Nuevos ataques sobre Uyghur y el Tíbet utilizan exploits PDF

El 12 de febrero de 2013, FireEye anunció el descubrimiento de un nuevo exploit de día 0 de Adobe Reader que se utiliza para descargar un programa complejo que hasta entonces se desconocía. Bautizamos a este malware como “ItaDuke” porque nos recordaba a Duqu y porque su shellcode tenía comentarios en italiano antiguo, extraídos de “La Divina Comedia” de Dante Alighieri.

Antes habíamos publicado una entrada sobre otra operación, llamada Miniduke, que también estaba dirigida a gobiernos y otras instituciones y utilizaba exploits PDF de la Divina Comedia.

Mientras tanto, nos hemos cruzado con otros ataques que aprovechan el mismo código exploit de alto nivel, sólo que esta vez tienen otros blancos: los activistas de Uyghur.

Con la ayuda de nuestros colegas de AlienVault Labs, analizamos estos nuevos exploits. Aquí puedes visitar su blog, que está en inglés pero incluye información como reglas Yara e IOCs con estándares de la industria. Abajo puedes leer nuestro análisis.

Los nuevos ataques

Hace unos días, encontramos varios archivos PDF que incluían los exploits CVE-2013-0640/641 (ItaDuke). Algunos de los MD5s y filenames son:

Kaspersky detecta estos exploits como Exploit.JS.Pdfka.gjc.

Si el exploit tiene éxito, el PDF muestra un documento limpio que sirve de “carnada” para el usuario:

El primer documento (2013-Yilliq Noruz Bayram Merik isige Teklip.pdf) dirige a una invitación a una fiesta de año nuevo. El segundo, “arp.pdf”, es una autorización para solicitar un reembolso para un grupo activista tibetano.

El código exploit Javascript tiene un gran bloque de comentarios, que tal vez se incluyó para evitar la detección de algunos programas antivirus.

El bloque de comentarios y el exploit es exactamente igual entre todos los archivos PDF analizados. Lo interesante es que se eliminó la función de ofuscación de la cadena de códigos “sHOGG” de Itaduke. También se quitó parte de la ofuscación para el inicio variable:

Todos los documentos descargan el mismo malware, que Kaspersky detecta como Trojan.Win32.Agent.hwoo y Trojan.Win32.Agent.hwop, lo cual llama la atención: éste es uno de esos casos inusuales en los que el mismo atacante embiste contra los activistas tibetanos y de Uyghur al mismo tiempo. Es posible que los atacantes hayan hecho esto a causa de la conferencia de derechos humanos que se realizó en Ginebra entre el 11 y 13 de marzo de 2013.

La puerta trasera

El programa que descarga el PDF malicioso crea un archivo llamado “C:Documents and SettingsAdministratorLocal SettingsTempAcroRd32.exe” y lo ejecuta. AcroRd32.exe tiene una compilación PE que data del miércoles 11 de julio, según la fecha impresa: “Wed Jul 11 05:39:45 2012”.

“AcroRd32.exe” incluye un bloque codificado con la carga explosiva final, una puerta trasera de 8kb que se descarga como “clbcatq.dll” y se ejecuta mediante Windows Update. Un experto puede detectar con facilidad este bloque dentro de la puerta trasera.

El bloque se codifica con un simple algoritmo xor + add. Este es el algoritmo de decodificación de la carga explosiva final:

La puerta trasera final (clbcatq.dll) pesa 9728 bytes. Se compiló el “Wed Jul 11 05:39:39 2012”. La puerta trasera se conecta con su servidor C&C y solicita más datos mediante solicitudes HTTP GET. Se espera que la respuesta del servidor sea un DLL ligeramente codificado, que después se carga y los exports solicitan como “InfectFile” y “GetWorkType”.

Para todos los servidores, el malware hace una solicitud a “/news/show.asp” usando un agente personalizado de cadenas de caracteres de “Mozilla/4.0 compatible; MSIE 6.0; Windows NT 5.1; SV1)”.

Por ahora, todos los dominios dirigen a la misma dirección IP: 60.211.253.28. El servidor está ubicado en China, en la provincial Shandong:

Parece que la misma persona registró los dominios “micrsofts.com” y “hotmal1.com”, aunque con pequeñas diferencias en los datos de registro:

Etapa 2

El servidor de comando y control responde con una puerta trasera de 300k, que se envía codificada. Así se ve cuando la envía el servidor:

La codificación es un sub 0x11 seguido de un xor 0x11. Después de decodificarla se consigue el descargador de malware, que se compiló el “Wed Jul 11 06:52:48 2012″. Los productos Kaspersky detectan al malware de la “etapa 2” como HEUR:Trojan.Win32.Generic.

El descargador de malware de la etapa 2 instala dos archivos en system32wbem:

MSTD32.DLL tiene una firma digital de “YNK JAPAN Inc”, con un certificado que el emisor ha revocado:

Esta técnica nos recuerda al método que usaba el malware de la plataforma Tilded (Duqu, Stuxnet) para iniciarse (un pequeño cargador con una firma digital, que lee y ejecuta el cuerpo principal que está codificado).

Nuestros colegas de Norman habían escrito un informe (http://blogs.norman.com/2011/security-research/invisible-ynk-a-code-signing-conundrum, en inglés) sobre este certificado comprometido en relación a Hupigon y otro malware.

Nuestros productos reconocen el malware de la etapa final como Trojan.Win32.Swisyn y tiene una funcionalidad muy extensa para robar datos.

Conclusiones

Ya habíamos hablado sobre los ataques dirigidos a activistas tibetanos y de Uyghur.

Los atacantes son muy activos y actualizan sus métodos y exploits con frecuencia. Ya habíamos visto que se usara CVE-2013-0158 o CVE-2010-3333, además de exploits para Mac OS X, para sacar provecho de CVE-2009-0563.

El exploit PDF que descubrió FireEye es el primer exploit conocido que puede salir de la caja de arena de Adobe Reader X. Esta capacidad avanzada lo hace muy valioso para cualquier atacante. Aunque es posible que originalmente se haya desarrollado por o para un gobierno, ahora vemos que otros atacantes lo están copiando y volviendo a usar. Esto es muy común hoy en día, y es muy probable que veamos más casos similares en el futuro.