La campaña Madi – Parte II

En nuestra anterior entrada del blog tratamos la campaña Madi que detectamos junto a nuestro partner Seculert.

Ahora proseguiremos con nuestro análisis con información sobre la infraestructura de Madi, sus comunicaciones, recopilación de datos y víctimas.

La infraestructura de Madi monitorea sus operaciones y comunicaciones con una simple implementación. Cinco servidores web de comando y control (C2) funcionan con Microsoft IIS v7.0 web server junto a la expuesta Microsoft Terminal service para acceso RDP; todos mantienen copias idénticas del programa a medida C# server manager. Estos servidores también actúan como descargadores de los datos robados. Parece que los datos robados se organizan muy mal en el servidor, lo que requiere múltiples operadores para registrar e investigar los datos de cada uno de los sistemas comprometidos que han estado controlando.

Por razones que no conocemos, los operadores han alternado los servicios en estas direcciones IP. Todavía no parece haber un patrón que establezca qué programa malicioso se comunica con qué servidor. Según los datos drenados y otras fuentes confiables, las víctimas de Madi parecen estar concentradas en el Medio Oriente, principalmente, pero otras están dispersas en EE.UU. y Europa. Parece que algunas de las víctimas son profesionales y académicos (estudiantes y funcionarios) que usan ordenadores portátiles infectados con el spyware Madi, y que viajan por todo el mundo.

El siguiente mapa muestra la localización aproximada de las víctimas de Madi, según los datos de GeoIP. Aunque el gran porcentaje de las víctimas de Madi que se encuentran en el Medio Oriente no aparece claramente en este mapamundi, de todas maneras nos sirve para entender el alcance de Madi:

Al día siguiente de la publicación de nuestra entrada en la bitácora, algunos colegas nuestros drenaron rápidamente algunos dominios implicados que no aparecían en nuestro drenaje. Pero el problema con la coordinación y el enfoque de los recién llegados es que la mayoría del spyware y los descargadores en funcionamiento no “hablan” con estos dominios. En vez de ello, hablan directamente con los servidores web en funcionamiento según sus direcciones IP codificadas, evitando cualquier resolución de nombre DNS. Para facilitar este proceso, los creadores del programa malicioso incorporaron funciones de actualización en los descargadores. Si estuviesen cambiando los sistemas infectados a otro dominio o dirección IP, un descargador o infostealer de Madi se comunicaría con su servidor C2 asignado y recuperaría la dirección IP o el dominio de su nuevo C2, guardaría el nuevo localizador en un archivo de texto en el disco, y después cambiaría y volvería a comunicarse con el nuevo C2.

Este enfoque parece tosco en comparación con otras infraestructuras de los ciberdelincuentes más resistentes.

Al analizar las direcciones IP fuente desde los sistemas que se inscriben en el C2 manualmente y concuerdan con su ASN, resulta evidente que la mayor parte de las actividades provienen de Irán.

Irán 84%
Paquistán 6%
EE.UU. 3%
IL 1%
Emiratos Árabes Unidos <1%
Arabia Saudí <1%

Hemos distribuido la extensa colección de muestras relacionadas con varios fabricantes y encargados de respuestas a incidentes. Apenas respondieron unos cuantos fabricantes retribuyéndonos con algunos binarios que no formaban parte de nuestra colección. Por consiguiente, estas cifras son las más precisas que la investigación puede ofrecer en este momento, incluso mientras nuevas muestras de Madi se envían a nuestros servicios backend.

Localizadores de C2 codificados en los descargadores de Madi

Se puede esquematizar un cronograma de nuevas actividades del grupo, con la mayor cantidad de descargadores relacionados creados en diciembre de 2011, febrero y marzo de 2012 y despuén en junio de 2012. Asimismo, el troyano Madi más antiguo en la colección se creó en septiembre de 2011, muy posiblemente durante la fase de pruebas del proyecto. El dominio a quien informa se creó el 10 de agosto de 2011.

Esta información empieza a tener sentido a medida que otros investigadores afirman por separado que la mayor actividad de la campaña spearphishing se dio en febrero de 2012. Pero esta información provino de blancos fuera de Irán. No tenemos conocimiento de ningún tipo de cronograma de intensidad de actividades en Irán, aunque las tendencias que mostramos arriba pueden ayudarnos a formarnos una idea.

También sabemos que los infostealers son un pool mucho más pequeño de códigos, y que se lanzaron con un cronograma distinto. Hemos descubierto cinco meses en los que se crearon infostealers de Madi y las correspondientes URLs con las que se comunicaban para obtener instrucciones y para enviar capturas de pantalla de la víctima, datos del keylogger, documentos y contratos robados:

Aparte de estsa información que aquí presentamos, nuestro partner Seculert ha publicado sus propios análisis de la infraestructura de Madi.

Nota: El 25 de julio recibimos una nueva variante de Madi que se conecta con un nuevo servidor C2 en Canadá. Seguimos investigando esta muestra y los datos en esta publicación no incluyen este nuevo servidor C2.