Winnti regresa con PlugX

Continuando con nuestra investigación sobre Winnti, en este artículo describiremos cómo el grupo intentó volver a infectar una compañía de juegos y qué malware utilizó para hacerlo. Después de descubrir que los servidores de la compañía estaban infectados, comenzamos a limpiarlos con la ayuda del administrador de sistemas de la compañía, eliminando los archivos maliciosos de la red corporativa. El proceso tardó porque al principio no se sabía con certeza cómo habían penetrado los cibercriminales en la red corporativa; no pudimos encontrar un modo de detener los ataques por completo, los atacantes seguían irrumpiendo en las redes y los archivos maliciosos seguían apareciendo. La misma compañía realizó un análisis que nos llevó a la conclusión de que la infección había comenzado después de establecer contacto con una compañía de juegos sudcoreana. Nuestra investigación lo confirmó: como dijimos antes (en inglés), el grupo Winnti está activo principalmente en el este de Asia, e identificamos a 14 compañías de juegos en Corea del Sur.

Mientras tratábamos de eliminar la infección, la compañía de juegos nos enviaba los archivos sospechosos que aparecían en sus equipos. Muchos de ellos eran muestras del malware Winnti. Tan pronto como agregábamos los archivos maliciosos a nuestras bases de datos antivirus, se comenzaron a usar nuestros productos para eliminar el malware Winnti de las redes corporativas de la compañía. Pero los atacantes no tardaron en reaccionar: pronto aparecieron misteriosamente nuevos ejemplares del malware en los equipos que ya habíamos limpiado por completo el día anterior. Finalmente, nuestros esfuerzos dieron frutos y bloqueamos el acceso de los atacantes a los equipos de la compañía de juegos.

Pero, como esperábamos, era demasiado pronto para celebrar. Exactamente un mes después de que limpiaramos la red de la compañía de juegos, el grupo Winnti reapareció. El administrador de sistemas nos envió archivos sospechosos, adjuntos a mensajes que habían recibido los empleados de la empresa. Este era un ataque dirigido (spearphishing) “run-of-the-mill”: los atacantes se presentaron como desarrolladores de juegos de ordenador y fingieron que buscaban trabajar con grandes empresas publicadoras.

[Traducción, Mensaje 1:
Asunto: En busca de un agente adecuado
Estimado amigo:
Disculpa las molestias, estamos desarrollando una compañía de juegos en Los Ángeles, Estados Unidos, que fue creada por 17 jóvenes. Después de un año de trabajo, investigamos y desarrollamos un nuevo juego llamado MMORPG Games (adjunto a este mensaje con una introducción simple). Estamos buscando a un agente adecuado para trabajar con nosotros. Si te interesa, por favor escríbenos a Us.webgame@gmail.com, gracias!]

[Traducción, Mensaje 2:
Asunto: Plan el desarrollo de juegos
Estimado amigo,
Me he comunicado con el departamento de operaciones de su empresa, queremos desarrollar un juego de Internet (en el archivo adjunto a este mensaje) con su compañía. Como nuestro negocio se encuentra en una etapa empresarial, no tenemos muchos talentos ni recursos y necesitamos encontrar una buena compañía que coopere con nosotros. Esperamos que nos pueda dar algunas sugerencias. ¡Gracias! ]

Los mensajes tenían una redacción pobre y muchos errores, lo que demuestra que los autores no tenían muy buen manejo del idioma inglés. Es particularmente absurdo encontrar esto en un mensaje que se supone que proviene de otra compañía de juegos de Los Ángeles. Los mensajes tenían archivos RAR adjuntos. Los archivos comprimidos contenían ejecutables con extensiones que se escondían usando una técnica conocida para revertir el texto con la ayuda del carácter especial 0x202e. Como resultado, los ejecutables vmw.scr y gpj.com se mostraban en Windows Explorer como rcs.wmv y moc.jpg, como si fuesen un archivo de video y una imagen jpeg.

El administrador de archivos Far muestra los nombres del archivo sin errores, e incluye el carácter especial 0x202e al principio de los nombres de archivo como un signo de interrogación.

La idea de los atacantes era que el empleado que recibiera estos mensajes descomprimiera el archivo adjunto para ver la imagen o video y abriera el archivo sin pensarlo. Así, los ejecutables actuarían y el equipo se infectaría.

Comprobamos que los archivos ejecutables son maliciosos. Para nuestra sorpresa, el malware era de la familia PlugX, con la que ya nos hemos cruzado antes. Fue raro ver que una familia de malware que antes se había detectado en ataques dirigidos a activistas políticos y organizaciones gubernamentales se utilizase en ataques a compañías de juegos. Nuestro análisis no detectó datos que indiquen que diferentes grupos criminales hayan utilizado PlugX. Esto nos dejó con una duda: ¡¿Sería posible que el grupo Winnti fuera responsable tanto de los ataques a las compañías de juegos como de los ataques que afectan a, por ejemplo, los activistas tibetanos?! Tomando en cuenta el trabajo que implica llevar a cabo estos ataques a compañías de juegos, uno se pregunta: ¿De dónde sacaron el tiempo los atacantes? Por mucho tiempo, mientras estudiábamos a la familia PlugX, no pudimos encontrar ninguna conexión entre los ejemplares de PlugX distribuidos por el grupo Winnti y los que se usaron en ataques contra empresas y organizaciones que no se dedican a los juegos de Internet. Pero después se aclaró que el grupo Winnti no era responsable de los ataques de PlugX contra compañías que no eran de juegos, pero sí estaba conectado con otro grupo (o grupos) que estaban relacionados con estos ataques.

Al analizar los temas de los mensajes, y tomando en cuenta que la compañía había sufrido un ataque hace poco, llegamos a la conclusión de que era un ataque dirigido y que el grupo Winnti había decidido penetrar en la red de la compañía otra vez. Los administradores del sistema iniciaron un modo de operación de emergencia para evitar que el malware penetrara en la red. Después de todo, los ataques vinieron uno después del otro. Esto demostró la esencia básica del grupo Winnti: al principio, no se molestaron en organizar ataques sofisticados; sólo adoptaron una estrategia más compleja después de encontrar resistencia, siempre tratando de minimizar sus esfuerzos lo más posible. Después del ataque inicial, los cibercriminales comenzaron a enviar archivos comprimidos 7z, lzh y tbz con archivos Rar y 7zip dentro que contenían el malware PlugX y llevaban los siguientes nombres:
– Company Profile.7z , que contiene un RAR comprimido llamado 2013plan.exe con un archivo llamado 11.EXE que, a su vez, contiene un archivo CAB con componentes de PlugX. También se encontró un fragmento de un video pornográfico en los recursos de 11.EXE;

• MyPhotos.7z, que contiene fotos y el archivo myphotosmyphotos.exe;
• Resume.7z, que contiene Resume.exe;
• Documents.7z, que contiene My Documents.exe;
• Programm.7z, que contiene Programm.exe;
• ______.lzh, que contiene Desktop.exe;
• Desktops.7z, que contiene FreeWord.doc y el archivo comprimido que se extrae a sí mismo llamado Documents.exe. FreeWord.doc en realidad no es un documento de MS Word, sino la siguiente imagen JPEG:

  

• 21. Dezember 2012.tbz, que contiene un documento llamado 21. Dezember 2012.doc y Dezember.exe;
• Game Creative Board.pdf.7z, que contiene los documentos Game Creative Board.pdf, Game Creative Board 1.pdf y Game Creative Board 2.pdf, que en realidad eran documentos de Microsoft Word, y el archivo Game Creative Board.exe;
• Work.7z, que contiene My work.exe y Work.exe;
• My work.rar, que contiene My doc.exe y My ppt.exe;

Los ataques eran tan intensos que los administradores de sistemas tuvieron que adoptar medidas extremas y bloquear los archivos adjuntos de los mensajes que llegaban a las cuentas de correo corporativas. Los atacantes respondieron de forma muy directa: enviaron correos a los empleados de la compañía explicando – sin mentir – que sus archivos adjuntos no estaban llegando a las bandejas de entrada de sus destinatarios y pidiéndoles que pulsaran en un enlace incluído en el mensaje para descargar y abrir el archivo comprimido. El archivo con el contenido malicioso estaba ubicado en el sitio comprometido www.linfairrecords.com. Pero este fue un intento singular: después, los atacantes cambiaron sus tácticas y no volvieron a enviar mensajes como este.

Por primera vez desde que iniciaron la operación para reinfectar la red, los atacantes decidieron hacer un esfuerzo para conseguir algo ligeramente inusual. Enviaron mensajes a bandejas de entrada personales de los empleados de la compañía de parte de otros empleados. Para que los mensajes sean más convincentes, incluyeron las fotos de los empleados a los que supuestamente remitían los mensajes. Por supuesto, los archivos adjuntos contenían la misma carga nociva de PlugX. Pero ya se había advertido a los trabajadores sobre los ataques que estaba sufriendo la compañía, y esta estrategia no pasó desapercibida. Debo recalcar que la compañía de juegos atacada no está ubicada en un país de habla inglesa, así que la lengua madre de sus empleados no es el inglés. En este caso, habría sido raro que los empleados se enviaran correos en inglés entre sí. Los atacantes se dieron cuenta de ello, así que los mensajes estaban escritos en el idioma nativo de los destinatarios. Las versiones iniciales de los correos electrónicos tenían una redacción pobre, era obvio que los autores no estaban escribiendo en su propio idioma. Después, los cibercriminales mejoraron el texto para que se viera medianamente decente.

Estos ataques continuaron con regularidad por lo menos tres meses. Aunque la mayoría de estos ataques spearphishing no son muy sofisticados ni convincentes (los correos harían sospechar a cualquier persona), cuando se está lidiando con grandes cantidades de gente (la compañía tiene un equipo de trabajo muy grande), pueden suceder cosas muy improbables: uno de los empleados de la compañía no notó nada raro en uno de estos mensajes y ejecutó el programa malicioso adjunto. Pero nosotros procesamos, analizamos y rastreamos todo el malware que se envió en estos correos. Por ende, conocíamos los centros de control que se usaban para el malware que se envió. Cuando una puerta trasera en el ordenador infectado del empleado intentó conectarse a su servidor de control, los administradores del sistema detectaron el problema y el equipo infectado se identificó y aisló de inmediato de la red corporativa.

Esto hizo que los ataques cesaran. Por un lado, esta es una buena noticia, los cibercriminales dejaron de atacar por medio de correos electrónicos, pero ¿habrán detenido del todo sus intentos de penetrar en las redes de la compañía? Bien pueden estar considerando otros vectores de infección más confiables. La situación con los correos electrónicos se aclara, pero ahora se debe tener en mente que los atacantes podrían acudir a métodos completamente nuevos. No se sabe cómo podrían llegar los nuevos ataques, así que hay que tener todavía más cuidado y estar más atentos.

Aquí aclararemos la situación: ¿Fue el grupo Winnti el que organizó la segunda oleada de ataques que intentaban infectar las redes con PlugX? Podría haber otro equipo, que no esté relacionado de ningún modo con Winnti, involucrado en estos ataques a la compañía de juegos con la que trabajamos. Pero existen algunos factores que indican que esto es improbable.

1. El intervalo entre ataques: los atacantes comenzaron a enviar correos electrónicos con PlugX añadido justo un mes después de que bloqueáramos el acceso a las redes corporativas. Pasó lo mismo con otra compañía de juegos: casi exactamente un mes después de que el malware Winnti se eliminara, sus ordenadores se infectaron de nuevo. Parece que después de que se detecta la presencia de Winnti y se limpia el malware de la red corporativa, el grupo Winnti deja su objetivo por un mes.

2. Los atacantes distribuyeron mensajes PlugX a las direcciones personales de los empleados, diciendo que provenían de otros empleados de la empresa. Las cartas contenían fotos de los supuestos remitentes. Con ellas, los atacantes pudieron haber robado toda la información sobre las cuentas de correo personales la primera vez que irrumpieron en los equipos de la compañía.

3. Descubrimos ejemplares de PlugX firmados con certificados robados de dos compañías de juego diferentes: MGAME y ESTsoft. Ambas son de Corea del Sur y están en la industria de los juegos de ordenador.

4. Además, ESTsoft es productor y desarrollador del MMORPG “CABAL Online”. En Kaspersky Lab solemos recibir notificaciones de nuestra Kaspersky Security Network sobre ejemplares de Winnti que se descubrieron distribuyéndose en CABAL. Muchos de los socios de ESTsoft, la rama regional de CABAL Online, están incluidos en las etiquetas de malware Winnti que describen a sus objetivos.

5. Descubrimos los siguientes dominios de tercer nivel “vivos” en las zonas de centros de control de Winnti:
est.gasoft.us
est.gcgame.info
est.zzsoft.info
Ya mencionamos (en inglés) que el grupo Winnti crea con frecuencia dominios de centros de control de tercer nivel para que el nombre del subdominio se correlacione con el de la compañía infectada. Eso sugiere que es muy probable que los dominios que mencionamos arriba hayan sido creados para manejar los ordenadores infectados de ESTsoft.

6. Mientras estudiábamos a la familia de PlugX, se definieron los siguientes centros de control en uno de los ejemplares de PlugX:

bot.jgame.in
bot.dongevil.info
udp.jjevil.com

El nombre de dominio jgame.in tiene una clara conexión con el tema de los juegos. Muchos dominios de Winnti se registraron con la dirección evilsex@gmail.com. Otros dos dominios, dongevil.info y jjevil.com, podrían estar registrados por la misma persona – alguien que obviamente disfruta usando nombres “maléficos” que incluyen la palabra “evil”.

7. Otro ejemplar que se descubrió contenía información sobre los siguientes centros de control:
bot.xiaotian123.com
kr.jjevil.com
jj.nexon-nss.com

Está claro que existe una relación entre el dominio jjevil.com y nexon-nss.com. Y conocemos estos centros de control de Winnti:
nexoncorp.us
nexongame.net
nexononline.com
NEXON Corporation es una compañía de juegos; ya explicamos que al grupo Winnti le gusta nombrar a los dominios de su centro de control con nombres relacionados a los dominios de los sitios web de compañías de juegos. Es más, el nombre NEXON se encontró en las etiquetas de objetivos a atacar de muchos ejemplares de Winnti.

8. Los centros de control de PlugX
dongevil.info
jjevil.com
están registrados con la dirección de correos huise123@yahoo.com. La misma dirección se usa para el dominio
ibmsupport.net
Pero existe otro centro de control de Winnti:
ibm-support.net
registrado con whoismydns@gmail.com. Existe cierto parecido:

ibmsupport.net <-> ibm-support.net
huise123@yahoo.com <-> whoismydns@gmail.com (en cuestiones de whois)

9. El otro día, mientras preparábamos este artículo para su publicación, descubrimos un ejemplar de PlugX que contenía estos centros de control:
tank.hja63.com
tho.pad62.com
Esas zonas eran la ubicación de los dominios que se conectaban con las puertas traseras de Winnti de los ordenadores de la compañía de juegos:
tank.hja63.com (combinación perfecta con el centro de control de PlugX)
soft.hja63.com
ru.pad62.com
Ambos dominios – hja63.com y pad62.com – se registraron con una misma dirección de correo: huisengaunr@sina.com.

Combinando todo en un esquema:

Correlación entre Winnti y PlugX

Estos datos muestran que podemos estar seguros de que fue el grupo Winnti el que atacó a la compañía de juegos con mensajes PlugX. Intentaba regresar un mes después de que se les negara el acceso a los equipos de la empresa. Además, la fecha de compilación de los principales componentes funcionales del ejemplar de PlugX (que contenía dominios en las zonas relacionadas tanto con PlugX como con Winnti) es 21 de mayo de 2012. Esto significa que el grupo Winnti ha estado usando la herramienta de administración remota PlugX desde, por lo menos, mayo de 2012. Entre todas las piezas de malware PlugX que descubrimos, las fechas de compilación de los ejemplares más antiguos de PlugX – que creemos que se distribuyeron por los miembros del equipo de Winnti – son de principios de mayo de 2012. Pero aun no se sabe si es una sóla organización que combina al grupo Winnti, que ataca a las compañías de juegos, y a los cibercriminales de PlugX, que tienen blancos más políticos y gubernamentales. Creemos que están conectados de alguna manera.

Tal vez algunos miembros del grupo trabajaron en ambos proyectos; algunos podrían haber trabajado en un grupo y después en el otro, compartiendo su experiencia y conocimiento – lo que también explicaría la conexión entre ambas amenazas.

Como hemos dicho en nuestro informe completo sobre Winnti, mientras seguíamos los rastros que dejó uno de los miembros del grupo en Internet, encontramos una oferta de trabajo publicada en un foro de hackers chino. Esta es una traducción aproximada de la oferta:

Asunto: Búsqueda de investigador de seguridad informática
De: Southland sword
Hora: 2012-04-06 00:38
Asunto: Empleo como investigador de seguridad
Responsabilidades:

Lugar del trabajo: Cantón (o Cantón Shénzhen)
Paquete Baochibaozhu, tiempo de juego relativamente gratuito.
Salario: el pago mensual de la porción total del trabajo y cooperación es mayor a 1 W.
Puestos: 5 personas
Para los candidatos: primero deben ponerse en contacto conmigo (mejor con su currículum vitae). Después de que revise sus documentos, el coordinador general arreglará una reunión personal.
Salario: El hospedaje y la alimentación son gratuitos, la ubicación de la oficina es en una suite de una mansión de 200 metros cuadrados, los ordenadores están disponibles pero por favor trae tu propio disco duro con los programas y herramientas de tu preferencia. Un sólo proyecto completado te dará dinero suficiente para tus gastos mensuales.
Historial poderoso. ¡Sin comentarios!
Aquellos que cumplan con los requisitos, por favor escríban a:
Correo electrónico: Infosec@cntv.cn QQ: admin@inessus.com

Y un miembro del grupo Winnti, que es un usuario frecuente de ese foro, respondió:
“¿No están reclutando gente para APT? Cantón está muy lejos, pero de todos modo los apoyo”.

Hubo otros comentarios interesantes en el foro relacionados con la referencia a su “Historial poderoso” en la oferta de trabajo. Algunos de los que leyeron la oferta especularon que esto podría significar que el gobierno apoyaba este proyecto.

Es obvio que el negocio de los ataques dirigidos está floreciendo en China. Y no hay duda de que existe algún tipo de cooperación entre algunas bandas de cibercriminales, que podrían compartir información y herramientas, y hasta miembros del grupo. Los empleados ordinarios probablemente migran de un grupo u organización criminal a otro. Sin duda es una situación exigente, y sólo puede seguir desarrollándose con la voluntad política y la intervención de las fuerzas del orden.