Tor-basierte Hintertür zielt auf Verteidigungssektor : Eine mehrstufige Phishing-Kampagne nutzt PowerShell-Stager, OpenSecureShell und einen obfs4-verschleierten Tor-Hidden-Service zur verdeckten Fernsteuerung.
Operation SkyCloak beschreibt eine aktuelle Spionagekampagne, die offenbar Militär- und Verteidigungsakteure in Russland und Belarus ins Visier nimmt. Über getarnte ZIP-Anhänge und Windows-Verknüpfungen etabliert die Malware persistenten Zugang, installiert eine umbenannte OpenSecureShell-Instanz und startet einen angepassten Tor-Dienst mit obfs4, um Kommunikation und Datenexfiltration zu verschleiern.
Die unter dem Codenamen Operation SkyCloak geführte Attacke beginnt mit Phishing-E-Mails, die angebliche militärische Dokumente als Köder enthalten. Empfänger werden dazu gebracht, ein ZIP-Archiv zu öffnen, das eine versteckte Ordnerstruktur mit einer zweiten Archivdatei sowie einer Windows-Verknüpfungsdatei (LNK) enthält. Beim Ausführen der Verknüpfung werden PowerShell-Befehle aktiviert, die zunächst den Stager nachladen und so die mehrstufige Infektion in Gang setzen.
Mehreren Berichten von Cyble und Seqrite Labs zufolge zielt die Kampagne darauf ab, auf kompromittierten Rechnern eine persistente Hintertür zu installieren, die OpenSSH in Kombination mit einem angepassten, im Tor-Netzwerk betriebenen versteckten Dienst nutzt. Dieser versteckte Dienst verwendet das Protokoll obfs4, um den Datenverkehr zu verschleiern.
Technische Merkmale des Stagers
Ein zwischengeschaltetes Modul fungiert als PowerShell-Stager und führt verschiedene Prüfungen durch, um zu erkennen, ob es in einer Sandbox-Umgebung ausgeführt wird. Dabei checkt es unter anderem, ob auf dem System mindestens zehn kürzlich erstellte Verknüpfungsdateien vorhanden sind und ob mindestens fünfzig Prozesse aktiv sind. Werden diese Bedingungen nicht erfüllt, beendet der PowerShell-Prozess seine Ausführung.
„Diese Prüfungen dienen dazu, die Umgebung zu analysieren, da Sandbox-Systeme in der Regel deutlich weniger benutzererzeugte Verknüpfungen und eine geringere Prozessaktivität aufweisen als echte Arbeitsstationen.“
Persistenz, Dienste und Infrastruktur
Nach erfolgreichem Bestehen der Prüfungen zeigt der Stager eine getarnte PDF-Datei aus dem Ablageordner an und richtet Persistenz über geplante Aufgaben ein:
- Eine geplante Aufgabe mit dem Namen „githubdesktopMaintenance“ wird so konfiguriert, dass sie nach Benutzeranmeldung automatisch startet und zusätzlich täglich um 10:21 Uhr CUT (Coordinated Universal Time) ausgeführt wird. Diese Aufgabe startet eine Datei unter dem Pfad „logicpro/githubdesktop.exe“. Dabei handelt es sich um eine umbenannte, legitime OpenSecureShell-Binärdatei für Windows. Über diese Installation stellt der Angreifer einen Secure Shell Dienst bereit, der ausschließlich vorkonfigurierte, autorisierte Schlüssel aus einem „logicpro“-Verzeichnis akzeptiert.
- Parallel wird eine zweite geplante Aufgabe eingerichtet, die ein modifiziertes Tor-Binary unter dem Pfad „logicpro/pinterest.exe“ startet. Dieses Binary richtet einen versteckten Dienst im Tor-Netzwerk ein, der über obfs4-Bridge-Endpunkte verschleierte Verbindungen zu einer Angreiferadresse im .onion-Format aufbaut. Über diesen Kanal werden Portweiterleitungen für kritische Dienste konfiguriert, unter anderem für das Remote-Desktop-Protokoll, das Secure Shell Dateiübertragungsprotokoll und das Servernachrichtenblock-Protokoll, sodass Fernzugriff, Dateiübertragung und Seitenkanalzugriffe über das Tor-Netzwerk möglich werden.
Funktionsweise nach erfolgreichem Zugang
Sobald die Tor-Verbindung steht, exfiltriert die Malware Systeminformationen und übermittelt zusätzlich die eindeutige .onion-Hostadresse des kompromittierten Systems, zum Beispiel durch einen Curl-Aufruf. Über die erhaltene .onion-Adresse kann der Angreifer die kompromittierte Maschine identifizieren und direkte Remote-Kontrolle erlangen, wobei die gesamte Kommunikation über anonyme Adressen und vorinstallierte kryptografische Schlüssel läuft. „Über versteckte Tor-Dienste erfolgt der Zugriff auf SSH, RDP, SFTP und SMB, um so vollständige Kontrolle über das System zu erlangen, während ihre Anonymität gewahrt bleibt.“ so die zusammenfassende Bewertung.
Attribution, Zielsetzung und Indikatoren
Derzeit ist nicht bekannt, wer hinter der Kampagne steckt. Nach Einschätzung von Cyble und Seqrite Labs weist sie jedoch Merkmale auf, die auf eine aus Osteuropa stammende Spionageaktivität hindeuten, die sich gegen Regierungs- und Verteidigungsorganisationen richtet. Cyble geht mit mittlerer Wahrscheinlichkeit davon aus, dass der Angriff Gemeinsamkeiten mit einer früheren Kampagne aufweist, die von CERT-UA (Computer Emergency Response Team of Ukraine) dem Bedrohungsakteur UAC-0125 zugeschrieben wurde.