TaxOff: кажется, у вас... бэкдор

1. Обнаружена новая группировка TaxOff, атакующая государственные структуры России.
2. Группировка TaxOff использовала письма на правовые и финансовые темы в качестве приманок.
3. Группировка TaxOff в своих атаках использовала бэкдор Trinper.
4. Trinper — написанный на C++ многопоточный бэкдор с гибкой конфигурацией, использующий в качестве паттерна проектирования шаблонный метод, контейнеры STL, буферный кэш для повышения производительности. У этого бэкдора много вредоносных возможностей.

В третьем квартале 2024 года специалисты TI-департамента экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC) в рамках исследования угроз обнаружили серию атак, направленных на государственные структуры России. Связей с уже известными группами, использующими такие же техники, нам установить не удалось. Основной целью киберпреступников был шпионаж и закрепление в системе для развития последующих атак. Эту группировку мы назвали TaxOff из-за использования писем на правовые и финансовые темы в качестве приманок. В своих атаках злоумышленники использовали написанный минимум на C++17 бэкдор, который мы назвали Trinper из-за артефакта, используемого при связи с C2.

Начальный вектор заражения — через фишинговые письма. Мы обнаружили несколько таких: в одном была ссылка на «Яндекс Диск» с вредоносным содержимым, связанным с «1С», в другом — фальшивый установщик, связанный со специальным ПО для заполнения справок о доходах и расходах для госслужащих, которым необходимо подавать их каждый год. И ежегодно это ПО обновляется и становится целью для злоумышленников, распространяющих ВПО под видом обновлений.

Письмо содержало ссылку на «Яндекс Диск», в котором хранился файл «Материалы.img» с таким содержимым:

• DCIM.lnk — ярлык, который запускает исполнение бэкдора Trinper;
• drive.google.com — бэкдор Trinper;
• Encrypteddata — склейка зашифрованных архивов с обрезанными заголовками формата RAR; 
• «История поисков.html» — фишинговая форма, вид которой продемонстрирован на рисунке ниже.

Другой вектор содержал специальное программное обеспечение «Справки БК» для заполнения справок о доходах и расходах госслужащих. Этот вектор уже использовался одной из групп для распространения бэкдора Konni в виде переименованного файла WEXTRACT.EXE.MUI, который отвечает за извлечение сжатых CAB-файлов. В нашем случае в них содержатся два других исполняемых файла: bk.exe — «Справки БК» (см. рисунок 2) и DotNet35.exe — бэкдор Trinper.

Аналогично CAB-файлу в разделе ресурсов RCData есть атрибуты последовательности запуска файлов, хранящихся в нем. Первый атрибут под названием RUNPROGRAM содержит инструкции по выполнению определенной программы или команды в самом начале и запускает bk.exe.

Второй атрибут — POSTRUNPROGRAM — также содержит инструкцию для запуска исполняемого файла, но уже после выполнения RUNPROGRAM. Таким образом, после выполнения bk.exe будет выполнен DotNet35.exe.

Прежде чем приступить к функциональному описанию бэкдора, для полноты понимания его работы также стоит описать его архитектуру, STL, паттерн проектирования, кастомную сериализацию и буферный кэш.

Как и любое другое многопоточное приложение, Trinper построен на одной из парадигм параллельного программирования, а именно на потоковом параллелизме. В этом подходе задачи разбиваются на последовательные этапы, каждый из которых может выполняться параллельно с другими, что и демонстрирует схема ниже.

Один из аспектов потокового параллелизма — это передача данных между потоками, которая реализуется за счет использования глобальных переменных. Их можно разделить на следующие группы:

1. Первая группа: содержит контейнер для хранения экземпляров класса коммуницируемых с C2 (CommHTTP_instance).
2. Вторая группа: содержит контейнер для хранения информации об инъекциях кода (map_TaskInject).
3. Третья группа: содержит контейнеры для хранения запущенных команд (vector_RunningTasks, deque_shared_RunningTasks, map_RunningTasks).
4. Четвертая группа: содержит контейнеры для хранения работы фоновых команд (map_shared_ptr_BgJobs, deque_BgJobKeylogger, unordered_map_BgJobKeylogger).

Библиотека стандартных шаблонов — это набор согласованных обобщенных алгоритмов, контейнеров, средств доступа к их содержимому и различных вспомогательных функций в C++, которые активно используются бэкдором. Первичный признак присутствия рантайма STL — это сообщения об ошибках для различный контейнеров.

Строки — это объекты в виде последовательности символов. Символы могут быть как в кодировке ascii, так и в кодировке wide, что позволяет однозначно различать эти контейнеры. В std::string максимальная длина заранее определенного буфера не может превышать 15 байт, иначе будет выделен буфер в куче. В случае с std::wstring длина заранее определенного буфера не может превышать 7 байт. Этот рантайм — для сравнения длины хранимой строки и возможного последующего выделения динамического буфера, что позволяет однозначно определить один из используемых контейнеров.

Векторы — это контейнеры для последовательностей в виде массивов, которые могут меняться в размерах. Один из вариантов распознавания рантайма вектора — сравнение следующих друг за другом адресов памяти и дальнейшее присвоение одному из них нового значения. Потому что если указатель на первый элемент вектора будет равен указателю на последний элемент, например при добавлении нового элемента, то тогда вектору, прежде чем добавить его, придется изменить его текущий размер и выделить дополнительно память, и переопределить указатель на последний элемент.

Списки — это контейнеры последовательностей, которые позволяют выполнять вставку и стирание в любом месте последовательности с постоянным временем, а также итерацию в обоих направлениях. Один из вариантов распознавания рантайма двухсвязного списка: необходимо ориентироваться на сравнение выбранного буфера с последующим, чтобы определить, был ли достигнут конец при переборе элементов.

Карты — это ассоциативные контейнеры, в которых хранятся элементы, образованные комбинацией ключевого и сопоставленного значений в определенном порядке. Один из вариантов распознавания рантайма карты: карта должна знать, есть ли уже элемент с предоставленным ключом, прежде чем вставить новую пару или вернуть значение по ключу.

Неупорядоченные карты — это ассоциативные контейнеры, в которых хранятся элементы, образованные комбинацией ключевого значения и сопоставленного значения и позволяющие быстро находить отдельные элементы по их ключам. Одним из вариантов распознавания рантайма неупорядоченной карты является способ хранения ее элементов: в хеш-таблицах. Это значит, что для любого индекса элемента всегда будет вычисляться хеш-сумма, в независимости от операции.

Двусторонние очереди — это контейнеры последовательности с динамическими размерами, которые могут расширяться или сжиматься с обоих концов (как спереди, так и сзади). Одним из вариантов распознавания рантайма двусторонней очереди является доступ к элементам, находящимся в блоках. Их размеры кратны двум, поэтому для доступа используются побитовые операции, чтобы разбивать индекс на блок и смещение.

Умные указатели — управляют хранением указателя, предоставляя ограниченные возможности по сбору мусора и, возможно, разделяя это управление с другими объектами. Один из вариантов распознавания рантайма умного указателя — наличие атомарных операций; если число общих указателей на объект уменьшилось до нуля, то вызывается удаление управляющего блока.

std::filesystem предоставляет средства для выполнения операций над файловыми системами и их компонентами, такими как пути, обычные файлы и каталоги. Один из вариантов распознавания рантайма его использования — наличие функций с префиксом _std_fs_*, что свидетельствует об операциях с файловой системой.

Чтобы не создавать структуры вручную, нам нужно подключить заголовочные файлы. Для определения их расположения запускаем x86/x64 Native Tools Command Prompt for VS 20XX (в зависимости от разрядности исполняемого файла) и вводим команду echo %INCLUDE%. Копируем все пути и вставляем в Options > Compiler > Include directories. Прописываем также в качестве аргументов -target x86_64-pc-win32/i386-pc-win32 -x c++ , так как будут подключаться заголовочные файлы C++.

Так как в большинстве случаев тип элемента контейнеров задается во время компиляции, что означает, что просто так нельзя будет подключить, например, заголовочный файл вектора и ждать, что подключаться все типы элементов. Для этого нужно создавать отдельный заголовочный файл, в котором будет явно определен тип элемента контейнера.

Паттерн проектирования — повторяемая архитектурная конструкция в сфере проектирования программного обеспечения, предлагающая решение проблемы проектирования в рамках некоторого часто возникающего контекста. Такое редко встречается при анализе вредоносного кода и сигнализирует о том, что программист, который писал бэкдор, имеет хорошую квалификацию. Бэкдор использует шаблонный метод — это поведенческий паттерн проектирования, который определяет скелет алгоритма, перекладывая ответственность за некоторые его шаги на подклассы. Паттерн позволяет подклассам переопределять шаги алгоритма, не меняя его общей структуры.

Этот паттерн бэкдор применяет для создания подклассов команд, которые наследуются от базового класса и переопределяют его методы и поля.

Для хранения конфигурации, помимо шифрования, бэкдор использует кастомную сериализацию. Это необходимо для обеспечения гибкости, то есть поля могут иметь несколько значений в одном токене.

Так, например, если токен контейнера является отрицательным, то тогда в значении он имеет другой контейнер, который, в свою очередь, также может быть лишь частью последовательной вложенности контейнеров или однозначно определять значение токена, например хранить строку.

Буферный кэш — это структура данных, предназначенная для временного хранения данных, чтобы ускорить доступ к ним. Бэкдор использует кэширование для уменьшения времени доступа к часто используемым данным, минимизации задержек и повышения общей производительности программы.

В начале бэкдор десериализирует конфигурацию и получает оттуда имя, которое должно быть у него. Если оно отличается, то выполнение прекращается. В случае, если имена совпадают, бэкдор продолжает инициализацию и вызывает функцию для получения информации о компьютере жертвы, собирая ее в структуру VictimInfo такого вида:

Поля структуры VictimInfo имеют такие назначения:

После заполнения структуры VictimInfo бэкдор создает и запускает в разных потоках на исполнение эти экземпляры классов:

• CommHTTP — класс для потока, в котором будет реализована коммуникация с C2;
• BgJobFileCapture — класс для потока, в котором будет мониторинг файловой системы;
• BgJobKeylogger — класс для потока, в котором будут перехвачены нажатия клавиш.

Экземпляр класса CommHTTP в своем потоке парсит десериализованную конфигурацию, которую будет использовать для коммуникации с C2. Генерирует сессионный ключ для AES-128-CBC (при этом вектор инициализации равен нулю), импортирует публичный RSA-ключ и входит в цикл общения с C2, в котором реализовано:

• получение команд;
• получение и отправка результатов работы команд.

Экземпляр класса BgJobFileCapture в своем потоке мониторит файловую систему, в цикле, перебирает все подключенные диски и рекурсивно ищет хранящиеся на дисках файлы с расширениями .doc, .xls, .ppt, .rtf, .pdf. Он также хранит результат работы в карте с ключом (имя файла) и значением (структура, содержащая информацию о файле, в том числе его содержимое).

Экземпляр класса BgJobKeylogger в своем потоке перехватывает нажатия клавиш и хранит в двусторонней очереди, а данные из буфера обмена находятся в неупорядоченной карте.

Конфигурация хранится в зашифрованном виде в секции .data. Дешифрование осуществляется однобайтовым ключом для обычной операции Xor.

Сама же дешифрованная и десериализованная структура конфигурации выглядит так:

struct struct_Config
{
	DWORD sleep_time;
	DWORD size;
	std::wstring UserAgent;
	std::wstring wstr_x86;
	std::wstring wstr_x64;
	std::vector<std::wstring> C2;
	QWORD *public_key;
	QWORD public_key_len;
	struct_Commands Commands;
	struct_TaskResults TaskResults;
};

struct struct_Commands
{
	std::wstring Uri;
	std::vector<std::string> Headers;
	struct_CommandsResponse CommandsResponse;
	struct_CommandsHeaders CommandsHeaders;
	QWORD HelloMessage;
	QWORD HelloMessageLen;
};

struct struct_CommandsResponse
{
	std::string TagOpen;
	std::string Encoder;
	std::string TagClose;
};

struct struct_CommandsHeaders
{
	std::string Header;
	std::string TagOpen;
	std::string Encoder;
	std::string TagClose;
};

struct struct_TaskResults
{
	std::wstring Uri;
	std::vector<std::string> Headers;
	struct_TaskResultsData TaskResultsData;
	struct_TaskResultsHeaders TaskResultsHeaders;
};

struct struct_TaskResultsData
{
	std::string TagOpen;
	std::string Encoder;
	std::string TagClose;
};

struct struct_TaskResultsHeaders
{
	std::string Header;
	std::string TagOpen;
	std::string Encoder;
	std::string TagClose;
};

Поля структуры Config имеют такие назначения:

Все общение с C2 осуществляется экземпляром класса CommHTTP с помощью вызовов сетевых функций библиотеки WININET.DLL. Информация о компьютере жертвы и сессионном ключе шифруется публичным ключом RSA, кодируется с помощью Base64 и отправляется C2 в заголовке Config.Commands.CommandsHeaders с приветственной строкой Config.Commands.HelloMessage в данных запроса. Команды, полученные от C2 в ответе, заключены между маркерами Config.Commands.CommandsResponse.TagOpen и Config.Commands.CommandsResponse.TagClose и закодированы с помощью Base64. Результат работы задач шифруется сессионным ключом AES-128-CBC, кодируется с помощью Base64 и заключается между маркерами Config.TaskResults.TaskResultsData.TagOpen и Config.TaskResults.TaskResultsData.TagClose в данных запроса к C2.

Так, например, ниже демонстрируется запрос бэкдора к C2 для получения команд. В качестве приветствия в данных используется строка mid=76&mod=TRINP, также можно заметить, что заголовок User-Agent не отображает корректно содержимое, полученное из Config.UserAgent. Это связано с ошибкой передачи значения заголовка в функцию InternetOpenW. Дело в том, что InternetOpenW пытается конвертировать строку для User-Agent из широкой кодировки в кодировку ascii, но из-за неправильно переданного указателя на значения из конфигурации происходит неправильная конвертация, и на выходе формируется неотображаемая строка.

Как уже упоминалось ранее, команды вызываются не за счет вызова конкретной функции, а за счет создания экземпляров классов и добавления их в обертку умного указателя, который, в свою очередь, будет добавлен в двойную очередь на исполнение, а после будет получен оттуда и вызван в цикле основного потока. Описание команд представлено в таблице ниже.

Группировка TaxOff применяет актуальные темы в качестве приманок для привлечения внимания и обмана пользователей. В своих атаках эти киберпреступники используют сложный многопоточный бэкдор Trinper, который позволяет им устанавливать устойчивый доступ к скомпрометированным системам, эффективно управлять несколькими задачами одновременно и выполнять различные вредоносные действия без значительного влияния на производительность системы. Многопоточность обеспечивает высокую степень параллелизма, позволяя бэкдору оставаться скрытым и эффективным, собирая данные, выполняя эксфильтрацию информации, устанавливая дополнительные модули и поддерживая связи с С2. Таким образом, сочетание использования актуальных тем и сложного многопоточного бэкдора делает атаки группировки TaxOff особенно опасными и трудными для обнаружения и предотвращения. Это подчеркивает необходимость постоянного повышения осведомленности пользователей о киберугрозах и внедрения многоуровневых мер безопасности для защиты от таких сложных атак.