La APT Icefog ataca a sistemas en Estados Unidos con una puerta trasera Java

En septiembre de 2013, publicamos un análisis extenso sobre Icefog, una campaña de Herramienta Avanzada de Empaquetado (APT) que se concentra en la cadena de abastecimiento y afecta a instituciones gubernamentales, contratistas militares y grupos navales y de construcción de barcos.

Los blancos principales de Icefog, también conocido como el “Dagger Panda” por Crowdstrike, se encontraban en Corea del Sur y Japón. Aquí puedes ver nuestro análisis de la APT Icefog y un informe detallado sobre la amenaza.

Desde que publicamos el informe, los cibercriminales de Icefog cerraron todos los servidores de comando y control que conocíamos y desaparecieron del mapa. A pesar de ello, seguimos vigilando los dominios aislados en el sinkhole y analizando las conexiones de las víctimas para monitorizar la operación. Durante este proceso, observamos un tipo de conexión interesante que al parecer indicaba que existía una versión Java de Icefog, a la que se referían como “Javafog”.

Te presento a “Lingdona”

La operación Icefog ha estado funcionando por lo menos desde 2011 y se publicaron muchas otras variantes desde entonces. Hemos identificado por lo menos a 6 generaciones diferentes para los equipos que operan con Microsoft Windows:

• El “viejo” Icefog de 2011, que envía los datos robados por correo electrónico; esta versión se usó contra la Casa de los Representantes y la Casa de los Cancilleres de Japón en 2011.
• Icefog de tipo “1″ o “normal”, que interactúa con los servidores de comando y control mediante scripts “-aspx”.
• Icefog de tipo “2”, que interactúa con un servidor proxy basado en un script que redirige las órdenes de los atacantes a otro equipo.
• Icefog de tipo “3”, una variante que utiliza un tipo específico de servidor C&C con scripts llamados “view.asp” y “update.asp”.
• Icefog de tipo “4”, una variante que utiliza un tipo específico de servidor C&C con scripts llamados “upfile.asp”.
• Icefog-NG, que se comunica mediante una conexión TCP directa al puerto 5600.

También identificamos a “Macfog”, una implementación de Icefog originaria de Mac OS X que infectó a varios cientos de víctimas en todo el mundo.

Al establecer correlaciones entre la información de registro de los dominios que utilizan los ejemplares de malware, pudimos identificar a 72 servidores de comando y control y aislar a 27 en un sinkhole.

Un dominio en particular nos pareció interesante, “lingdona[punto]com”, que expiró en septiembre de 2013 y nosotros comenzamos a controlar en octubre de 2013. Los datos de contacto originales eran estos:

La ubicación original del dominio era Hong Kong, en las IPs 206.161.216.214 y 103.20.195.140. Parecía sospechoso por los datos de registro, que coincidía con otros dominios de Icefog. Tan pronto lo aislamos en un sinkhole, comenzamos a detectar conexiones sospechosas, casi cada 10 segundos:

Nos pareció interesante que la cadena de caracteres User-Agent indicaba que el cliente podría ser una aplicación Java, pero esto era inusual porque todas las otras variantes de Icefog utilizaban cadenas User-Agent de IE regulares.

Encontrando el ejemplar

Sospechábamos que había un ejemplar de malware rondando en la red que lo conectaba con “lingdona[punto]com”, pero no teníamos ninguna copia de ese troyano Icefog en particular.

Tuvimos un golpe de suerte cuando encontramos información de JSUNPACK que parecía interesante.

En noviembre de 2012, alguien envió una URL interesante al servicio público JSUNPACK, que estaba alojado en el servidor “sejonng[punto]org”, un conocido dominio de Icefog. También habían referencias a “starwars123[punto]net”, otro dominio de Icefog conocido.

Más interesante aún es que la página HTML hace referencia a la applet de Java “policyapplet.jar”, un parámetro con una larga cadena de caracteres hexadecimal llamado “jar”. Por desgracia, no pudimos recuperar el archivo “policyapplet.jar”, que seguro era un exploit Java. Al decodificar la cadena hexadecimal, encontramos otra applet Java con la siguiente información:

Más adelante descubrimos que la applet extraída también se subió a un servicio de análisis de virus.

El Javafog

La applet “jar” llamó nuestra atención, así que la analizamos para comprender su funcionamiento.

El formato JAR utiliza compresión ZIP para almacenar los datos de un modo compacto. El encabezamiento ZIP utiliza estampas de tiempo para rastrear cuándo se agregaron los archivos al archivo comprimido. Esto ayuda a detectar cuándo se pudo haber creado el archivo JAR. Esta es alguna información del directorio ZIP de la applet:

Esto significa que lo más probable es que el archivo JAR se creara el 30 de noviembre de 2012, mientras que la JavaTool.class se compiló dos años antes, el 29 de noviembre de 2010.

Al iniciarse, intenta registrarse a sí mismo como una entrada de inicio para ser más persistente. El módulo escribe un valor de registro para asegurarse de que Windows lo inicie de forma automática:

Hay que recalcar que el módulo no se copia a sí mismo en esa ubicación. Es posible que el archivo “policyapplet.jar” contenga las partes de la rutina de instalación.

Después, ingresa a un bucle en el que no para de invocar su función C&C principal con un intervalo de 1000ms. El bucle principal se pone en contacto con el conocido servidor C&C Icefog – “www.lingdona[punto]com/news” e interactúa con él.

En primer lugar, envía todo el perfil de información del sistema, que los atacantes utilizan para determinar si la víctima es “interesante” o tiene algún valor para ellos. Este es un PCAP de la conversación:

En la imagen de arriba, “title=2.0_1651809722” indica la identidad única de una víctima que se computa aplicando una función hash en el hostname. Los operadores pueden usar esto para identificar a víctimas específicas y enviarles órdenes.

Como respuesta a la información que se sube al sistema, la puerta trasera espera una “orden” que puede tener diferentes valores:

Descripción de la orden:

• upload_* – Sube un archivo local específico al recibir la orden del servidor C&C con la URL “%C&C server URL%/uploads/%file name%”. Los datos que se suben están codificados con una simple operación XOR y una llave 0x99.
• cmd_UpdateDomain – Emigra a un nuevo servidor C&C con una URL que se especifica después de haber enviado la orden. La nueva URL también se escribe en el archivo “%TEMP%update.dat”.
• cmd_* – Ejecuta la cadena de caracteres que se especifica después del comando usando “cmd.exe /c”. Los resultados se suben al servidor C&C con la URL “%C&C server URL%/newsdetail.aspx?title=2.0_%host name%”.

La puerta trasera no hace mucho más que lo que se muestra arriba. Ayuda a que los atacantes controlen el sistema infectado y descarguen archivos desde allí. Simple, pero efectivo.

La geografía de las víctimas

Uno se pregunta cuál es el propósito de un programa como la puerta trasera Javafog. La verdad es que, incluso ahora, mientras escribo esta entrada, Javafog se detecta muy poco (3/47 en VirusTotal). No cabe duda de que el malware de Java es mucho menos popular que el de Windows PE y puede ser más difícil de detectar.

Durante la operación para aislar al dominio “lingdona[punto]com” en un sinkhole, nos dimos cuenta de que había 8 IPs para 3 víctimas únicas de Javafog, todas ellas en los Estados Unidos. Lo interesante es que, durante el periodo de observación, dos de las víctimas actualizaron la versión Java de “Java/1.7.0_25” a “Java/1.7.0_45″.

Las direcciones IP indicaron que una de las víctimas era la gran empresa independiente estadounidense Oil and Gas Corporation, que opera en muchos otros países.

Hasta ahora, todas las víctimas han recibido una notificación sobre las infecciones. Dos de ellas ya han eliminado la amenaza.

Conclusiones

Con Javafog, estamos comenzando una nueva página en la historia de Icefog al haber descubierto otra generación de puertas traseras que utilizan los atacantes.

En un caso en particular, observamos cómo el ataque comenzaba explotando una vulnerabilidad de Microsoft Office y después los atacantes trataban de desplegar y ejecutar Javafog con un C&C diferente. Podemos asumir que, en base a su experiencia, los atacantes consideraron que la puerta trasera de Java era más sigilosa y difícil de notar, lo que la hace más atractiva para las operaciones a largo plazo. (La mayoría de las operaciones de Icefog son muy cortas).

La fijación en los blancos estadounidenses a los que el único C&C conocido de Javafog tiene en la mira podría indicar que es una operación específica para los Estados Unidos diseñada para tomar más tiempo de lo normal haciendo cosas como, por ejemplo, recolectar información sobre su víctima a largo plazo. Esto muestra una nueva dimensión de las operaciones del grupo de Icefog, que al parecer son más diversas de lo que se creía al principio.