Drenaje de la infraestructura de Volatile Cedar DGA

31 Mar 2015

lectura de un minuto

Autores

Infección circunscrita al Líbano

Estos días la actividad del APT Volatile Cedar en el Medio Oriente ha creado cierto alboroto, pues se propaga no sólo a través de RATs personalizados, sino también mediante componentes USB, según el informe de Check Point [pdf]. Si te interesa conocer más sobre este APT, te recomendamos que primero leas el informe.

Una función interesante de las puertas traseras que este ataque usa, es su habilidad para conectarse primero con un conjunto de servidores de comando y control (C2) de actualizaciones estadísticas, que a su vez redirigen a otro C2. Cuando no pueden conectarse con su C2 hard-coded estático, recurren a un algoritmo DGA, y buscan otros dominios con los cuales conectarse.

Estadísticas:

Nos llamó la atención el impacto real de este particular actor, de manera que procedimos a drenar parte de su infraestructura de comando y control generada de forma dinámica. Las estadísticas de las víctimas presentan un perfil algo sorprendente, pues casi todas se circunscriben al Líbano.

Víctimas que se conectan con el C2 DGA

Es evidente que casi todas las víctimas que observamos se comunican desde rangos de IPs mantenidos por ISPs en el Líbano. Y la mayoría de las otras conexiones parecen relacionarse con investigaciones. Casi todas las puertas traseras que se comunican con los dominios drenados son la principal puerta trasera: “explosion”. Pero algunos de los sistemas infectados en el Líbano que se comunican con nuestro drenaje están ejecutando la rarísima puerta trasera “micro” descrita por nuestros colegas de Checkpoint en su informe: š“Micro es una rara versión de Explosive. La mejor forma de describirla es como una versión completamente diferente del troyano, con similitudes con el resto de la “familia” Explosive (como su configuración y código base). Creemos que Micro es en realidad un predecesor remoto de Explosive, a partir del cual evolucionaron todas las demás versiones. Como en las otras versiones, esta también depende de una DLL autodesarrollada llamada “wnhelp.dll”. Se conectan con edortntexplore[.]info con el URI "/micro/data/index.php?micro=4", a través del puerto 443.

Aunque está claro que Volatile Cedar no posee un alto nivel de proeza tecnológica, al parecer sus creadores han logrado una propagación muy efectiva, de forma muy similar al APT Madi, sobre el que informamos a mediados de 2012. Puesto que el grupo no lanza ataques tipo spearphishing, los administradores de sistemas deben conocer su superficie de ataque expuesta públicamente, como las aplicaciones web, servidores ftp, servidores ssh, etc., y asegurarse de que no sean vulnerables a ataques SQLi, SSI, y otros tipos de actividades ofensivas del lado del servidor.

Veredictos y MD5s de Kaspersky:

Trojan.Win32.Explosion.a
981234d969a4c5e6edea50df009efedd

Trojan.Win32.Explosion.b
7031426fb851e93965a72902842b7c2c

Trojan.Win32.Explosion.c
6f11a67803e1299a22c77c8e24072b82

Trojan.Win32.Explosion.d
eb7042ad32f41c0e577b5b504c7558ea

Trojan.Win32.Explosion.e
61b11b9e6baae4f764722a808119ed0c

Trojan.Win32.Explosion.f
c7ac6193245b76cc8cebc2835ee13532
184320a057e455555e3be22e67663722

Trojan.Win32.Explosion.g
5d437eb2a22ec8f37139788f2087d45d

Trojan.Win32.Explosion.i
7dbc46559efafe8ec8446b836129598c

Trojan.Win32.Explosion.j
c898aed0ab4173cc3ac7d4849d06e7fa

Trojan.Win32.Explosion.k
9a5a99def615966ea05e3067057d6b37

Trojan.Win32.Explosion.l
1dcac3178a1b85d5179ce75eace04d10

Trojan.Win32.Explosion.m
22872f40f5aad3354bbf641fe90f2fd6

Trojan.Win32.Explosion.n
2b9106e8df3aa98c3654a4e0733d83e7

Trojan.Win32.Explosion.o
08c988d6cebdd55f3b123f2d9d5507a6

Trojan.Win32.Explosion.p
1d4b0fc476b7d20f1ef590bcaa78dc5d

Trojan.Win32.Explosion.q
c9a4317f1002fefcc7a250c3d76d4b01

Trojan.Win32.Explosion.r
4f8b989bc424a39649805b5b93318295

Trojan.Win32.Explosion.s
3f35c97e9e87472030b84ae1bc932ffc

Trojan.Win32.Explosion.t
7cd87c4976f1b34a0b060a23faddbd19

Trojan.Win32.Explosion.u
ea53e618432ca0c823fafc06dc60b726

Trojan.Win32.Explosion.v
034e4c62965f8d5dd5d5a2ce34a53ba9

Trojan.Win32.Explosion.w
5ca3ac2949022e5c77335f7e228db1d8

Trojan.Win32.Explosion.x
ab3d0c748ced69557f78b7071879e50a

Trojan.Win32.Explosion.y
5b505d0286378efcca4df38ed4a26c90

Trojan.Win32.Explosion.z
e6f874b7629b11a2f5ed3cc2c123f8b6

Trojan.Win32.Explosion.aa
306d243745ba53d09353b3b722d471b8

Trojan.Win32.Explosion.ab
740c47c663f5205365ae9fb08adfb127

Trojan.Win32.Explosion.ac
c19e91a91a2fa55e869c42a70da9a506

Trojan.Win32.Explosion.ad
edaca6fb1896a120237b2ce13f6bc3e6

Trojan.Win32.Explosion.ae
d2074d6273f41c34e8ba370aa9af46ad

Trojan.Win32.Explosion.af
66e2adf710261e925db588b5fac98ad8
29eca6286a01c0b684f7d5f0bfe0c0e6
2783cee3aac144175fef308fc768ea63
f58f03121eed899290ed70f4d19af307

Trojan.Win32.Agent.adsct
826b772c81f41505f96fc18e666b1acd

Trojan-Dropper.Win32.Dycler.vhp
44b5a3af895f31e22f6bc4eb66bd3eb7

??
96b1221ba725f1aaeaaa63f63cf04092

Referencias:

Volatile Cedar – Analysis of a Global Cyber Espionage Campaign (Checkpoint)

Autores

Drenaje de la infraestructura de Volatile Cedar DGA

Últimas publicaciones

Informes

Hemos elaborado este informe con el propósito de compartir información de inteligencia avanzada para hacer frente a los grupos de APT asiáticos.

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

RevengeHotels es una campaña de cibercrimen mediante malware, dirigida contra hoteles, hostales y empresas de turismo y hostelería ubicados sobre todo, pero no solo, en Brasil. Hemos confirmado que han caído víctimas más de 20 marcas de hoteles.

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

Drenaje de la infraestructura de Volatile Cedar DGA

Infección circunscrita al Líbano

Estadísticas:

Veredictos y MD5s de Kaspersky:

Referencias:

Boletín de seguridad Kaspersky: Predicciones sobre amenazas para el 2018

De Shamoon a StoneDrill

El APT Spring Dragon

Conferencia mundial 2015 sobre peritaje forense móvil

El APT Naikon y las campañas MsnMM

Tunelización de red con … QEMU?

ChatGPT: los chatbots ayudan a los empleados, pero amenazan a las empresas

¿Qué sabe ChatGPT de phishing?

Resumen de las amenazas para Google Play que la Darknet ofrece a la venta

El mercado del phishing en Telegram

Últimas publicaciones

El spam y el phishing en 2023

Tunelización de red con … QEMU?

Virología móvil 2023

Ciberamenazas para las industrias e infraestructuras de TO en 2024

Informes

Tácticas, técnicas y procedimientos (TTPs) de los grupos de APT asiáticos modernos

MosaicRegressor: acechando en las sombras de UEFI

RevengeHotels: cibercrimen dirigido a recepciones de hotel en todo el mundo

Dark Tequila Añejo

Suscríbete a nuestros correos electrónicos semanales