsche Cyber-Sicherheitsorganization) no final de 2022. Esses arquivos têm vários formatos válidos e podem ser analisados por diferentes aplicações. O mesmo arquivo poderia ser renderizado como HTML para exibir uma fatura falsa e ser uma LLC válida, implementando o Strela Stealer. Essa é uma técnica bastante incomum para tentar contornar as soluções de segurança.
Várias campanhas ao longo de 2023 fizeram uso de certificados de assinatura de código válidos para os binários maliciosos do Strela Stealer. Por exemplo, campanhas direcionadas a vítimas que falam espanhol datadas de abril de 2023 continham cargas úteis com um certificado válido assinado pela Tecfinance Informatica E Projetos De Sistemas Ltda, uma empresa de software brasileira.
Figura 5 certificado de empresa brasileira utilizado nas campanhas de 2023
Em 5 de maio de 2024, a X-Force tomou medidas para informar as partes relevantes da descoberta, e o certificado foi revogado desde então.
Digno de nota, uma campanha direcionada à Itália em meados de 2023 usou um certificado diferente:
Figura 6 Outro certificado roubado usado em meados de 2023 para visar vítimas italianas
As campanhas de phishing do Strela Stealer também personalizaram os nomes dos arquivos para incluir nomes de domínios direcionados. Os nomes dos arquivos geralmente são idênticos ao nome da organização ou empresa, possivelmente em uma tentativa de gerar autenticidade. O exemplo abaixo é um e-mail de phishing de 2023 se passando por uma fatura ou recibo de pagamento.
Figura 7 Campanha de e-mail com o tema Factura
Como o e-mail sugere, os anexos são arquivos ZIP criptografados, com senhas ligeiramente diferentes entre cada e-mail. Os agentes da ameaça criptografam anexos de e-mail, já que as soluções básicas de filtragem de e-mail e áreas de testes muitas vezes não conseguem inspecionar ou detonar esses arquivos.
Strela Stealer também usou extensões incomuns para seus arquivos executáveis de PE, .com em vez de .exe:
Isso faz uso de uma condição nos sistemas operacionais Microsoft Windows onde três extensões diferentes podem ser usadas para marcar um arquivo como executável:.exe,.com, e .pif.
Se o conteúdo for um arquivo PE executável, o Microsoft Windows o executará automaticamente assim que for aberto. Ao usar as extensões mais incomuns e desconhecidas, a campanha pode evitar soluções antivírus simples ou suspeitar da vítima. Também foi observada a utilização das mesmas cargas úteis de .pif em campanhas anteriores .
Além de arquivos ZIP diretamente anexados aos executáveis maliciosos, as campanhas de Strela Stealer também costumam usar scripts ofuscados, como Batch, JavaScript ou PowerShell, para baixar ou descartar sua carga útil.
As campanhas ao longo de 2024 dependiam principalmente desses scripts ofuscados para executar um comando do PowerShell para se conectar a um servidor WebDAV e baixar e executar uma LLC criptografada:
Os servidores de preparação WebDAV hospedam um grande número de LLCs, com nomes e hashes diferentes. Eles parecem ter sido construídos usando uma criptografia que a X-Force identifica como “Stellar Crypter”, que provavelmente está em uso exclusivamente pela Hive0145 desde pelo menos maio de 2023. Os binários maliciosos identificados como “Stellar Loader” contêm a carga útil do Strela Stealer criptografada.
Stellar Loader é um criptografador que está em uso desde pelo menos abril de 2023 e é predominantemente um precursor para seguir as cargas úteis de Strela Stealer. As amostras do Stellar geralmente são altamente ofuscadas e fazem uso de técnicas como ofuscação de fluxo de controle e incluem grandes quantidades de instruções inúteis para dificultar a análise e a criação de assinatura. A carga útil do Stellar é criptografada com XOR e armazenada no repositório da seção .data do binário do Stellar Loader. Os dados de carga útil criptografados são precedidos pela chave XOR que, em amostras recentes, consiste somente em letras maiúsculas e minúsculas e pode ter milhares de caracteres de comprimento.
Após a execução, o Stellar Loader descriptografa os dados de carga útil usando XOR e a chave armazenada. O processo de descriptografia também pode envolver uma rodada adicional de XOR usando uma chave de byte único codificada. Como parte da ofuscação do código Stellar Loader, o algoritmo de descriptografia dentro do código é frequentemente expandido para incluir centenas de operações. No entanto, a grande maioria dessas operações anula umas às outras, e o que aparece como um algoritmo complexo pode ser reduzido a uma operação XOR simples. A captura de tela abaixo mostra uma versão do Stellar Loader com ofuscação mínima, onde a estrutura do código do carregador e o algoritmo de descriptografia podem ser facilmente vistos.
Em versões mais recentes do carregador, os dados de carga útil criptografados são seguidos por um bloco criptografado adicional contendo uma lista de nomes de API exigidos pelo código do carregador, como VirtualAlloc. O carregador descriptografa esse bloco usando a mesma chave da carga útil, mas sem o XOR de byte único adicional. O carregador pode então usar os nomes de API no bloco para lidar com os API correspondentes.
Depois que a carga útil e a lista de APIs forem descriptografadas, a Stellar aloca espaço na memória usando VirtualAlloc e mapeia a carga útil PE lidando com o endereço alocado. Em seguida, ele executa as etapas padrão de carregamento do PE, como carregar suas importações e processar quaisquer seções de realocação (.relocs) e, por fim, executa a carga útil lidando com seu ponto de entrada.
Strela Stealer mudou pouco em funcionalidade nos últimos dois anos. Começando com a versão inicial relatada pelo DCSO no final de 2022, o principal objetivo do roubador é exfiltrar credenciais de e-mail de dois clientes de e-mail comuns: Microsoft Outlook e Trovejante. Isso é consistente em todas as variantes, no entanto, a variante mais recente oferece suporte a mais chaves de registro para pesquisar credenciais do Microsoft Outlook do que as versões anteriores.
O Strela Stealer executa duas funções encarregadas de roubar credenciais de dois clientes de e-mail:
Cliente de e-mail
Thunderbird
Microsoft Outlook
Local
Sistema de arquivos
Registro
Caminho
%APPDATA%
%APPDATA%
SOFTWARE\\Microsoft\\Office\\16.0\\Outlook\\Profiles\\Outlook\\
SOFTWARE\\Microsoft\\Office\\15.0\\Outlook\\Profiles\\Outlook\\
Software\\Microsoft\\Windows Messaging Subsystem\\Profiles\\9375CFF0413111d3B88A00104B2A6676
Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows MessagingSubsystem\\Profiles\\Outlook\\
Para o Outlook, o Strela Stealer procura especificamente os valores de registro:
Os dados são formatados e anexados à string "FF" ou "OL" para dados do Trovejar e dados do Outlook, respectivamente. Em seguida, ele também é criptografado com uma chave XOR estática, que representa uma string GUID como:
Em seguida, o Strela Stealer envia uma solicitação POST para cada cliente de e-mail para o seu servidor C2 codificado:
A resposta é descriptografada com a mesma chave XOR acima. O Strela Stealer continua enviando solicitações POST em intervalos de 1 segundo até que uma solicitação falhe ou receba de volta a string "KH" (versões 2023), "ANTIROK" (versões 2024) ou "CHOLLIMA" (Nov. 2024 versões).
A partir de outubro de 2024, o Strela Stealer também inclui mais duas funções de exfiltração. O primeiro reúne informações do sistema no host e as grava em um arquivo por meio do comando:
A segunda função de exfiltração usa objetos COM para enumerar a lista de aplicações instaladas da "AppsFolder" (uma pasta virtual, exibida como "Aplicações") na máquina da vítima.
O arquivo descartado, bem como a lista de aplicações instalados, são lidos e criptografados antes da exfiltração da mesma forma que os outros. Eles são enviados ao servidor C2 com os identificadores "SI" e "LA", respectivamente.
O Strela Stealer começou a implementar verificações de idioma verificando o idioma do teclado no host da vítima. As versões ao longo de 2024 são executadas somente em hosts com um dos seguintes idiomas de teclado:
No início de novembro, o Hive0145 também começou a distribuir e-mails roubados em ucraniano e modificou ligeiramente a lógica de verificação de idioma, adicionando ucraniano (0x422) à lista de layouts de teclado. Além disso, os desenvolvedores passaram a usar a API GetKeyboardLayoutList para cobrir todos os layouts de teclado instalados. Se nenhum dos idiomas corresponder, Strela Stealer tem uma verificação secundária comparando o resultado da localidade padrão do usuário de GetLocaleInfoA com "AU" e "UA", que são os códigos para Austrália e Ucrânia. É possível que o desenvolvedor não tivesse certeza da endianness do valor retornado e não pretendesse ter como alvo a Austrália. Em geral, essas mudanças aumentam o escopo das máquinas disponíveis para uma infecção por Strela Stealer.
Anteriormente, o malware exibia uma mensagem de erro discreta ao usuário após a execução, para não levantar nenhuma suspeita. Afirma que o arquivo foi corrompido e não pode ser aberto, no idioma que depende do teclado instalado. As versões mais recentes utilizam a mensagem de erro mais universal "Err 100", que é exibida após 5 segundos a partir do início da execução.
Em junho de 2023, o X-Force observou uma única campanha Hive0145 direcionada à Itália entregando uma nova variante Strela Stealer que foi completamente reescrita em .NET. Semelhante a campanhas anteriores, ela também utilizava certificados de assinatura de código válidos. A reimplementação do malware em uma linguagem diferente mostra um esforço significativo por parte do agente de ameaça. Para ocultar strings, nomes de funções e fluxo de controle, os desenvolvedores utilizaram o comercial “Aldaray Rummage Obfuscator” para .NET. A captura de tela abaixo mostra o código usado para acessar e desproteger as credenciais IMAP das chaves de registro do Microsoft Outlook.
Notavelmente, o ofuscador comercial inclui uma marca d'água para a licença, que foi observada como:
O exemplo acima exibe a seguinte mensagem de erro em italiano:
O foco do Hive0145 na coleta de credenciais de e-mail os diferencia de outros operadores de malware de roubo de botnets ou botnets, que geralmente são comoditizados e têm como alvo uma gama mais ampla de credenciais e dados, ou facilitam cargas úteis de acompanhamento destinadas ao acesso inicial. O uso de e-mails roubados pelo Hive0145 para sequestro de anexos é um indicador de que uma parte das credenciais de e-mail roubadas pode ser usada para coletar e-mails legítimos para distribuição adicional. Tanto os e-mails roubados quanto os criados por agentes usados pelo Hive0145 apresentam predominantemente notas fiscais como temas, o que aponta para uma possível motivação financeira. É possível que o Hive0145 venda e-mails roubados a parceiros afiliados com o objetivo de comprometer ainda mais o e-mail comercial.
Hive0145 é um agente da ameaça que amadurece rapidamente e procura infectar as vítimas com a intenção de obter credenciais de e-mail válidas. As observações sugerem que o roubo de credenciais de e-mail, por meio das campanhas iniciais, levou a um maior roubo de e-mails válidos usados em campanhas subsequentes de sequestro de anexos. O malware Stela Stealer continua a ser uma ferramenta eficaz para a Hive0145 para extrair credenciais de e-mail.
A grande variedade de setores emulados pelas campanhas de e-mail da Hive0145 aumenta o risco potencial de ser alvo de organizações comerciais em toda a Europa. É importante observar que organizações em regiões de língua italiana, espanhola, alemã ou ucraniana podem estar em risco mais imediato de uma campanha da Hive0145. A X-Force recomenda maior vigilância em relação aos anexos de e-mail recebidos e avaliações cuidadosas do tipo de arquivo esperado entregue.
A X-Force recomenda que as organizações:
Indicador
Tipo de indicador
Contexto
03853c56bcfdf87d71ba
SHA256
Stellar Loader (outubro de 2024)
e50bea80513116a1988822
SHA256
Stellar Loader (maio de 2024)
2cac42735170cd3f67111807
SHA256
Stellar Loader - ofuscação mínima (Janeiro de 2024)
9a032497b82c3db8146cb6
SHA256
Carga útil do Strela Stealer
e4a7ad38aaea4bd27c32c57
SHA256
Carga útil do Strela Stealer
2f7ac330e100b577748bb34
SHA256
Stellar Loader (novembro de 2024)
94.159.113[.]48
IPv4
Strela Stealer C2
94.159.113[.]86
IPv4
Strela Stealer C2
193.109.85[.]231
IPv4
Strela Stealer C2
5906c8e683b8eb9d2bc104f
SHA256
Variante do Strela Stealer .NET
