Ya hemos escrito antes sobre NetTraveler aquí y aquí.
A principios de este año observamos un alza en el número de ataques lanzados contra activistas uigures y tibetanos a través de una versión actualizada de la puerta trasera NetTraveler.
Este es un ejemplo de un ataque dirigido tipo spear-phishing mediante correo contra activistas uigures en marzo de este año.
El mensaje de correo tiene dos adjuntos, uno es un archivo JPG inofensivo, y el otro es un archivo .doc de Microsoft Word, de 373KB.
Nombre de archivo | "Sabiq sot xadimi gulnar abletning qeyin-Qistaqta olgenliki ashkarilanmaqta.doc" |
MD5 | b2385963d3afece16bd7478b4cf290ce |
Tamaño | 381.667 bytes |
El archivo .doc, que en realidad es un contenedor “Página web de un solo archivo”, también conocido como “Archivo web comprimido”, parece que se creó en un sistema utilizando Microsoft Office – Chino simplificado.
Contiene un exploit para la vulnerabilidad CVE-2012-0158 que los productos de Kaspersky Lab detectan como Exploit.MSWord.CVE-2012-0158.db.
Si se ejecuta en una versión vulnerable de Microsoft Office, descarga el módulo principal como “net.exe” (los productos de Kaspersky Lab lo detectan como Trojan-Dropper.Win32.Agent.lifr), que a su vez instala otros archivos. El módulo principal de C&C se descarga en “%SystemRoot%system32Windowsupdataney.dll”, (los productos de Kaspersky Lab lo detectan como Trojan-Spy.Win32.TravNet.qfr).
Nombre | WINDOWSUPDATANEY.DLL |
MD5 | c13c79ad874215cfec8d318468e3d116 |
Tamaño | 37.888 bytes |
Está registrado como un servicio (llamado “Windowsupdata”) a través de un archivo Windows Batch llamado “DOT.BAT” (los productos de Kaspersky Lab lo detectan como Trojan.BAT.Tiny.b):
@echo off
@reg add "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost" /v Windowsupdata /t REG_MULTI_SZ /d Windowsupdata /f
@reg add "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindowsupdata" /v ImagePath /t REG_EXPAND_SZ /d %SystemRoot%System32svchost.exe -k Windowsupdata /f
@reg add "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindowsupdata" /v DisplayName /t REG_SZ /d Windowsupdata /f
@reg add "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindowsupdata" /v ObjectName /t REG_SZ /d LocalSystem /f
@reg add "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindowsupdata" /v ErrorControl /t REG_DWORD /d 1 /f
@reg add "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindowsupdata" /v Start /t REG_DWORD /d 2 /f
@reg add "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindowsupdataParameters" /v ServiceDll /t REG_EXPAND_SZ /d %SystemRoot%system32Windowsupdataney.dll /f
Para asegurarse de que el malware no se ejecute múltiples veces, utiliza el mutex “SD_2013 Is Running!” para señalar su presencia en el sistema.š šEntre los mutex conocidos que utilizan las variantes antiguas y nuevas, están:
- Boat-12 Is Running!
- DocHunter2012 Is Running!
- Hunter-2012 Is Running!
- NT-2012 Is Running!
- NetTravler Is Running!
- NetTravler2012 Is Running!
- SH-2011 Is Running!
- ShengHai Is Running!
- SD2013 is Running!
El archivo de configuración del programa malicioso está escrito en la carpeta “SYSTEM” (en contraste con SYSTEM32) y posee un nuevo formato un poco más liviano en comparación a las versiones “más antiguas” de NetTraveler:
Recordemos que un archivo de configuración antiguo de NetTraveler luce así:
Resulta obvio que los responsables de NetTraveler han tomado las medidas necesarias para ocultar la configuración de este programa malicioso. Afortunadamente, no es difícil descifrarlo.
El algoritmo es como sigue:
for (i=0;i<string_size;i++)
decrypted[i]=encrypted[i] – (i + 0xa);
Una vez descifrado, el nuevo config luce así:
Podemos identificar claramente el servidor de comando y control (C&C) en la captura de pantalla de arriba: “uyghurinfo[.]com”.
Hemos detectado varias muestras con este nuevo esquema de cifrado. A continuación presentamos una lista de todos los servidores C&C extraídos:
Servidor C&C | IP | Localización IP | Registro |
ssdcru.com | 103.30.7.77 | Hong Kong, Albert Heng, Trillion Company | SHANGHAI MEICHENG TECHNOLOGY |
uygurinfo.com | 216.83.32.29 | United States, Los Angeles, Integen Inc | TODAYNIC.COM INC. |
samedone.com | 122.10.17.130 | Hong Kong, Kowloon, Hongkong Dingfengxinhui Bgp Datacenter | SHANGHAI MEICHENG TECHNOLOGY |
gobackto.net | 103.1.42.1 | Hong Kong, Sun Network (hong Kong) Limited | SHANGHAI MEICHENG TECHNOLOGY |
worksware.net | N/A | N/A | SHANGHAI MEICHENG TECHNOLOGY |
jojomic.com | was 202.146.219.14 |
Hong Kong, Sun Network (hong Kong) Limited | SHANGHAI MEICHENG TECHNOLOGY |
angellost.net | was 103.17.117.201 | hong kong hung tai international holdings | SHANGHAI MEICHENG TECHNOLOGY |
husden.com | was 103.30.7.76 | hong kong hung tai international holdings | SHANGHAI MEICHENG TECHNOLOGY |
Te recomendamos bloquear todos estos hosts en tu cortafuegos.
Conclusión
Este año, los responsables de NetTraveler celebran 10 años de actividad. Aunque las muestras iniciales que descubrimos parecen haberse compilado en 2005, hay indicios que señalan a 2004 como el año en el comenzó su actividad.
Durante 10 años NetTraveler ha atacado a varios sectores, especialmente a blancos diplomáticos, gubernamentales y militares.
Víctimas de NetTraveler por sector
Últimamente, los principales objetivos de las actividades de ciberespionaje han sido la exploración espacial, la nanotecnología, la producción de energía, la energía nuclear, los láseres, la medicina y las comunicaciones.
El ataque contra los activistas uigures y tibetanos queda como un componente estándar de sus actividades y podemos suponer que se mantendrá, quizás, por los próximos 10 años.
El ataque APT NetTraveler se renueva a sus 10 años