Recorded Future analyzed network communications relating to a selection of RAT command-and-control servers across several malware families in order to profile targeted victim organizations and sectors. This report is based on data sourced from the Recorded FutureⓇ Platform, VirusTotal, Farsight DNS, Shodan, GreyNoise, and other OSINT techniques.

Ce rapport sera particulièrement utile aux responsables de la sécurité des réseaux et aux professionnels de la gestion des risques au sein des entreprises préoccupées par les risques liés à leur chaîne d'approvisionnement tierce. Pour en savoir plus sur la manière de tirer parti de Recorded Future pour surveiller et enquêter sur les risques liés aux tiers, veuillez consulter la section suivante : notre nouvelle offre en matière de risques liés aux tiers. Cette évaluation exploite les données issues de nos nouvelles règles d'analyse des risques liés au trafic réseau pour les risques tiers afin de générer des informations exploitables.

Executive Summary

Remote access trojans (RATs) on a corporate system may serve as a key pivot point to access information laterally within an enterprise network. By analyzing network metadata, Recorded Future analysts were able to identify RAT command-and-control (C2) servers, and more crucially, which corporate networks were communicating to those controllers. This approach allows Recorded Future to provide insight about third-party organizations that our clients may rely upon, enabling a better understanding of potential third-party risk to their own data.

Insikt Group used the joint Recorded Future and Shodan Malware Hunter project and the Recorded Future Platform to identify active malware controllers for 14 malware families between December 2, 2018 and January 9, 2019. We then focused our analysis on a subset of malware — Emotet, Xtreme RAT, and ZeroAccess — to profile RAT communications from third-party organizations to the controllers.

Key Judgments

• The majority of Emotet controllers resolved to IPs in Latin American countries.
• A significant proportion of infected Emotet hosts were based in Latin America, corroborating community observations of a surge in late-2018 Emotet activity targeting South American entities. Infected hosts include organizations in the automotive, finance, energy, construction, retail and entertainment, logistics, and technology sectors.
• Infected Xtreme RAT hosts were identified within:
  • A video game company and a utilities company in Europe
  • Middle Eastern, South Asian, and East Asian telecommunications companies
  • An industrial conglomerate and an IT company in East Asia

Background

Les organisations publiques et privées du monde entier continuent de subir des intrusions numériques, et les cas de violations importantes sont presque quotidiens. Dans son rapport annuel 2018, le NCSC britannique a indiqué avoir traité directement 557 incidents entre le 1er septembre 2017 et le 31 août 2018, soulignant l'ampleur du problème rien qu'au Royaume-Uni.

Souvent, les attaques utilisent des RAT, qui permettent aux attaquants de prendre illicitement le contrôle d'un appareil hôte. Les RAT sont des logiciels riches en fonctionnalités généralement utilisés par des adversaires pour mener des activités telles que l'enregistrement des frappes clavier, l'extraction de fichiers, l'enregistrement audio et vidéo de l'hôte, et bien plus encore.

A significant proportion of these attacks are carried out using commodity RATs, such as DarkTrack RAT, Xtreme RAT, or ZeroAccess, with attacker motivations ranging from financial gain to gaining credibility within hacking communities. Many hacking forum administrators will stipulate that new members provide evidence of their “ability” in order to be accepted into the forum, so the relatively low-level technical knowledge required to use commodity RATs, along with extensive online documentation, makes them a highly attractive proposition for inexperienced hackers.

At the other end of the spectrum are state-backed advanced persistent threat (APTs) groups and advanced criminal groups who may conduct malware campaigns with greater sophistication in order to achieve their operational outcomes. APTs continue to use RATs because they are easy to configure, modify, and use. This combined with their relative effectiveness against antivirus software and the potential for hindering attribution by “hiding in the noise” ensures RATs continue to be used by APTs and cybercriminals.

Cybercriminals have often been forced to innovate in developing tooling and malware to support their usually financially motivated objectives. As RATs and other malware used by cybercriminals are disrupted by law enforcement action or their methods are neutered by coordinated industry initiatives, a change in methodology or even business model is sometimes forced. This has been the case with the actors behind Emotet.

Emotet a évolué d'un cheval de Troie bancaire ciblant les clients bancaires européens à une plateforme modulaire de déploiement de logiciels malveillants, avec plusieurs campagnes très médiatisées en 2018. Emotet, en tant que cheval de Troie autopropagateur, est un logiciel malveillant particulièrement virulent qui présente des caractéristiques similaires à celles d'un ver réseau, ce qui lui permet de constituer un botnet considérable à partir des victimes infectées.

Analytic Approach

Recorded Future researchers identified a variety of RAT and Emotet controllers derived from threat lists in the Recorded Future platform and used network metadata to identify victim communications with the RAT C2 IPs. The threat lists included data from:

1. Fonctionnalité Malware Hunter ¹ développée conjointement par Recorded Future et Shodan
2. The Abuse.ch Feodo malware family (also known as Dridex or Emotet/Heodo) blocklist

Editor’s Note: Due to technological limitations of the collection mechanism, the number of C2s identified using Malware Hunter is not reflective of the true number of C2s present globally for each analyzed malware family in this research. Therefore, this analysis is focused on the methodology of identifying infected clients using Recorded Future to inform third-party risk.

For the purposes of our research, we searched for active controllers in the December 2, 2018 to January 8, 2019 time frame for the following malware families:

• Bozok RAT
• Nanocore
• PoisonIvy
• Cafeini
• NetBus
• ProRAT
• DarkComet
• njRAT
• Xtreme RAT
• DarkTrack RAT
• Nuclear RAT
• ZeroAccess
• Emotet
• Orcus RAT

We then analyzed network communications for a subset of these controllers from victim organizations. Filtering was conducted to avoid identifying organizations that provide internet hosting services to other organizations as being directly victimized, and internet scanners were omitted where identifiable. This analysis is based upon the observation of connections made in a specific manner to servers identified as malicious, and the possibility exists that researchers or others that are not in fact victims have made such connections.

Breakdown of active C2s per malware family identified (total sample size of C2s detected: 481).

We focused our analysis on Emotet, Xtreme RAT, and ZeroAccess controllers to profile RAT communications with probable infected hosts within commercial organizations’ infrastructure.

Recorded Future’s Third-Party Risk Module

Following the launch of Recorded Future’s Third-Party Risk module, we have integrated additional features that will enable enterprises to assess cyber risk posed by companies in their supply chain, partners, and themselves. Third-Party Risk enables you to monitor your third-party ecosystem’s health, investigate risks posed by companies, and alert on changes in the threat environments of companies of interest to you. The analysis in this report was conducted using the same data sources we are using to inform third-party risk factors and metrics in our new module, especially our network traffic analysis risk rules.

Global distribution of RAT C2s identified using Recorded Future and Shodan’s Malware Hunter project and the Abuse.ch Feodo blocklist. (Source: Recorded Future)

Threat Analysis

Emotet

Emotet est un cheval de Troie bancaire modulaire avancé qui sert principalement à télécharger ou à diffuser d'autres chevaux de Troie bancaires. Emotet a été initialement conçu pour voler des données financières ; cependant, il est désormais principalement utilisé comme téléchargeur d'autres logiciels malveillants tels que Trickbot et Qakbot. Emotet utilise des serveurs C2 pour recevoir des mises à jour, ainsi que pour télécharger et installer tout logiciel malveillant supplémentaire. Les opérateurs d'Emotet ont tendance à ne pas cibler spécifiquement un secteur ou une région en particulier, mais se propagent sans discernement, ce qui révèle que les opérateurs de logiciels malveillants semblent plus intéressés par un grand nombre d'infections afin de générer des profits.
Emotet a été initialement identifié comme un nouveau cheval de Troie bancaire en 2014 et est souvent appelé Geodo ou Feodo. Ce logiciel malveillant est le résultat d'une évolution naturelle du cheval de Troie bancaire Feodo (parfois appelé Cridex ou Bugat), qui a donné naissance à d'autres variants. Au cours des 12 derniers mois, cependant, il a évolué pour devenir non seulement une menace autonome, mais également un distributeur d'autres chevaux de Troie, avec de nombreuses campagnes de grande envergure menées au cours de l'été 2018. Ce logiciel malveillant est unique en ce sens qu'il utilise une multitude de bibliothèques et de codes open source, suffisamment pour intituler un dossier de son répertoire de codes « Open Source ». Plusieurs modules Emotet intègrent des utilitaires développés par Nirsoft pour extraire et collecter les mots de passe sur la machine de la victime.

Emotet has recently been acting as a spam-sending malware that infects target systems to then load other malware families onto the host. The infected hosts that distribute spam and occasionally act as proxies for the C2 servers are a decentralized network, making it difficult for defenders to block at their perimeter.

Des rapports ont révélé que les opérateurs d'Emotet exploitent probablement au moins deux infrastructures Emotet en parallèle, vraisemblablement pour assurer la redondance et compliquer toute opération coordonnée de démantèlement par les forces de l'ordre.

Emotet: Evaluating Third-Party Risk Using Network Metadata

During our research, we identified 26 organizations with hosts infected with Emotet. These organizations were spread across a variety of industries, including:

• Automotive
• Finance and banking
• Energy
• Medical device manufacturing
• Construction
• Retail and entertainment
• Logistics, commercial services, and supplies
• IT
• Utilities

The chart above shows us the breakdown of infected hosts communicating with identified Emotet controllers. Two controllers stand out, with over 40 infected hosts observed communicating with them: South Korean IP 115.88.75[.]245 and U.S. IP 192.155.90[.]90.

Emotet C2s identified with active corporate victim infections between December 2, 2018 and January 8, 2019.

The table above identifies the IP address, country, and internet service provider (ISP) of each Emotet C2 server analyzed in depth by Recorded Future.

Editor’s Note: ISPs provide internet access to customers, and may not be directly in control of the equipment and systems in use at any specific IP address within a netblock assigned to the ISP.

L'un des C2 d'Emotet les plus actifs, d'après le nombre d'entreprises victimes uniques communiquant avec lui dans nos données de recherche, était l'IP sud-coréen 115.88.75[.]245. Sur la base de notre nouvel algorithme qui a été développé dans une nouvelle règle de risque pour les clients utilisant la plateforme Recorded Future, des adresses IP se rapportant à au moins quatre entreprises infectées différentes ont été détectées en train de communiquer avec le C2. Trois des entreprises infectées étaient situées en Amérique latine, qui a récemment connu une recrudescence des infections par Emotet en raison de l'utilisation d'une méthode de propagation d'Emotet légèrement modifiée. Deux des victimes détectées étaient des sociétés financières au Mexique et en Équateur, la troisième étant un conglomérat industriel chilien. L'autre entreprise victime était une société canadienne de fabrication d'appareils médicaux.

The South Korean C2 IP did not have a domain resolving to it at the time of this research, but VirusTotal data indicates that connections with the IP address, explicitly noted as the host in the URL, were made to it from infected victims. We identified several malicious Microsoft Word documents containing obfuscated VBA² code as macros designed to launch PowerShell, which in turn would retrieve and run an Emotet payload from the South Korean C2.

Clustering of Emotet C2s and communicating victim organizations detected using Recorded Future third-party risk analytics and network traffic analysis risk rules.

Further analysis of the Emotet C2s and the victim organization IPs revealed that there were several distinct groupings of activity as shown in the Maltego graph above. The highly active South Korean C2, detailed previously resolving to LG DACOM Corporation, sat within a highly interconnected cluster of activity shown on the left-hand side of the graph. This cluster centered on 17 detected Emotet C2s mostly hosted on infrastructure resolving to telecommunications service providers and hosting providers based in Latin America. The targeted organizations in the cluster of activity were based around the world, with a significant proportion of victim organizations based in Latin America and Europe.

Primary cluster of Emotet activity with the majority of C2s located in the Latin American IP space.

The second largest cluster of activity we observed centered on an Emotet controller hosted on Indian IP 45.123.3[.]54, which resolved to Blue Lotus Support Services in India. The C2 hostname pointing to this IP was campus.miim.ac[.]in, which corresponds to the Marian International Institute of Management, a university in Kerala, India. Our analysis revealed ongoing Emotet infections pertaining to this C2 at the following companies:

• A Japanese machine manufacturer
• A Chinese technology conglomerate
• An Ecuadorian bank and a U.S. financial consulting firm
• An Austrian energy supplier
• Canadian and Australian cable TV providers

Xtreme RAT

Xtreme RAT est un RAT standard qui a été observé pour la première fois en 2010. Le RAT est disponible gratuitement et son code source a été divulgué, ce qui permet aux attaquants de le modifier librement afin de contourner les défenses réseau. Bien qu'il existe depuis près d'une décennie et que son utilisation semble avoir diminué par rapport aux années précédentes, il s'agit toujours d'un cheval de Troie puissant qui a été largement signalé comme étant utilisé dans des attaques ciblées et des activités cybercriminelles. Ce RAT utilise un système client-serveur défini par l'auteur à l 'inverse du schéma habituel. La partie « serveur » du logiciel malveillant est installée sur l'ordinateur de la victime, et le « serveur » de la victime se connecte alors au « client », qui est en réalité un contrôleur exploité sur un ou plusieurs systèmes C2 distants.

Recorded Future heatmap showing Xtreme RAT controllers active during the research period as detected using the Recorded Future and Shodan Malware Hunter project. (Source: Recorded Future)

Xtreme RAT: Evaluating Third-Party Risk Using Network Metadata

We deployed our new Third-Party Risk module to identify communication nodes with active Xtreme RAT controllers that we observed between December 8, 2018 and January 2, 2019. Once again, we found corporate IPs communicating with the Xtreme RAT controllers in a manner that indicated probable infection.

Three unique victims were found communicating with a Moroccan Xtreme RAT C2 hosted on 196.200.160[.]20,1 which resolved to hostname ns2.marwan.ma. The IP is registered to the Centre National pour la Recherche Scientifique et Technique (CNRST), a technical university in Rabat, Morocco. Two of the infected victim devices resolved to infrastructure belonging to U.S. and Japanese multinational IT equipment and services companies. The third victim was a device located at a Brazilian university.

Xtreme RAT controller hosted on a Moroccan university network.

Hostname test.zzjzpt[.]com was updated to point at Chinese IP 116.62.60[.]109 on December 16, 2018 and continued to resolve to that IP until at least January 5, 2019. In this time frame, the IP was designated as an Xtreme RAT C2. This controller, along with two other Xtreme RAT C2s hosted on U.S. FDCServer infrastructure (192.240.110[.]98 and 198.255.100[.]74), were observed receiving Xtreme RAT network communications from several infected hosts within an European utilities company. Additional victim organizations that were observed communicating with these Xtreme RAT C2s were:

• A European video game company
• Middle Eastern, South Asian, and East Asian telecommunications companies
• An East Asian industrial conglomerate
• An East Asian IT company

Xtreme RAT controllers with overlapping organizational targeting.

ZeroAccess Trojan

ZeroAccess a été découvert pour la première fois en 2011 et utilise un rootkit sophistiqué pour échapper à la détection. En tant que cheval de Troie, il peut créer un système de fichiers caché et une porte dérobée sur un hôte, ainsi que faciliter le téléchargement de logiciels malveillants supplémentaires sur l'hôte. ZeroAccess peut être configuré pour utiliser un algorithme de génération de domaine (DGA) afin de détecter et de se connecter à ses serveurs C2. Il peut également utiliser une connectivité peer-to-peer. Historiquement, ZeroAccess était déployé à l'aide de compromissions Web stratégiques (SWC) et était généralement utilisé par les cybercriminels afin de générer des fonds illicites via des mécanismes publicitaires de paiement au clic (fraude au clic). Le logiciel malveillant a également été utilisé pour miner des cryptomonnaies.

ZeroAccess: Evaluating Third-Party Risk Using Network Metadata

During our research period, we identified a single instance of a victim organization communicating with a ZeroAccess trojan C2 active on Romanian IP 31.5.229[.]224. The victim organization was an East Asian IT company.

Outlook

Les chevaux de Troie bancaires tels qu'Emotet et d'autres RAT continuent de représenter une menace importante et persistante pour les réseaux gouvernementaux et d'entreprises à travers le monde. Les développeurs à l'origine d'Emotet continuent d'innover et de développer des fonctionnalités modulaires afin d'améliorer l'efficacité de la propagation et de contourner les défenses réseau traditionnelles, ce qui entraîne une infection à grande échelle qui, selon une alerte US-CERT publiée en juillet 2018, a coûté jusqu'à 1 million de dollars par incident aux gouvernements des États, des collectivités locales, des tribus et des territoires (SLTT) pour y remédier.

Cette étude met en évidence l'intérêt de pouvoir identifier et suivre l'infrastructure réseau des contrôleurs RAT malveillants afin d'éclairer la posture de sécurité de votre entreprise. Les clients peuvent utiliser le module Third-Party Risk de Recorded Future en observant les règles de risque connexes déclenchées au sein de notre plateforme. Avec Third-Party Risk, les mêmes données que celles que nous avons utilisées pour identifier et analyser les communications de logiciels malveillants dans cette évaluation déclenchent des règles de risque et une alerte lorsqu'une entreprise figurant sur la liste de surveillance du risque tiers d'un client présente une activité similaire.

Third-party risk network traffic analysis risk rule showing high-severity risk associated with Xtreme RAT communications observed on a company’s infrastructure.

As we continue to develop additional coverage of RAT controllers, we will automatically add these signatures so they trigger third-party risk rules in the Recorded Future platform when we observe corporate network infrastructure communicating with these controllers.

Network Defense Recommendations

Recorded Future recommends organizations conduct proactive threat hunting and implement the following mitigations when defending against illicit RAT activity:

• Use Recorded Future’s API to import indicators listed in this report (Appendix A) into your endpoint detection and response (EDR) platform.
• Configure your intrusion detection systems (IDS), intrusion prevention systems (IPS), or any network defense mechanisms in place to alert on — and upon review, consider blocking illicit connection attempts from — the external IP addresses and domains listed in Appendix A.
• Monitor endpoint traffic to alert and block connections to indicators in Appendix A.

To view a full list of the associated indicators of compromise, download the appendix.

¹For more detail on the capability, please refer to the Recorded Future white paper on proactive threat identification.

²Visual Basic for Applications is an implementation of Microsoft’s Visual Basic 6 programming language and is used in Microsoft Office products, such as Excel, to develop macros.