Los certificados robados de Winnti se reutilizan en ataques contra grupos tibetanos y de Uigur

Un exploit de Flash relativamente nuevo ha estado dando vueltas en la red en busca de usuarios a los que atacar. Esta vez, los atacantes comprometieron un sitio web de ayuda que ofrece apoyo a los niños refugiados del Tíbet y están esparciendo puertas traseras firmadas con certificados robados por Winnti, propagados con exploits de Flash – el sitio web comprometido es la ONG “Tibetan Homes Foundation”. Antes, FireEye había identificado un swf malicioso similar relacionado, “Lady Boyle” , que explotaba la vulnerabilidad CVE-2013-0634. Se envió una notificación a los contactos del sitio web, pero al parecer el archivo malicioso footer.swf sigue alojado en el sitio web de la fundación, así que por favor no la visites todavía. También asegúrate de tener tu reproductor de Flash actualizado con la versión más reciente.

El sitio parece ser un ejemplo clásico de un ataque de “regadera”. F-Secure señaló otro ataque de este tipo contra un grupo Uigur, que ha sido blanco de muchos ataques después del Congreso Mundial Uigur que se realizó a principios de marzo. La publicación de F-Secure muestra que las puertas traseras que se envían están firmadas con los certificados que robó Winnti, incluyendo el certificado robado MGAME.

Este es un ejemplo de aquellos certificados robados reusados para puertas traseras en el incidente de Tibetan Homes Foundation. Podemos ver que tanto el certificado MGAME como el ShenZehn firman las puertas traseras. Aquí puedes ver capturas de pantalla del segundo certificado:

Nuestros productos detectan el exploit y la carga explosiva de Flash como Exploit.SWF.CVE-2013-0634.a. En este mapa puedes ver los lugares más afectados por esta amenaza. Tengamos en cuenta que no todas las detecciones están relacionadas con Lady Boyle, pero calculo que por lo menos un tercio de ellas sí lo están:

Otros sitios que han estado alojando el exploit swf Lady Boyle durante los últimos meses son “tibetangeeks.com”, que hace poco limpió su sitio y publicó una solicitud de cooperación para sus atacantes, y “vot.org” o “Voice of Tibet”, que también está ya limpio. Otros sitios web que ahora están limpios pero antes propagaban “Exploit.SWF.CVE-2013-0634.a” son los sitios Uigur “istiqlaltv.com” y “maarip.org”, con la misma ruta swf que la Tibetan Homes Foundation, es decir:

hxxp://maarip.org/uyghur/footer(.)swf

Entonces, lo que tenemos aquí es una operación de regadera activa que está implementando un exploit de flash relativamente nuevo y abusando los certificados digitales que se robaron como parte de las operaciones de ataque de Winnti dirigidas a los desarrolladores y publicadores de juegos.

md5 relacionados:
BD9FD3E199C3DAB16CF8C9134E06FE12
215CEC7261D70A5913E79CD11EBC9ECC
12181311E049EB9F1B909EABFDB55427