Cloud Atlas: La APT RedOctober regresa con estilo

Hace dos años publicamos nuestras investigaciones sobre RedOctober, una compleja operación de ciber-espionaje que afectaba a las embajadas diplomáticas de todo el mundo. La llamamos RedOctober porque comenzamos esta investigación en octubre 2012, un mes excepcionalmente ocupado.

La operación Red Octuber se cerró poco después de nuestro anuncio en enero de 2013, y se desmanteló la red de C&Cs. Estas grandes operaciones, que implican grandes inversiones y una inmensa cantidad de recursos, no suelen “desaparecer" para siempre. Lo más común es que el grupo desaparezca por algunos meses para rediseñar las herramientas y el programa malicioso y continuar con sus operaciones.

Puedes ver:

Desde enero de 2013, hemos estado alertas por el posible regreso de RedOctober. Es posible que se haya lanzado un ataque mientras observábamos Mevade, un programa malicioso bastante inusual que apareció a finales de 2013. El estilo de los nombres de los C&C de Mevade y algunas otras semejanzas técnicas indicaban una conexión con RedOctober, pero el vínculo era demasiado débil. No fue hasta agosto de 2014 que encontramos algo que nos hizo preguntarnos si RedOctober había vuelto para quedarse.

Conozcan Cloud Atlas

En agosto de 2014, algunos de nuestros usuarios se encontraron ante ataques dirigidos con una variante de CVE-2012-0158 y una cepa rara de malware. Hicimos un análisis veloz del programa y nos llamó la atención de inmediato por algunas de sus características que son muy raras en el mundo de las Amenazas Persistentes Avanzadas.

Algunos de los nombres de archivo que se usaron en el ataque son:

  • FT – Ukraine Russia’s new art of war.doc
  • Катастрофа малайзийского лайнера.doc
  • Diplomatic Car for Sale.doc
  • МВКСИ.doc
  • Organigrama Gobierno Rusia.doc
  • Фото.doc
  • Информационное письмо.doc
  • Форма заявки (25-26.09.14).doc
  • Информационное письмо.doc
  • Письмо_Руководителям.doc
  • Прилож.doc
  • Car for sale.doc
  • Af-Pak and Central Asia’s security issues.doc

Por lo menos uno de estos nombres nos recuerda a RedOctober, que usaba uno muy parecido en sus ataques dirigidos: "Diplomatic Car for Sale.doc". Al indagar sobre la operación comenzaron a surgir más detalles que apoyaban esta teoría.

Tal vez lo más raro fue que el exploit de Microsoft Office no escribió una puerta trasera de Windows PE directo en el disco. En vez de ello, escribió un script de Visual Basic y lo ejecutó.

Carga explosiva del exploit de Cloud Atlas – VBScript

Este VBScript despliega un par de archivos en el disco – un cargador y una carga explosiva cifrada. El cargador se ve diferente cada vez y las cadenas de caracteres internas indican que se está generado de forma "polimórfica". La carga explosiva siempre está cifrada con una llave única, haciendo que sea imposible descifrarla a no ser que el DLL esté disponible.

Encontramos varios documentos de ataques dirigidos spear-phishing que despliegan cargas explosivas con nombres únicos. Por ejemplo, el MD5 del archivo “qPd0aKJu.vbs”:

E211C2BAD9A83A6A4247EC3959E2A730 despliega los siguientes archivos:

DECF56296C50BD3AE10A49747573A346 – bicorporate – carga explosiva cifrada
D171DB37EF28F42740644F4028BCF727 – ctfmonrn.dll – cargador

El VBS también agrega una llave de registro:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun, estableciendo la llave “bookstore” al valor “regsvr32%path%ctfmonrn.dll /s", que se asegura de que el programa malicioso se ejecute cada vez que se inicie el sistema.

Algunos de los nombres DLL que observamos incluyen:

f4e15c1c2c95c651423dbb4cbe6c8fd5 – bicorporate.dll649ff144aea6796679f8f9a1e9f51479 – fundamentive.dll
40e70f7f5d9cb1a669f8d8f306113485 – papersaving.dll
58db8f33a9cdd321d9525d1e68c06456 – previliges.dll
f5476728deb53fe2fa98e6a33577a9da – steinheimman.dll

Estos son algunos de los nombres de la carga explosiva:

steinheimmanpapersaving
previliges
fundamentive
bicorporate
miditiming
damnatorily
munnopsis
arzner
redtailed
roodgoose
acholias
salefians
wartworts
frequencyuse
nonmagyar
shebir
getgoing

La carga explosiva incluye un bloqueo cifrado de configuración con información sobre el servidor C&C:

La información de configuración incluye una URL WebDAV que se usa para hacer conexiones, un nombre de usuario y contraseña, dos carpetas en el servidor WebDAV que se usan para almacenar complementos/módulos para el malware y donde se supone que se guardan los datos de la víctima.

Comunicaciones C&C

Los implantes de Cloud Atlas utilizan un mecanismo C&C bastante inusual. Todos los ejemplares del malware que hemos visto se comunican mediante HTTPS y WebDav con el mismo servidor en la nube “cloudme.com”. Según su sitio web, la compañía CloudMe AB, que opera desde Linköping, Suecia, es la dueña y responsable de CloudMe.

(Nota importante: No creemos que CloudMe tenga ninguna relación con el grupo Cloud Atlas – los atacantes sólo crean cuentas gratuitas en este servidor y las utilizan para controlar los equipos infectados).

Sin embargo, cada conjunto de malware que hemos visto hasta ahora se comunica con una cuenta diferente de CloudMe. Los atacantes suben datos a la cuenta y el implante los descarga, descifra e interpreta. Cuando le toca, el malware sube las respuestas al servidor mediante el mismo mecanismo. Por supuesto, se podría reconfigurar el programa para usar cualquier servicio de almacenamiento basado en la nube que funcione con WebDAV.

Esta es una de las cuentas de CloudMe:

Los datos de la cuenta:

El programa malicioso subió los archivos almacenados en la carpeta de nombre aleatorio. Contienen varias cosas, como información del sistema, procesos en ejecución y nombres de usuario actuales. Los datos se comprimen con LZMA y cifran con AES, pero las llaves se guardan en el cuerpo del programa, lo que hace posible descifrar la información desde el C&C.

Sólo habíamos observado otro grupo que usaba un método como este – ItaDuke –, conectándose a cuentas en el servidor en la nube mydrive.ch.

Estadísticas sobre las víctimas: los 5 países con mayor cantidad de infecciones

  CloudAtlas RedOctober
Rusia 15 35
Kazajistán 14 21
Bielorrusia 4 5
India 2 14
República Checa 2 < 5

Semejanzas con RedOctober

Los datos de la Kaspersky Security Network (KSN) indican que, igual que RedOctober, el blanco principal de Cloud Atlas es Rusia, seguido de cerca por Kazajistán. Es más, hemos visto una superposición obvia de blancos entre ambos, con diferencias sutiles que se dan por los cambios geopolíticos de la región que ocurrieron durante los últimos dos años.

Lo interesante es que algunos de los documentos sobre los ataques phishing dirigidos entre Cloud Atlas y RedOctober explotan el mismo tema y se usaron para atacar a la misma entidad en diferentes momentos.

CloudAtlas RedOctober

Tanto los implantes Cloud Atlas como RedOctober dependen de una estructura similar, con un cargador y una carga nociva final que se almacena cifrada y comprimida en un archivo externo. Pero también hay algunas diferencias importantes, en especial en los algoritmos de cifrado que se usan -š RC4 en RedOctober vs. AES en Cloud Atlas.

El uso de los algoritmos de compresión en Cloud Altas y RedOctober es otra semejanza interesante. Ambos programas maliciosos comparten el código del algoritmo de compresión LZMA. En CloudAtlas se usa para comprimir los registros y descomprimir las cargas explosivas descifradas de los servidores C&C, mientras que en RedOctober, el complemento “planificador” lo usa para descomprimir las cargas explosivas ejecutables del C&C.

Resulta que la implementación del algoritmo es idéntica en ambos módulos maliciosos, pero la forma en la que se lo invoca tiene algunas diferencias: la versión CloudAtlas tiene algunos controles de sanidad de entrada adicionales.

Otra semejanza interesante entre ambas familias de malware es la configuración del sistema de construcción que se usa para compilar los binarios. Cada binario que se crea usando la cadena de herramientas Microsoft Visual Studio tiene un encabezamiento especial con información sobre la cantidad de objetos de ingreso y la información de la versión de los compiladores que se usaron para crearlo: el encabezamiento “Rich”, que adopta su nombre de la cadena mágica que se usa para identificarlo en el archivo.

Hemos identificado varios binarios de RedOctober que tienen encabezamientos “Rich” describiendo con exactitud la disposición de los objetos de archivo VC 2010 + VC 2008. Aunque esto no implica necesariamente que los binarios se hayan creado en el mismo ordenador, no hay duda de que se compilaron usando la misma versión del Microsoft Visual Studio, šcon el mismo número de compilación y una configuración de proyecto parecida.

Número de archivos objeto, cargador CloudAtlas Cantidad de archivos de objeto, complemento Office de Red October Cantidad de archivos de objeto, complemento Fileputexec de Red October Versión del compilador HEX Versión del compilador descifrado
01 01 01 009D766F VC 2010 (compilación 30319)
01 01 01 009B766F VC 2010 (compilación 30319)
22 2E 60 00AB766F VC 2010 (compilación 30319)
5B 60 A3 00010000
05 07 11 00937809 VC 2008 (compilación 30729)
72 5C AD 00AA766F VC 2010 (compilación 30319)
20 10 18 009E766F VC 2010 (compilación 30319)

Resumiendo las semejanzas entre ambos:

  Cloud Atlas RedOctober
Marcador Shellcode en documentos afectados por ataques de spearphishing PT@T PT@T
País más atacado Rusia Rusia
Algoritmo de compresión que se usó para las comunicaciones C&C LZMA LZMA
Servidores C&C dicen ser / redirigen a BBC (malware paraš móviles) BBC
Versión del compilador VC 2010 (compilación 30319) VC 2010 (compilación 30319) (algunos módulos)

Por último, tal vez la conexión más fuerte viene de los ataques dirigidos. Según demuestran las observaciones de la KSN, algunas de las víctimas de RedOctober también son blanco de ataques de CloudAtlas. En al menos uno de los casos, el ordenador de la víctima recibió sólo dos ataques en los últimos dos años: uno con RedOctober y otro con Cloud Atlas.

Estos y otros detalles nos hacen pensar que CloudAtlas es un renacimiento de los ataques de RedOctober.

Conclusión

Después de grandes anuncios y exposiciones públicas de ataques dirigidos, los grupos de APT actúan de forma predecible. La mayoría de los atacantes que hablan chino sólo reubican los servidores C&C, recopilan los programas maliciosos y siguen adelante como si nada hubiera pasado.

Otros grupos que están más nerviosos con su exposición entran en un estado de hibernación por meses o años. Algunos nunca vuelven a usar las mismas herramientas y técnicas.

Sin embargo, cuando se expone una operación de ciberespionaje de gran magnitud, es muy raro que los atacantes dejen de actuar por completo. Sólo se desconectan por algún tiempo, actualizan sus herramientas y regresan con más fuerza.

Creemos que esto es lo que pasó con RedOctober, que está regresando con estilo en la forma de Cloud Atlas.

Los productos Kaspersky detectan el programa malicioso del conjunto de herramientas Cloud Atlas con los siguientes veredictos:

Exploit.Win32.CVE-2012-0158.j
Exploit.Win32.CVE-2012-0158.eu
Exploit.Win32.CVE-2012-0158.aw
Exploit.MSWord.CVE-2012-0158.ea
HEUR:Trojan.Win32.CloudAtlas.gen
HEUR:Trojan.Win32.Generic
HEUR:Trojan.Script.Generic
Trojan-Spy.Win32.Agent.ctda
Trojan-Spy.Win32.Agent.cteq
Trojan-Spy.Win32.Agent.ctgm
Trojan-Spy.Win32.Agent.ctfh
Trojan-Spy.Win32.Agent.cter
Trojan-Spy.Win32.Agent.ctfk
Trojan-Spy.Win32.Agent.ctfj
Trojan-Spy.Win32.Agent.crtk
Trojan-Spy.Win32.Agent.ctcz
Trojan-Spy.Win32.Agent.cqyc
Trojan-Spy.Win32.Agent.ctfg
Trojan-Spy.Win32.Agent.ctfi
Trojan-Spy.Win32.Agent.cquy
Trojan-Spy.Win32.Agent.ctew
Trojan-Spy.Win32.Agent.ctdg
Trojan-Spy.Win32.Agent.ctlf
Trojan-Spy.Win32.Agent.ctpz
Trojan-Spy.Win32.Agent.ctdq
Trojan-Spy.Win32.Agent.ctgm
Trojan-Spy.Win32.Agent.ctin
Trojan-Spy.Win32.Agent.ctlg
Trojan-Spy.Win32.Agent.ctpd
Trojan-Spy.Win32.Agent.ctps
Trojan-Spy.Win32.Agent.ctpq
Trojan-Spy.Win32.Agent.ctpy
Trojan-Spy.Win32.Agent.ctie
Trojan-Spy.Win32.Agent.ctcz
Trojan-Spy.Win32.Agent.ctgz
Trojan-Spy.Win32.Agent.ctpr
Trojan-Spy.Win32.Agent.ctdp
Trojan-Spy.Win32.Agent.ctdr
Trojan.Win32.Agent.idso
Trojan.Win32.Agent.idrx
HEUR:Trojan.Linux.Cloudatlas.a
Trojan.AndroidOS.Cloudatlas.a
Trojan.IphoneOS.Cloudatlas.a

Publicaciones relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *