Hardware militar y el sitio web Men’s Health

Durante los ultimos meses hemos detectado una serie de ataques dirigidos muy similares, que nuestro producto Linux Mail Security bloquea con éxito. En cada uno de los casos, los documentos utilizados eran RTF y el exploit era CVE-2012-0158 (MSCOMCTL.OCX RCE Vulnerability).

Al parecer, los ataques provenían del mismo grupo y la mayoría se lanzaba desde Australia o la Républica de Corea. Las direcciones IP del remitente varían, pero muchas se envían a traves de mail.mailfast.com, un dominio registrado en China:

Los documentos se dividen en tres categorías:

1. En la primera, los documentos se relacionan con articulos del sitio web Men’s Health (salud masculina). Estos son algunos ejemplos de los nombres de archivos:
   EAT FOR BETTER SEX.doc How to last longer in bed.doc 6 Awkward Sex Moments, Defused.doc 9 ways to have better,hotter,and more memorable sex.doc 10 Ways to Get More Sex.doc

   1 2 3 4 5

   EAT FOR BETTER SEX.doc How to last longer in bed.doc 6 Awkward Sex Moments, Defused.doc 9 ways to have better,hotter,and more memorable sex.doc 10 Ways to Get More Sex.doc

2. En la segunda categoría, los documentos se relacionan con temas militares:
   
   Stealth Frigate.doc The BrahMos Missile.doc How DRDO failed India's military.doc

   1 2 3

   Stealth Frigate.doc The BrahMos Missile.doc How DRDO failed India's military.doc

3. En la tercera, los nombres de los archivos estan en el alfabeto cirílico:
   
   приоритеты сотрудничества.doc Список участников рабочей группы(0603-2013).doc Список кадров.doc Приглашение МИОМ ТЕЙКОВО 2013.doc

   1 2 3 4

   приоритеты сотрудничества.doc Список участников рабочей группы(0603-2013).doc Список кадров.doc Приглашение МИОМ ТЕЙКОВО 2013.doc

En general, hemos visto temas de la primera y segunda categorías, y varios archivos con nombres en el alfabeto cirílico. El exploit, el shellcode y el programa malicioso usados, suelen ser los mismos. La única diferencia real son los documentos señuelos que aparecen cuando el exploit se ejecuta.

A continuación vemos dos casos que detectamos la última semana:

Stealth Frigate.doc

EAT FOR BETTER SEX.doc

Los metadatos para los documentos señuelo son los mismos y al parecer están bastante desactualizados.

El título se traduce como “Resultados financieros para los primeros 9 meses de 2012”, y el nombre de la compañía tiene que ver con un fabricante ruso de submarinos.
Cuando el exploit se ejecuta, crea y ejecuta un archivo llamado wordupgrade.exe. This executable drops.

Este archivo ejecutable instala un DLL llamado usrsvpla.dll en el directorio del sistema 32, y modifica la llave de registro WmdmPmSN (Portable Media Serial Number Service) para cargar el DLL en el archivo svchost.exe.

Tanto wordupgrade.exe como usrsvpla.dll contienen la ruta PDB:

El programa malicioso que instalan estos documentos es una variante de Enfal/Lurid. Detectamos wordupgrade.exe as como Trojan-Dropper.Win32.Datcaen.d y usrsvpla.dll como Trojan.Win32.Zapchast.affv. Nuestros colegas de Trend ya habían descrito este programa malicioso en sus análisis.

http://blog.trendmicro.com/trendlabs-security-intelligence/modified-enfal-variants-compromised-874-systems/

http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp_dissecting-lurid-apt.pdf

Las muestras que detectamos la semana pasada se ponen en contacto con un servidor de comando y control localizado en yui.bcguard.com. Este dominio tiene los mismos datos de registro que mailftast.com que mencionamos arriba.
Estas son las direcciones IP de estos dominios:

Existen varios dominios registrados en “liu runxin”:

Conclusión

El programa malicioso que se utiliza en estos ataques no es ni nuevo ni muy avanzado (en 2006 ya se habían detectado variantes de Enfal). Sin embargo, estos ataques son muy regulares, por lo que recomendamos no abrir ningún adjunto relacionado con estos temas.