Cel puțin un afiliat al atacurilor ransomware BlackMatter folosește un instrument personalizat de exfiltrare a datelor în atacurile sale. Exmatter, descoperit de echipa Threat Hunter de la Symantec, este conceput pentru a fura anumite tipuri de fișiere din directoarele selectate și a le încărca pe un server controlat de atacator.
Este a treia oară când astfel de instrument personalizat pare să fi fost dezvoltat de atacatorii ransomware, după ce au fost identificate Ryuk Stealer și StealBit, care au legătură cu atacurile ransomware LockBit.
Exmatter este compilat ca un executabil .NET ascuns. Când este rulat, caută șirurile de caractere „nownd” și „-nownd”. Dacă găsește pe oricare dintre ele, încearcă să-și ascundă propria fereastră apelând API-ul „ShowWindow” astfel:
• ShowWindow(Process.GetCurrentProcess().MainWindowHandle, 0);
Pentru a identifica fișierele pentru exfiltrare, va prelua numele unităților logice de pe computerul infectat și va colecta toate path-urile:
• C:\Documents and Settings
• C:\PerfLogs
• C:\Program Files\Windows Defender Advanced Threat Protection\Classification\Configuration
• C:\Program Files\WindowsApps
• C:\ProgramData\Application Data
• C:\ProgramData\Desktop
• C:\ProgramData\Documents
• C:\ProgramData\Microsoft
• C:\ProgramData\Packages
• C:\ProgramData\Start Menu
• C:\ProgramData\Templates
• C:\ProgramData\WindowsHolographicDevices
• C:\Recovery
• C:\System Volume Information
• C:\Users\All Users
• C:\Users\Default
• C:\Users\Public\Documents
• C:\Windows
De asemenea, va exclude fișierele cu dimensiunea mai mică de 1.024 de octeți și fișierele cu următoarele atribute:
• FileAttributes.System
• FileAttributes.Temporary
• FileAttributes.Directory
Va exfiltra numai fișierele cu extensiile:
• .doc
• .docx
• .xls
• .xlsx
• .pdf
• .msg
• .png
• .ppt
• .pptx
• .sda
• .sdm
• .sdw
• .csv
Încearcă să prioritizeze fișierele pentru exfiltrare folosind LastWriteTime.
Fișierele care corespund criteriilor sunt apoi încărcate pe un server SFTP utilizând următorii parametri:
• Host: 165.22.84.147
• Port: 22
Exmatter include și configurația SOCKS5, dar aceasta nu este utilizată:
• Host: 10.26.16.181
• Port: 1080
Când a terminat de exfiltrat datele, Exmatter începe să își șteargă toate urmele:
• Filename: “powershell.exe”
• Arguments:
o WindowStyle Hidden -C $path = ‘[FILEPATH_OF_THE_EXECUTING_SAMPLE]’;Get-Process | Where-Object {$_.Path -like $path} | Stop- Process -Force;[byte[]]$arr = new-object byte[] 65536;Set-Content -Path $path -Value $arr;Remove-Item -Path $path;
Aceasta va încerca să suprascrie o parte a fișierului înainte de a o șterge.
Au fost găsite mai multe variante de Exmatter, sugerând că atacatorii continuă să-l perfecționeze pentru a accelera exfiltrarea unui volum suficient de date valoroase într-un timp cât mai scurt.
Într-o a doua variantă, directorul „C:\Program Files\Windows Defender Advanced Threat Protection\Classification\Configuration” a fost înlocuit cu „C:\Program Files\Windows Defender Advanced Threat Protection” pe lista de excludere. Tipurile de fișiere „ .xlsm” și „.zip” au fost adăugate pe lista de includere.
În a treia versiune, este adăugat un client WebDav. Structura codului sugerează că SFTP rămâne primul protocolul ales, WebDav fiind de rezervă.
Clientul WebDav utilizează URL-ul:
• https://157.230.28.192/data/
Următoarele tipuri de fișiere au fost adăugate pe listă:
• .json
• .config
• .ts
• .cs
• .js
• .aspx
• .pst
În plus, Exmatter este configurat să ignore exfiltrarea pentru fișierele cu nume care conțin oricare dintre următoarele stringuri:
• OneDriveMedTile
• locale-
• SmallLogo
• VisualElements
• adobe_sign
• Adobe Sign
• core_icons
A patra variantă conținea detalii actualizate pentru serverul SFTP:
• Host: 159.89.128.13
• Port: 22
Clientul WebDav a folosit următoarea adresă URL actualizată:
• https://159.89.128.13/data/
De pe lista fișierelor au fost eliminate cele cu extensia „.png”.
BlackMatter are legătură cu grupul Coreid, anterior responsabil pentru ransomware-ul Darkside. În ultimele 12 luni, a fost unul dintre cei mai prolifici atacatori ransomware, iar instrumentele fiind folosite într-o serie de atacuri, cum ar fi atacul Darkside din mai 2021 asupra Colonial Pipeline, care a întrerupt aprovizionarea cu combustibil către Coasta de Est a SUA.
Coreid operează sub un model RaaS, colaborând cu afiliații pentru atacuri ransomware, primind o parte din profit. La fel ca majoritatea actorilor ransomware, atacurile Coreid fură datele victimelor, grupul amenințând apoi că le va publica dacă nu primesc bani. Rămâne de văzut dacă Exmatter este creația Coreid în sine sau a unuia dintre afiliații săi, dar totul sugerează că furtul de date și extorcarea continuă să fie un punct central al grupului.