Miniduke ha vuelto: Nemesis Gemina y el Botgen Studio

Una actualización de 2014 para conocer las novedades de una de las operaciones de Amenazas Persistentes Avanzadas (APT) más inusuales

En 2013, junto a nuestros socios de CrySyS Lab, dimos a conocer nuestra investigación sobre un nuevo actor de APT que llamamos “Miniduke”. Se destacaba de las demás APTs por muchas razones, entre ellas:

• Su uso de una puerta trasera personalizada escrita en Assembler (¿quién sigue usando Assembler en la era de Java y .NET?)
• Un mecanismo de comando y control único que emplea múltiples rutas de redundancia, incluyendo cuentas de Twitter
• La transferencia sigilosa de actualizaciones en forma de ejecutables escondidos dentro de archivos GIF (una forma de esteganografía)

Ya hemos indicado que esta amenaza empleaba malware que se había desarrollado utilizando técnicas de escritura de virus anticuadas.

Los investigadores de CIRCL/Luxemburgo y otras compañías antivirus continuaron nuestro análisis. Hace poco, nos enteramos de que F-Secure había publicado un estudio sobre la misma amenaza (a la que llama “CosmicDuke”).

Desde que nuestros informes salieron a la luz en 2013, las operaciones de Miniduke se han detenido o, al menos, su intensidad ha bajado. Sin embargo, a principios de 2014 reinició sus ataques con fuerza y volvió a llamar nuestra atención.

Creemos que es hora de revelar más información sobre sus operaciones.

El “viejo” Miniduke en 2014

Las viejas versiones de Miniduke de 2013 siguen dando vueltas en la red y se están utilizando en ataques actuales.

Sigue dependiendo de cuentas de Twitter que tienen una URL de Comando y Control que dirige al servidor C&C. Esta es una de estas cuentas en febrero de 2014:

Aunque el formato de la URL de C&C ha cambiado en relación a las variantes anteriores, el algoritmo de codificación es el mismo. La línea de arriba se puede decodificar para obtener la URL de C&C completa:

hxxp://algherolido.it/img/common/thumb/thumb.php

La URL decodificada era una C&C activa, de la cual se obtuvieron varias actualizaciones:

Actualización 1:

Este troyano es pesado porque se compiló con un empaquetador personalizado. La compilación tiene una cadena de caracteres de depuración específica en su interior:

C:Projectsnemesis-geminanemesisbincarriersezlzma_x86_exe.pdb

El paquete ejecuta un módulo del troyano de menor tamaño:

Otra actualización que se detectó en el servidor C&C es:

Actualización 2:

Hemos encontrado un troyano similar, aunque no se encuentra en el C&C:

El uso del empaquetador Nemesis Gemina en las cargas explosivas de Miniduke nos hizo buscar más ejemplares en nuestra colección. Así descubrimos muchas cosas nuevas.

El “nuevo” malware Miniduke (el “CosmicDuke”)

Parece que, después de haber sido expuesto en 2013, el creador de Miniduke pasó a usar otra puerta trasera personalizada que le permite robar información de varios tipos.

El programa malicioso falsifica aplicaciones populares diseñadas para ejecutarse en un segundo plano, incluyendo información sobre los archivos, íconos y hasta el tamaño del archivo:

La “nueva” puerta trasera principal Miniduke (conocida como TinyBaron o CosmicDuke) está compilada utilizando un marco personalizable llamado “BotGenStudio”, que permite activar/desactivar los componentes de forma flexible cuando se construye el bot.

Los componentes pueden dividirse en 3 grupos:

1. Persistencia
2. Reconocimiento
3. Exfiltración

Persistencia

Miniduke/CosmicDuke puede iniciarse mediante Windows Task Scheduler, por medio de un binario de servicio personalizado que genera un nuevo proceso ubicado en la llave de registro especial, o cuando el usuario no está usando el equipo y se activa el protector de pantalla.

Reconocimiento

El malware puede robar una variedad de información, incluyendo archivos que escoge en base a sus extensiones y palabras clave en su nombre:

*.exe;*.ndb;*.mp3;*.avi;*.rar;*.docx;*.url;*.xlsx;*.pptx;*.ppsx;*.pst;*.ost;*psw*;*pass*;
*login*;*admin*;*sifr*;*sifer*;*vpn;*.jpg;*.txt;*.lnk; *.dll;*.tmp;*.obj;*.ocx;*.js

Nota: Creemos que las palabras clave “*sifr*” y “*sifer*” de arriba se refieren a la transliteración de la palabra ingresa “Cypher” en algunos idiomas.

La puerta trasera también tiene muchas otras capacidades, como:

• Capturador de teclado (keylogger)
• Ladrón de contraseñas de Skype
• Recolector de información general de la red
• Capturador de pantalla (captura imágenes cada 5 minutos)
• Capturador del portapapeles (captura los contenidos del portapapeles cada 30 segundos)
• Ladrón de Microsoft Outlook y Windows Address Book
• Ladrón de contraseñas de Google Chrome
• Ladrón de contraseñas de Google Talk
• Ladrón de contraseñas de Opera
• Ladrón de contraseñas de TheBat!
• Ladrón de contraseñas de Firefox, Thunderbird
• Recolector de datos almacenados en Drives/location/locale/installed software
• Recolector de información de la red/adaptador WiFi
• Recolector de los secretos guardados por LSA
• Recolector de los secretos guardados en Almacenamiento Protegido
• Exportador de certificados/llaves privadas
• Recolector de historiales de URL
• Recolector de secretos de InteliForms
• Recolector de los secretos guardados por autocompletar de IE y Outlook Express
• Y más…

Exfiltración

El programa malicioso emplea varios métodos para exfiltrar información, incluyendo subir datos mediante FTP y tres variantes de mecanismos de comunicación basados en HTTP. Varios conectores HTTP diferentes actúan como asistentes, probando diferentes métodos por si las reglas de seguridad locales o los programas de seguridad del equipo restringen alguno. Estos tres métodos son:

• Conexión directa a un TCP y a una sesión HTTP mediante la biblioteca Winsock
• Sesión HTTP mediante Urlmon.dll
• Sesión HTTP mediante casos invisibles de Internet Explorer como objeto OLE

Implementación

Cada víctima recibe una ID única que le permite publicar actualizaciones específicas para una víctima en particular. Como hemos dicho, Miniduke/CosmicDuke está protegido con un cargador ofuscado personalizado que consume muchos recursos del CPU durante 3 a 5 minutos antes de ejecutar la carga explosiva. Esto no sólo complica el análisis del malware, también agota los recursos reservados para la ejecución en los emuladores de los programas de seguridad. Además de tener su propio ofuscador, hace mucho uso de algoritmos de cifrado y compresión basados en RC4 y LZRW, respectivamente. La implementación de estos algoritmos tiene pequeñas diferencias con el código estandarizado, lo que hasta puede parecer un error. Pero creemos que estos cambios se hicieron a propósito, para de confundir a los investigadores.

Una de las partes con mayor avance técnico de Miniduke es el almacenamiento de datos. La configuración interna del malware está cifrada, comprimida y serializada como una compleja estructura similar a la de un registro que tiene varios tipos de informes, incluyendo cadenas de caracteres, números enteros y referencias internas. Además, Miniduke utiliza un método inusual para guardar los datos exfiltrados. Antes de subir un archivo al servidor C&C, se divide en pequeñas partes de alrededor de 3KB que se comprimen, cifran y guardan en un contenedor. Si el archivo de origen es grande, se guarda en cientos de contenedores que se suben de forma individual. Es probable que se realice un análisis sintáctico de estas partes, se descifren, desempaquen, extraigan y se vuelvan a ensamblar en el lado del atacante. Este método se utiliza para subir capturas de pantallas que se toman del equipo de la víctima. Crear un almacenamiento tan complejo puede ser exagerado, pero todas esas capas de procesamiento adicionales garantizan que muy pocos investigadores vayan a conseguir los datos originales y, a la vez, evitan los errores de red.

Perfiles y ubicación de las víctimas

Nuestro análisis mostró que las víctimas de Miniduke y CosmicDuke pueden agruparse en las siguientes categorías:

• gobiernos
• diplomáticos
• energía
• operadores de telecomunicaciones
• militares, incluyendo contratistas del ejército
• individuos que se dedican al tráfico y venta de substancias ilícitas y controladas

Extrajimos una lista de víctimas con sus países correspondientes de uno de los servidores de Miniduke antiguos. Identificamos a las víctimas de tres de estos países, que pertenecían a la categoría “gobiernos”. Esta es una lista de los países afectados:

• Australia
• Bélgica
• Francia
• Alemania
• Hungría
• Holanda
• España
• Ucrania
• Estados Unidos

Uno de los servidores de CosmicDuke que analizamos tenía una larga lista de víctimas que databa de abril 2012. El servidor tenía 265 identificadores únicos asignados a las víctimas desde 139 IPs únicas. La distribución geográfica de las víctimas era la siguiente (top10):

Según nuestro análisis, los atacantes estaban más interesados en expandir sus operaciones y analizaron los rangos de IP y servidores en Azerbaiyán, Grecia y Ucrania.

Análisis de las herramientas de ataque y los servidores de Comando y Control

Mientras realizábamos el análisis pudimos conseguir una copia de uno de los servidores de comando y control de CosmicDuke. Parece que también se usaron en otras operaciones del grupo, como para irrumpir en otros servidores de Internet.

Los atacantes han desplegado herramientas disponibles al público en este servidor para escanear y comprometer sitios web de las organizaciones que quieren atacar, así como para recolectar información para ataques dirigidos en el futuro.

Esta es la lista de herramientas de ataque que encontramos en el servidor:

Hydra: “Un cracker muy rápido de datos de acceso a redes que es compatible con diferentes servicios”

Fierce2: “Un escáner de enumeración liviano que ayuda a los evaluadores de penetración a localizar los espacios IP que no son contiguos y los hostnames de dominios específicos usando DNS, Whois y ARIN, entre otros”.

The Harvester: “El objetivo de este programa es recolectar correos electrónicos, subdominios, alojadores, nombres de empleados, puertos abiertos y anuncios publicitarios de diferentes fuentes públicas como motores de búsqueda, servidores de llaves PGP y bases de datos informáticas SHODAN”.

RitX: “Una Herramienta de Búsquedas IP Inversas que permite usar una dirección IP o nombre de dominio para identificar todos los dominios alojados en un servidor usando múltiples servicios y diferentes técnicas”.

Joomscan: “Escáner de vulnerabilidades en OWASP Joomla!”

Ncrack: “Herramienta de alta velocidad para romper la autentificación de redes. Permite realizar auditorías rápidas y confiables de múltiples hosts a gran escala”.

Sqlmap: “Una herramienta de análisis de penetración de código abierto que automatiza el proceso de detectar y explotar vulnerabilidades de inyecciones SQL y tomar el control de los servidores de las bases de datos”.

WPScan: “Un escáner de vulnerabilidades de black box WordPress”

Nota: las descripciones de las herramientas son una copia traducida de las que ofrecen en sus sitios web públicos

Atribución y artefactos, vínculos con otras operaciones

Los atacantes utilizan el idioma inglés en varios lugares, lo que demuestra que conocen el idioma, pero hay ciertos indicadores que sugieren que ésta no es su lengua nativa.

Las siguientes cadenas de caracteres se descubrieron en un bloque de memoria anexado al componente de malware que se utiliza para perdurar.

www.mirea.ru
e.mail.ru
gmt4
c:documents and settingsвладимирlocal settings…

Parece que los atacantes comprometieron los servidores C&C y subieron una webshell específica.

Webshell de los atacantes de Miniduke en los servidores comprometidos

Es interesante notar que se usa Codepage 1251 en la webshell, que se suele emplear para representar los caracteres cirílicos. La contraseña que protege el shell se revisa comparándola con el hash MD5 “35c7c2d1fe03f0eeaa4630332c242a36”. (Por cierto, ¿puedes romperla? ¡Nos tomó unos cuantos días hacerlo!)

Tal vez hay que mencionar que la misma webshell se ha observado en las operaciones de otro actor de amenazas avanzadas conocido como Turla, Snake o Uroburos.

Otro aspecto interesante es la ruta de caracteres de depuración del malware, que lleva a miles de entornos o grupos de “usuarios” del “Bot Gen Studio”, “NITRO” y “Nemesis Gemina”:

c:botgenstudiogenerationsfdd88801binBot.pdb
c:botgenstudiogenerationsfed14e50binBot.pdb
D:SVA NITROBotGenStudio InterfaceGenerations80051A85binbot.pdb
d:svanitrobotgenstudiointerfacegenerations805f8183binBot.pdb
d:productionnitrosvagenerations80deae99binBot.pdb
C:Projectsnemesis-geminanemesisbincarriersezlzma_x86_exe.pdb
C:ProjectsNEMESISnemesis-geminanemesisbincarriersezlzma-boost-kitchen_sink_x86_exe.pdb
D:PRODUCTIONNITROSVAGenerations80911F82binbot.pdb

Hemos armado este gráfico basándonos en la fecha estampada para indicar la actividad de los atacantes de Miniduke/CosmicDuke según el “Día de la semana”:

Parece que los atacantes prefieren trabajar de lunes a viernes, aunque de vez en cuando también lo hacen los fines de semana.

Su horario preferido de trabajo es entre las 6am y las 7pm GMT. La mayor parte del trabajo se hace entre las 6am y las 4pm.

Conclusiones

Los cibercriminales de Miniduke han detenido sus ataques, o al menos bajado su intensidad después de nuestro anuncio del año pasado, pero ahora están volviendo al campo de batalla. El viejo malware Miniduke se sigue usando, desplegando tácticas conocidas empacadas con un nuevo ofuscador que se observó con el misterioso “Bot Gen Studio” para los proyectos “NITRO” y “Nemesis Gemina”.

Mientras las versiones viejas de Miniduke se siguen usando para atacar a sectores del gobierno, el nuevo CosmicDuke apunta a víctimas diferentes. Las más inusuales son aquellas que participan en el tráfico de substancias controladas e ilícitas, como esteroides y hormonas. Este tipo de víctimas en el proyecto NITRO sólo se ha encontrado en Rusia. Una posibilidad es que “Bot Gen Studio” sea una plataforma de malware que también funcione como una herramienta de “spyware legal” similar a otras, como RCS de HackingTeam, que las autoridades utilizan con frecuencia. Otra posibilidad es que sólo esté en el mercado negro virtual para que las compañías farmacéuticas se espíen entre sí.

A la vez, el proyecto “Nemesis Gemina” tiene como objetivo atacar a gobiernos, diplomáticos, sectores energéticos, militares y operadores de telecomunicaciones.

Una de las grandes cuestiones es: ¿Siguen siendo una “élite” los atacantes de Miniduke? Aunque el viejo programa sigue usándose, el nuevo no está escrito solo en Assembler; está escrito en C/C++.

Los nuevos ejemplares de Miniduke/CosmicDuke utilizan un ofuscador muy poderoso. Para casi todas las muestras que analizamos, salta a los inicios del cargador de PE dinámico – siempre desde la misma dirección “l33t” (si la organización de la memoria lo permitió durante la construcción del bot):

¡Es por eso que CosmicDuke sigue siendo de la élite “l33t”!