Drenaje de la infraestructura de Volatile Cedar DGA

Infección circunscrita al Líbano

Estos días la actividad del APT Volatile Cedar en el Medio Oriente ha creado cierto alboroto, pues se propaga no sólo a través de RATs personalizados, sino también mediante componentes USB, según el informe de Check Point [pdf]. Si te interesa conocer más sobre este APT, te recomendamos que primero leas el informe.

Una función interesante de las puertas traseras que este ataque usa, es su habilidad para conectarse primero con un conjunto de servidores de comando y control (C2) de actualizaciones estadísticas, que a su vez redirigen a otro C2. Cuando no pueden conectarse con su C2 hard-coded estático, recurren a un algoritmo DGA, y buscan otros dominios con los cuales conectarse.

Estadísticas:

Nos llamó la atención el impacto real de este particular actor, de manera que procedimos a drenar parte de su infraestructura de comando y control generada de forma dinámica. Las estadísticas de las víctimas presentan un perfil algo sorprendente, pues casi todas se circunscriben al Líbano.

Víctimas que se conectan con el C2 DGA

Es evidente que casi todas las víctimas que observamos se comunican desde rangos de IPs mantenidos por ISPs en el Líbano. Y la mayoría de las otras conexiones parecen relacionarse con investigaciones. Casi todas las puertas traseras que se comunican con los dominios drenados son la principal puerta trasera: “explosion”. Pero algunos de los sistemas infectados en el Líbano que se comunican con nuestro drenaje están ejecutando la rarísima puerta trasera “micro” descrita por nuestros colegas de  Checkpoint en su informe: š“Micro es una rara versión de Explosive. La mejor forma de describirla es como una versión completamente diferente del troyano, con similitudes con el resto de la “familia” Explosive (como su configuración y código base). Creemos que Micro es en realidad un predecesor remoto de Explosive, a partir del cual evolucionaron todas las demás versiones. Como en las otras versiones, esta también depende de una DLL autodesarrollada llamada “wnhelp.dll”. Se conectan con edortntexplore[.]info con el URI "/micro/data/index.php?micro=4", a través del puerto 443.

Aunque está claro que Volatile Cedar no posee un alto nivel de proeza tecnológica, al parecer sus creadores han logrado una propagación muy efectiva, de forma muy similar al APT Madi, sobre el que informamos a mediados de 2012. Puesto que el grupo no lanza ataques tipo spearphishing, los administradores de sistemas deben conocer su superficie de ataque expuesta públicamente, como las aplicaciones web, servidores ftp, servidores ssh, etc., y asegurarse de que no sean vulnerables a ataques SQLi, SSI, y otros tipos de actividades ofensivas del lado del servidor.

Veredictos y MD5s de Kaspersky:

Trojan.Win32.Explosion.a
981234d969a4c5e6edea50df009efedd

Trojan.Win32.Explosion.b
7031426fb851e93965a72902842b7c2c

Trojan.Win32.Explosion.c
6f11a67803e1299a22c77c8e24072b82

Trojan.Win32.Explosion.d
eb7042ad32f41c0e577b5b504c7558ea

Trojan.Win32.Explosion.e
61b11b9e6baae4f764722a808119ed0c

Trojan.Win32.Explosion.f
c7ac6193245b76cc8cebc2835ee13532
184320a057e455555e3be22e67663722

Trojan.Win32.Explosion.g
5d437eb2a22ec8f37139788f2087d45d

Trojan.Win32.Explosion.i
7dbc46559efafe8ec8446b836129598c

Trojan.Win32.Explosion.j
c898aed0ab4173cc3ac7d4849d06e7fa

Trojan.Win32.Explosion.k
9a5a99def615966ea05e3067057d6b37

Trojan.Win32.Explosion.l
1dcac3178a1b85d5179ce75eace04d10

Trojan.Win32.Explosion.m
22872f40f5aad3354bbf641fe90f2fd6

Trojan.Win32.Explosion.n
2b9106e8df3aa98c3654a4e0733d83e7

Trojan.Win32.Explosion.o
08c988d6cebdd55f3b123f2d9d5507a6

Trojan.Win32.Explosion.p
1d4b0fc476b7d20f1ef590bcaa78dc5d

Trojan.Win32.Explosion.q
c9a4317f1002fefcc7a250c3d76d4b01

Trojan.Win32.Explosion.r
4f8b989bc424a39649805b5b93318295

Trojan.Win32.Explosion.s
3f35c97e9e87472030b84ae1bc932ffc

Trojan.Win32.Explosion.t
7cd87c4976f1b34a0b060a23faddbd19

Trojan.Win32.Explosion.u
ea53e618432ca0c823fafc06dc60b726

Trojan.Win32.Explosion.v
034e4c62965f8d5dd5d5a2ce34a53ba9

Trojan.Win32.Explosion.w
5ca3ac2949022e5c77335f7e228db1d8

Trojan.Win32.Explosion.x
ab3d0c748ced69557f78b7071879e50a

Trojan.Win32.Explosion.y
5b505d0286378efcca4df38ed4a26c90

Trojan.Win32.Explosion.z
e6f874b7629b11a2f5ed3cc2c123f8b6

Trojan.Win32.Explosion.aa
306d243745ba53d09353b3b722d471b8

Trojan.Win32.Explosion.ab
740c47c663f5205365ae9fb08adfb127

Trojan.Win32.Explosion.ac
c19e91a91a2fa55e869c42a70da9a506

Trojan.Win32.Explosion.ad
edaca6fb1896a120237b2ce13f6bc3e6

Trojan.Win32.Explosion.ae
d2074d6273f41c34e8ba370aa9af46ad

Trojan.Win32.Explosion.af
66e2adf710261e925db588b5fac98ad8
29eca6286a01c0b684f7d5f0bfe0c0e6
2783cee3aac144175fef308fc768ea63
f58f03121eed899290ed70f4d19af307

Trojan.Win32.Agent.adsct
826b772c81f41505f96fc18e666b1acd

Trojan-Dropper.Win32.Dycler.vhp
44b5a3af895f31e22f6bc4eb66bd3eb7

??
96b1221ba725f1aaeaaa63f63cf04092

Referencias:

• Volatile Cedar – Analysis of a Global Cyber Espionage Campaign (Checkpoint)