SnappyTCP Linux zlonamjerni softver sa C2 sposobnostima
Sigurnosni istraživači kompanije PwC su otkrili SnappyTCP Linux zlonamjerni softver sa C2 sposobnostima. Radi se o zlonamjernom softveru sa obrnutim TCP komandnim okruženjem za Linux ili Unix operativne sisteme iza kojeg stoji zlonamjerni akter pod nazivom Teal Kurma (poznat još kao Sea Turtle, Marbled Dust i Cosmic Wolf).
SnappyTCP Linux zlonamjerni softver sa C2 sposobnostima; Source: Bing Image Creator
TEAL KURMA
Teal Kurma je zlonamjerni akter iz Turske i bio je veoma aktivan između 2018. godine i 2020. godine prije nego što je nestao privremeno nestao iz sigurnosnih izvještaja. Dok je ovaj zlonamjerni akter bio aktivan, bio je uključen u dugotrajne napade velikih razmjera na DNS servere. DNS napadi podrazumijevaju da zlonamjerni akter u njima manipuliše načinom rješavanja DNS upita, što dovodi do preusmjeravanja korisnika na zlonamjerne internet lokacije. Čini se da je Teal Kurma zlonamjerni akter promijenio svoju taktiku kako i mogao koristiti dodatne alate koje još uvijek koristi kako bi postigao ciljeve svojih akcija špijunaže.
SNAPPYTCP
Prema dosadašnjim saznanjima, Teal Kurma je zlonamjerni akter je u prošlosti bio fokusiran na iskorištavanje ranjivosti kako bi dobio inicijalni pristup. Pretpostavlja se da je zlonamjerni akter nastavio da iskorištava ranjivosti, posebno trenutnim iskorištavanjem ranjivosti kao što su CVE-2021-44228, CVE-2021-21974 i CVE-2022-0847. Jednom kada dobije pristup Teal Kurma zlonamjerni akter pokreće skriptu komandnog okruženja koja ubacuje izvršnu datoteku koja poziva server na internetu koji kontroliše zlonamjerni akter.
Internet komandno okruženje je jednostavna verzija obrnutog TCP komandnog okruženja a Linux ili Unix operativne sisteme sa osnovnim C2 mogućnostima i vjerovatno se koristi za uspostavljanje prisustva u korisničkom okruženju. Postoje najmanje dvije osnovne varijante ovog zlonamjernog softvera od kojih jedna koristi OpenSSL za stvaranje bezbjedne veze preko TLS protokola, dok druga verzija šalje zahtjeve u običnom tekstu.
Detaljnija analiza
Sigurnosni istraživači su primijetili da se mnoge SnappyTCP binarne datoteke često kompajliraju sa setovima povezanih programa. Primijećeno je i da je GNU C biblioteka (GLIBC) statički povezana u binarnu datoteku koja programeru zlonamjernog softvera nudi mogućnost da sve zadrži u sebi i da ne mora da se povezuje sa direktorijumom datoteka biblioteke na ciljnoj mašini.
Zbog nedostatka podatka datuma kompajliranja binarne datoteke sigurnosni istraživači nisu mogli da povežu kompajliranje setovima povezanih programa sa evolucijom zlonamjernog softvera. Za ovo postoje dva moguća razloga. Prvi je da postoji više programera koji kompajliraju zlonamjerni softver za zlonamjernog aktera. Drugi razlog je možda taj da uzorke kompajlira jedan programer, ali on unakrsno kompajlira izvorni kôd za različite arhitekture. Prvi razlog bi mogao govoriti o razmjerama operacije, dok bi drugi razlog više odgovarao specifičnim potrebama ciljanja zlonamjernog aktera.
Analiza je još pokazala da obrnuto TCP komandno okruženje ima identičan kôd jednom GitHub repozitoriju, sa jednom razlikom u TLS varijanti: izvršna datoteka pod nazivom pthread pokreće bash proces pod nazivom “update” umjesto “connector” koji se pokreće u kôdu GitHub repozitorija. Uočeno je još uzoraka u repozitoriju koji se koriste za uspostavljanje obrtnog komandnog okruženja, bilo preko TCP ili UDP, koji sadrže IP adrese za koje se sumnja da su povezane sa Teal Kurma aktivnostima.
Nije moguće jasno utvrditi da li zlonamjerni akter kontroliše GitHub repozitorij ili samo zloupotrebljava tuđi kôd, ali sa obzirom na preklapanje između kôda i IP adresa, postoji realna vjerovatnoća da je repozitorij ipak pod kontrolom zlonamjernog aktera.
METE NAPADA
Zlonamjerni akter se fokusira na napade na vlade, telekomunikacije i IT usluge. Svaki od ovih sektora sadrži niz informacija visoke vrijednosti. Organizacije u sektoru telekomunikacija imaju podatke o svojim klijentima, koji u zavisnosti od pružaoca usluge mogu biti metapodaci vezani za veze sa internet lokacijama ili evidencije poziva. Dok tehnološke kompanije mogu biti meta napada u lancu snabdijevanja, posebno tamo gdje pružaju usluge klijentima. Ovakve informacije zlonamjerni akter može iskoristiti u svrhe nadzora ili za prikupljanje tradicionalnih obavještajnih podataka o aktivnostima određenih meta. Dodatni mete koje cilja Teal Kurma je zlonamjerni akter takođe sadrže niz informacija visoke vrijednosti, a to su NVO i sektor medija i zabave.
Geografski gledano, ciljevi su procijenjeni na osnovu TLS certifikata koje koristi ovaj zlonamjerni akter koristi, a odnose se na region Bliskog Istoka i Sjeverne Afrike, dok su neke od aktivnosti SnappyTCP zlonamjernog softvera vrlo vjerovatno fokusirane na evropske zemlje, posebno one koje se nalaze na Mediteranu.
ZAKLJUČAK
Zlonamjerni akter iskorištavanjem poznatih ranjivosti dobija pristup uređajima na kojima pokreće SnappyTCP zlonamjerni softver koji je jednostavna verzija obrnutog TCP komandnog okruženja za Linux ili Unix operativne sisteme sa osnovnim C2 mogućnostima i vjerovatno se koristi za uspostavljanje prisustva u korisničkom okruženju.
Ono što pokreće ovog zlonamjernog aktera je skoro sigurno prikupljanje informacija koje mogu da unaprijede neku vrstu ekonomskog ili političkog interesa, ali fokus je na vršenju špijunaže. Pažljiviji analiza žrtvi pomaže u procjeni vrste skupova podataka za koje je zainteresovan ovaj zlonamjerni akter. To su obično poslovne organizacije u sektoru telekomunikacija, IT usluga, NVO i sektor medija i zabave.
Geografski gledano, mete napada se nalaze u regionu Bliskog Istoka, Sjeverne Afrike i evropskih zemlja koje se nalaze na Mediteranu.
ZAŠTITA
Sigurnosni istraživači korisnicima i poslovnim organizacijama preporučuju da prate evidencije događaja u sistemskim okruženjima, kao i da konfigurišu upozorenja na indikatore ili sadržaje navedene ovdje. Ako se pojavi upozorenje za navedene indikatore ili sadržaje, preporuka je da se istraži njihovo porijeklo uz forenzičku analizu. Ako se ne pronađu značajniji nalazi, onda je potrebno blokirati navedene zlonamjerne indikatore.
