Hace dos días, FireEye informó (en inglés) que el nuevo exploit CVE-2013-3906 había comenzado a usarse para difundir amenazas nuevas, diferentes a las originales. Los nuevos documentos infectados tienen similitudes con los exploits que ya se habían detectado, pero también tienen cargas explosivas diferentes. FireEye explicó que los nuevos exploits se están utilizando para propagar las puertas traseras Taidoor y PlugX.
En Kaspersky Lab también hemos detectado que otro grupo APT acaba de comenzar a propagar documentos de Microsoft Word maliciosos que explotan CVE-2013-3906. Este actor APT es el grupo Winnti, que describimos en detalle aquí . Los atacantes enviaron correos fraudulentos dirigidos (spear phishing) con un documento adjunto que albergaba el exploit. Como es de imaginarse, los delincuentes de Winnti están tratando de usar esta técnica para propagar malware de primera etapa: PlugX.
Descubrimos un ataque contra una compañía de juegos que a menudo es el blanco de las amenazas del grupo Winnti. El documento de MS Word que contiene el exploit muestra la misma “imagen” TIFF, 7dd89c99ed7cec0ebc4afa8cd010f1f1, que da inicio a la explotación de la vulnerabilidad, como en los ataques de Hangover. Si la explotación tiene éxito, la puerta trasera PlugX se descarga desde una URL lejana:
hxxp://211.78.90.113/music/cover/as/update.exe.
Según el encabezado del ejecutable portátil, la muestra de ejemplar de Plug X se compiló el 4 de noviembre de 2013. La Biblioteca Dinámica de Enlaces interna y funcional de PlugX que se decodifica y asigna a la memoria cuando se ejecuta el malware es un poco más antigua: data del 30 de octubre de 2013. La versión de PlugX que se descarga tiene leves diferencias con el PlugX original, pero es del mismo tipo que la descubierta por FireEye cuando el malware envía paquetes CnC HTTP POST con encabezados adicionales notables:
Muestra de FireEye
POST /<random [0-9A-F]{24}> HTTP/1.1 Accept: */* FZLK1: 0 FZLK2: 0 FZLK3: 61456 FZLK4: 1 |
POST /<random [0-9A-F]{24}> HTTP/1.1 Accept: */* HHV1: 0 HHV2: 0 HHV3: 61456 HHV4: 1 |
El PlugX de Winnti se conecta con un nuevo C2 que antes se desconocía, av4.microsoftsp3.com. Este dominio dirige a la dirección IP 163.43.32.4. Otros dominios relacionados con Winnti han estado dirigiendo hacia la misma dirección, comenzando el 3 de octubre de 2013:
ad.msnupdate.bz | ad.msnupdate.bz | |
book.playncs.com | data.msftncsl.com | ns3.oprea.biz |
Una vez más fuimos testigos de la velocidad con la que diferentes actores APT explotan una vulnerabilidad descubierta hace poco. La intensa competencia nos permite ver lo rápido que se agregan los nuevos exploits a diferentes paquetes de exploits cuando los cibercriminales se involucran en el asunto. No se sabe con certeza cómo lograron los actores APT conseguir el CVE-2013-3906; tal vez consiguieron el mismo “constructor” que los atacantes de Hangover o adquirieron algunas muestras de documentos de Microsoft Word maliciosos y las adaptaron a sus propias necesidades. De cualquier modo, podemos llegar a la conclusión de que así como la competencia entre cibercriminales los pone bajo presión, los actores ATP tampoco descansan en sus laureles y están en constante evolución, perfeccionando sus procesos diarios y trabajando más unidos entre sí para convertirse en una amenaza cada vez más peligrosa.
Ejemplares descubiertos
Exploit.MSOffice.CVE-2013-3906.a
MS Word document: Questionnaire.docx, 63ffbe83dccc954f6a9ee4a2a6a93058
Backdoor.Win32.Gulpix.tu
PlugX backdoor: update.exe, 4dd49174d6bc559105383bdf8bf0e234
Backdoor.Win32.Gulpix.tt
PlugX internal library: 6982f0125b4f28a0add2038edc5f038a
CVE-2013-3906: una mercancía preciada a la que hay que llegar con prisa