Por: Mike Scott - Analista senior de amenazas FireEye, Inc.

CLANDESTINE FOX, PARTE II

Recientemente hemos informado de un grupo amenaza APT aprovechando la reciente vulnerabilidad Zero-day de Internet Explorer en ataques de phishing de correo electrónico, ante lo cual Microsoft lanzó un parche muy rápidamente para ayudar a cerrar la puerta a futuros riesgos. Sin perder tiempo, los mismos actores de la amenaza responsables de la operación Clandestine Fox simplemente cambiaron su punto de ataque y comenzaron a utilizar un nuevo vector para atacar a sus víctimas: las redes sociales.

Un empleado de una empresa del sector energético ha recibido recientemente un correo electrónico con un archivo RAR adjunto, que en apariencia contiene un curriculum vitae y una muestra de programa de software escrito por el solicitante, un posible empleado que llamaremos "Emily", que lo había contactado a través de una red social popular. FireEye adquirió una copia del email sospechoso y el adjunto del empleado destinatario y comenzó a investigar. En la Figura 1 se muestra una copia del cuerpo del correo electrónico. El empleado destinatario confirmó que Emily lo había contactado a través de una red social popular y luego de tres semanas de mensajes de ida y vuelta "ella" envió su "hoja de vida" a su dirección de correo electrónico personal.

Revisando algunos antecedentes, analizamos el perfil de red social de Emily, tras lo cual se hicieron evidentes algunos aspectos extraños. Por ejemplo, su lista de contactos tenía un número de personas del mismo empleador de la víctima, así como los trabajadores de otras empresas de energía. Sin embargo, ella no parecía tener muchos otros "amigos" que se ajustaran a su supuesta personalidad.  Los datos sobre su educación también contenían información falsa y hasta risible. 

Nuevas investigaciones y debates sobre la empresa en cuestión revelaron que Emily, haciéndose pasar por un empleado potencial, también había contactado a otras personas en la misma compañía. Les había hecho una variedad de preguntas para sondearlos, incluyendo quién era el director de TI y con qué versiones de software contaban, en suma,  toda la información de utilidad para que el sospechoso pueda crear una gran ataque.

Vale la pena destacar que en los casos anteriores, los atacantes utilizaron una combinación de contacto directo a través de las redes sociales, así como de contactos por correo electrónico, para comunicarse con sus objetivos previstos y para enviarles adjuntos maliciosos. Además, en casi todos los casos, los atacantes utilizaron la  dirección de correo electrónico personal del blanco de ataque, en lugar de su dirección de trabajo. Esto podría deberse a que buscaron eludir las tecnologías más completas de seguridad de correo electrónico que la mayoría de las compañías han implementado, pero en algunos casos podría obedecer a que muchas personas que tienen sus cuentas de redes sociales vinculadas a su vida personal, en lugar de direcciones de correo electrónico de trabajo.

Figura 1: Ejemplo de correo electrónico que ilustra cómo Emily ataca a un empleado.

Detalles - Email Adjunto # 1

El archivo resume.rar contenía tres documentos: una versión maliciosa de la aplicación TTCalc de código abierto (una calculadora matemática de grandes números), una copia de texto benigna del archivo TTCalcreadme y un PDF benigno de la hoja de vida de Emily. Este era una copia casi idéntica de un curriculum vitae disponible en otros lugares en el Internet. Los detalles de los archivos se encuentran líneas abajo.

Filename	MD5 Hash
resume.rar	8b42a80b2df48245e45f99c1bdc2ce51
readme.txt	8c6dba68a014f5437c36583bbce0b7a4
resume.pdf	ee2328b76c54dc356d864c8e9d05c954
ttcalc.exe	e6459971f63612c43321ffb4849339a2

Tras la ejecución, el ttcalc.exe descarga dos archivos (mostrados a continuación), y también lanza una copia legítima de TTCalc v0.8.6 como señuelo:

%USERPROFILE%/ApplicationData/mt.dat
%USERPROFILE%/StartMenu/Programs/Startup/vc.bat

El mt.dat es el archivo ejecutable de malware actual, detectado como Backdoor.APT.CookieCutter. Las variantes de esta familia secreta son también conocidas como "Pirpi" en la industria de la seguridad. En este caso, el malware ha sido configurado para utilizar los siguientes servidores remotos para el mando y control:

·         swe[.]karasoyemlak[.]com

·         inform[.]bedircati[.]com (Nota: Este dominio también fue utilizado durante la Operación Clandestine Fox)

·         122.49.215.108

Metadata para mt.dat:

Descripción	MD5 hash
md5	1a4b710621ef2e69b1f7790ae9b7a288
.text	917c92e8662faf96fffb8ffe7b7c80fb
.rdata	975b458cb80395fa32c9dda759cb3f7b
.data	3ed34de8609cd274e49bbd795f21acc4
.rsrc	b1a55ec420dd6d24ff9e762c7b753868
.reloc	afd753a42036000ad476dcd81b56b754
Import Hash	fad20abf8aa4eda0802504d806280dd7
Compile date	2014-05-27 15:48:13

Contenido devc.bat:

@echo off cmd.exe /C start rundll32.exe "C:\Documents and Settings\admin\Application Data\mt.dat" UpdvaMt

Detalles - Email Adjunto # 2

A través de investigaciones adicionales, se obtuvo otro archivo adjunto de correo electrónico con extensiónRAR, enviado por los mismos atacantes a un empleado de otra empresa. Si bien hay una gran cantidad de similitudes, como la hoja de vida falsa y la inclusión de TTCalc, hay una diferencia importante: la entrega de un malware secreto completamente diferente. El nombre del archivo adjunto en esta ocasión fue "mi curriculum vitae y projects.rar", pero esta vez no fue protegido con la contraseña "TTCalc".

Nombre de archivo	MD5 hash
my resume and projects.rar	ab621059de2d1c92c3e7514e4b51751a
SETUP.exe	510b77a4b075f09202209f989582dbea
my resume.pdf	d1b1abfcc2d547e1ea1a4bb82294b9a3

SETUP.exe es un RAR auto-extraíble, que cuando abre la ventana de WinRAR al ejecutarse  pide al usuario la ubicación para extraer los archivos. Los escribe en una carpeta TTCalc y trata de lanzar ttcalcBAK.exe (el instalador de malware), pero como el camino es incorrecto produce un mensaje de error. Todos los demás archivos son benignos y en relación con la aplicación legítima TTCalc.

Nombre de archivo	MD5 hash
CHANGELOG	4692337bf7584f6bda464b9a76d268c1
COPYRIGHT	7cae5757f3ba9fef0a22ca0d56188439
README	1a7ba923c6aa39cc9cb289a17599fce0
ttcalc.chm	f86db1905b3f4447eb5728859f9057b5
ttcalc.exe	37c6d1d3054e554e13d40ea42458ebed
ttcalcBAK.exe	3e7430a09a44c0d1000f76c3adc6f4fa

El archivo ttcalcBAK.exe es también un Rar autoextraíble que instala y ejecuta chrome_frame_helper, que es un Backdoor.APT.Kaba (akaPlugX / Sogu) que usa un ejecutable legítimo Chrome para cargar DLL malicioso mediante carga lateral. Aunque esta puerta trasera es utilizada por varios grupos de amenazas y es vista con bastante frecuencia en estos días, esta es la primera vez que se ha observado este grupo amenaza y, en particular, el uso de esta familia de malware. El malware ha sido configurado para comunicarse con el dominio de mando y control www [.] Walterclean [.] Com (72.52.83.195 en el momento del descubrimiento), utilizando sólo el protocolo TCP binario. Los detalles de los archivos se encuentran abajo, seguidos de la configuración de malware.

Nombre de archivo	MD5 hash
chrome_frame_helper.dll	98eb249e4ddc4897b8be6fe838051af7
chrome_frame_helper.dll.hlp	1b57a7fad852b1d686c72e96f7837b44
chrome_frame_helper.exe	ffb84b8561e49a8db60e0001f630831f

Metadata	MD5 hash
chrome_frame_helper.dll	98eb249e4ddc4897b8be6fe838051af7
.text	dfb4025352a80c2d81b84b37ef00bcd0
.rdata	4457e89f4aec692d8507378694e0a3ba
.data	48de562acb62b469480b8e29821f33b8
.reloc	7a7eed9f2d1807f55a9308e21d81cccd
Import hash	6817b29e9832d8fd85dcbe4af176efb6
Compile date	2014-03-22 11:08:34

Configuración de Malware Backdoor.APT.Kaba:

PlugXConfig (0x150c bytes):

    Flags: False True False FalseFalseFalse True TrueTrueTrue False

    Timer 1: 60 secs

    Timer 2: 60 secs

    C&C Address: www[.]walterclean[.]com:443 (TCP)

    Install Dir: %ALLUSERSPROFILE%\chrome_frame_helper

    Service Name: chrome_frame_helper

    Service Disp: chrome_frame_helper

    Service Desc: Windows chrome_frame_helper Services

    Online Pass: 1234

    Memo: 1234

Información de código abierto

El dominio walterclean[.]com comparte los detalles del registro securitywap[.]com:

Los siguientes dominios fueron registrados para QQ360LEE@126.COM

Dominio: walterclean[.]com
Create Date: 2014-03-26 00:00:00
Registro: ENOM, INC.

Dominio: walterclean[.]com
Fecha de creación: 2014-03-26 00:00:00
Registro: ENOM, INC.

Dominio: securitywap[.]com
Fecha de creación: 2014-03-26 00:00:00
Registro: ENOM, INC.

Dominio: securitywap[.]com
Fecha de creación: 2014-03-26 00:00:00
Registro: ENOM, INC.

Conclusión

En resumen, hemos basado nuestra atribución de estos ataques al mismo responsable de la amenaza de la operación Clandestine Fox, basados en los siguientes vínculos:

• El malware de primera etapa (mt.dat) es una versión ligeramente modificada del malware Backdoor.APT.CookieCutter instalado durante la Operación Clandestine Fox.

• En base a nuestra información, Backdoor.APT.CookieCutter se ha utilizado exclusivamente por este grupo amenaza particular.

• Por último, el dominio de comando y control inform [.] bedircati [.] com visto en esta actividad también fue utilizado durante Clandestine Fox

Otra evolución en este grupo amenaza es que han diversificado su uso de la herramienta con el uso del malware Kaba / PlugX / Sogu, algo nunca antes visto.

Como hemos señalado en otras publicaciones, los actores de amenaza APT aprovechan todos los vectores posibles para tratar de hacer un hueco en las organizaciones a las que se dirigen. Las redes sociales se utilizan cada vez más, tanto por razones personales como de negocios, y son un potencial vector de amenazas más, que tanto los usuarios finales como los defensores de la red tienen que tener en cuenta. Por desgracia, es muy común que los usuarios bajen la guardia cuando utilizan las redes sociales o correo electrónico personal, ya que no siempre tratan a estos servicios con el mismo nivel de riesgo como su correo electrónico del trabajo. A medida que más compañías permiten a sus empleados trabajar a distancia, o incluso acceder a redes y / o recursos de la compañía utilizando sus computadoras personales, estos ataques dirigidos a sus direcciones de correo electrónico personales plantean un riesgo significativo para la empresa.

FireEye Inc,

FireEye ha creado una plataforma de seguridad especialmente diseñada, basada en máquina virtual, que proporciona protección contra amenazas en tiempo real a las empresas y gobiernos en todo el mundo en contra de la próxima generación de ataques cibernéticos. Estos ataques cibernéticos sofisticados eluden fácilmente las defensas tradicionales basadas en firmas, como los firewalls de próxima generación, IPS, antivirus y gateways. La Plataforma de Prevención de Amenazas de FireEye proporciona en tiempo real, protección contra amenazas dinámicas, sin el uso de firmas para proteger a una organización a través de los vectores de amenazas primarias y a través de las diferentes etapas del  ciclo de vida de un ataque. El núcleo de la plataforma FireEye es un motor de ejecución virtual, complementado por la inteligencia de amenazas dinámicas, para identificar y bloquear los ataques cibernéticos en tiempo real. FireEye cuenta con más de 2.200 clientes en más de 60 países, incluyendo más de 130 de las compañías Fortune 500.

Agradecimientos

El autor desea agradecer a los siguientes colegas por sus contribuciones a este informe: Josh Dennis, Mike Oppenheim, Ned Moran y Joshua Homan.