La historia de un ataque a travs de las redes sociales
Por Mike Scott Senior Threat Analyst at FireEye, Inc.
Recientemente hemos informado de un grupo amenaza APT aprovechando la reciente vulnerabilidad Zero-day de Internet Explorer en ataques de phishing de correo electrnico, ante lo cual Microsoft lanz un parche muy rpidamente para ayudar a cerrar la puerta a futuros riesgos. Sin perder tiempo, los mismos actores de la amenaza responsables de la operacin Clandestine Fox simplemente cambiaron su punto de ataque y comenzaron a utilizar un nuevo vector para atacar a sus vctimas: las redes sociales.
Un empleado de una empresa del sector energtico ha recibido recientemente un correo electrnico con un archivo RAR adjunto, que en apariencia contiene un curriculum vitae y una muestra de programa de software escrito por el solicitante, un posible empleado que llamaremos "Emily", que lo haba contactado a travs de una red social popular. FireEye adquiri una copia del email sospechoso y el adjunto del empleado destinatario y comenz a investigar. En la Figura 1 se muestra una copia del cuerpo del correo electrnico. El empleado destinatario confirm que Emily lo haba contactado a travs de una red social popular y luego de tres semanas de mensajes de ida y vuelta "ella" envi su "hoja de vida" a su direccin de correo electrnico personal.
Revisando algunos antecedentes, analizamos el perfClandestine Fox, parte II La historia de un ataque a travs de las redes sociales
Por Mike Scott Senior Threat Analyst at FireEye, Inc.
Recientemente hemos informado de un grupo amenaza APT aprovechando la reciente vulnerabilidad Zero-day de Internet Explorer en ataques de phishing de correo electrnico, ante lo cual Microsoft lanz un parche muy rpidamente para ayudar a cerrar la puerta a futuros riesgos. Sin perder tiempo, los mismos actores de la amenaza responsables de la operacin Clandestine Fox simplemente cambiaron su punto de ataque y comenzaron a utilizar un nuevo vector para atacar a sus vctimas: las redes sociales.
Un empleado de una empresa del sector energtico ha recibido recientemente un correo electrnico con un archivo RAR adjunto, que en apariencia contiene un curriculum vitae y una muestra de programa de software escrito por el solicitante, un posible empleado que llamaremos "Emily", que lo haba contactado a travs de una red social popular. FireEye adquiri una copia del email sospechoso y el adjunto del empleado destinatario y comenz a investigar. En la Figura 1 se muestra una copia del cuerpo del correo electrnico. El empleado destinatario confirm que Emily lo haba
contactado a travs de una red social popular y luego de tres semanas de mensajes de ida y vuelta "ella" envi su "hoja de vida" a su direccin de correo electrnico personal.
Revisando algunos antecedentes, analizamos el perfil de red social de Emily, tras lo cual se hicieron evidentes algunos aspectos extraos. Por ejemplo, su lista de contactos tena un nmero de personas del mismo empleador de la vctima, as como los trabajadores de otras empresas de energa. Sin embargo, ella no pareca tener muchos otros "amigos" que se ajustaran a su supuesta personalidad. Los datos sobre su educacin tambin contenan informacin falsa y hasta risible.
Nuevas investigaciones y debates sobre la empresa en cuestin revelaron que Emily, hacindose pasar por un empleado potencial, tambin haba contactado a otras personas en la misma compaa. Les haba hecho una variedad de preguntas para sondearlos, incluyendo quin era el director de TI y con qu versiones de software contaban, en suma, toda la informacin de utilidad para que el sospechoso pueda crear una gran ataque.
Vale la pena destacar que en los casos anteriores, los atacantes utilizaron una combinacin de contacto directo a travs de las redes sociales, as como de contactos por correo electrnico, para comunicarse con sus objetivos previstos y para enviarles adjuntos maliciosos. Adems, en casi todos los casos, los atacantes utilizaron la direccin de correo electrnico personal del blanco de ataque, en lugar de su direccin de trabajo. Esto podra deberse a que buscaron eludir las tecnologas ms completas de seguridad de correo electrnico que la mayora de las compaas han implementado, pero en algunos casos podra obedecer a que muchas personas que tienen sus cuentas de redes sociales vinculadas a su vida personal, en lugar de direcciones de correo electrnico de trabajo.
Figura 1: Ejemplo de correo electrnico que ilustra cmo Emily ataca a un empleado.
Detalles - Email Adjunto # 1
El archivo resume.rar contena tres documentos: una versin maliciosa de la aplicacin TTCalc de cdigo abierto (una calculadora matemtica de grandes nmeros), una copia de texto benigna del archivo TTCalcreadme y un PDF benigno de la hoja de vida de Emily. Este era una copia casi idntica de un curriculum vitae disponible en otros lugares en el Internet. Los detalles de los archivos se encuentran lneas abajo.
El mt.dat es el archivo ejecutable de malware actual, detectado como Backdoor.APT.CookieCutter. Las variantes de esta familia secreta son tambin conocidas como "Pirpi" en la industria de la seguridad. En este caso, el malware ha sido configurado para utilizar los siguientes servidores remotos para el mando y control:
swe[.]karasoyemlak[.]com inform[.]bedircati[.]com (Nota: Este dominio tambin fue utilizado durante la Operacin Clandestine Fox) 122.49.215.108
@echo off cmd.exe /C start rundll32.exe "C:\Documents and Settings\admin\Application Data\mt.dat" UpdvaMt
Detalles - Email Adjunto # 2
A travs de investigaciones adicionales, se obtuvo otro archivo adjunto de correo electrnico con extensinRAR, enviado por los mismos atacantes a un empleado de otra empresa. Si bien hay una gran cantidad de similitudes, como la hoja de vida falsa y la inclusin de TTCalc, hay una diferencia importante: la entrega de un malware secreto completamente diferente. El nombre del archivo adjunto en esta ocasin fue "mi curriculum vitae y projects.rar", pero esta vez no fue protegido con la contrasea "TTCalc".
Nombre de archivo MD5 hash my resume and projects.rar ab621059de2d1c92c3e7514e4b51751a SETUP.exe 510b77a4b075f09202209f989582dbea my resume.pdf d1b1abfcc2d547e1ea1a4bb82294b9a3
SETUP.exe es un RAR auto-extrable, que cuando abre la ventana de WinRAR al ejecutarse pide al usuario la ubicacin para extraer los archivos. Los escribe en una carpeta TTCalc y trata de lanzar ttcalcBAK.exe (el instalador de malware), pero como el camino es incorrecto produce un mensaje de error. Todos los dems archivos son benignos y en relacin con la aplicacin legtima TTCalc.
Nombre de archivo MD5 hash CHANGELOG 4692337bf7584f6bda464b9a76d268c1 COPYRIGHT 7cae5757f3ba9fef0a22ca0d56188439 README 1a7ba923c6aa39cc9cb289a17599fce0 ttcalc.chm f86db1905b3f4447eb5728859f9057b5 ttcalc.exe 37c6d1d3054e554e13d40ea42458ebed ttcalcBAK.exe 3e7430a09a44c0d1000f76c3adc6f4fa
El archivo ttcalcBAK.exe es tambin un Rar autoextrable que instala y ejecuta chrome_frame_helper, que es un Backdoor.APT.Kaba (akaPlugX / Sogu) que usa un ejecutable legtimo Chrome para cargar DLL malicioso mediante carga lateral. Aunque esta puerta trasera es utilizada por varios grupos de amenazas y es vista con bastante frecuencia en estos das, esta es la primera vez que se ha observado este grupo
amenaza y, en particular, el uso de esta familia de malware. El malware ha sido configurado para comunicarse con el dominio de mando y control www [.] Walterclean [.] Com (72.52.83.195 en el momento del descubrimiento), utilizando slo el protocolo TCP binario. Los detalles de los archivos se encuentran abajo, seguidos de la configuracin de malware.
Nombre de archivo MD5 hash chrome_frame_helper.dll 98eb249e4ddc4897b8be6fe838051af7 chrome_frame_helper.dll.hlp 1b57a7fad852b1d686c72e96f7837b44 chrome_frame_helper.exe ffb84b8561e49a8db60e0001f630831f
El dominio walterclean[.]com comparte los detalles del resgitro securitywap[.]com:
Los siguientes dominios fueron registrados para QQ360LEE@126.COM
Domain: walterclean[.]com Create Date: 2014-03-26 00:00:00 Registro: ENOM, INC.
Dominio: walterclean[.]com Fecha de creacin: 2014-03-26 00:00:00 Registro: ENOM, INC.
Dominio: securitywap[.]com Fecha de creacin: 2014-03-26 00:00:00 Registro: ENOM, INC.
Dominio: securitywap[.]com Fecha de creacin: 2014-03-26 00:00:00 Registro: ENOM, INC.
Conclusin
En resumen, hemos basado nuestra atribucin de estos ataques al mismo responsable de la amenaza de la operacin Clandestine Fox, basados en los siguientes vnculos:
El malware de primera etapa (mt.dat) es una versin ligeramente modificada del malware Backdoor.APT.CookieCutter instalado durante la Operacin Clandestine Fox.
En base a nuestra informacin, Backdoor.APT.CookieCutter se ha utilizado exclusivamente por este grupo amenaza particular.
Por ltimo, el dominio de comando y control inform [.] bedircati [.] com visto en esta actividad tambin fue utilizado durante Clandestine Fox
Otra evolucin en este grupo amenaza es que han diversificado su uso de la herramienta con el uso del malware Kaba / PlugX / Sogu, algo nunca antes visto.
Como hemos sealado en otras publicaciones, los actores de amenaza APT aprovechan todos los vectores posibles para tratar de hacer un hueco en las organizaciones a las que se dirigen. Las redes sociales se utilizan cada vez ms, tanto por razones personales como de negocios, y son un potencial vector de amenazas ms, que tanto los usuarios finales como los defensores de la red tienen que tener en cuenta. Por desgracia, es muy comn que los usuarios bajen la guardia cuando utilizan las redes sociales o correo electrnico personal, ya que no siempre tratan a estos servicios con el mismo nivel de riesgo como su correo electrnico del trabajo. A medida que ms compaas permiten a sus empleados trabajar a distancia, o incluso acceder a redes y / o recursos de la
compaa utilizando sus computadoras personales, estos ataques dirigidos a sus direcciones de correo electrnico personales plantean un riesgo significativo para la empresa.
Agradecimientos
El autor desea agradecer a los siguientes colegas por sus contribuciones a este informe: Josh Dennis, Mike Oppenheim, Ned Moran y Joshua Homan. il de red social de Emily, tras lo cual se hicieron evidentes algunos aspectos extraos. Por ejemplo, su lista de contactos tena un nmero de personas del mismo empleador de la vctima, as como los trabajadores de otras empresas de energa. Sin embargo, ella no pareca tener muchos otros "amigos" que se ajustaran a su supuesta personalidad. Los datos sobre su educacin tambin contenan informacin falsa y hasta risible.
Nuevas investigaciones y debates sobre la empresa en cuestin revelaron que Emily, hacindose pasar por un empleado potencial, tambin haba contactado a otras personas en la misma compaa. Les haba hecho una variedad de preguntas para sondearlos, incluyendo quin era el director de TI y con qu versiones de software contaban, en suma, toda la informacin de utilidad para que el sospechoso pueda crear una gran ataque.
Vale la pena destacar que en los casos anteriores, los atacantes utilizaron una combinacin de contacto directo a travs de las redes sociales, as como de contactos por correo electrnico, para comunicarse con sus objetivos previstos y para enviarles adjuntos maliciosos. Adems, en casi todos los casos, los atacantes utilizaron la direccin de correo electrnico personal del blanco de ataque, en lugar de su direccin de trabajo. Esto podra deberse a que buscaron eludir las tecnologas ms completas de seguridad de correo electrnico que la mayora de las compaas han implementado, pero en algunos casos podra obedecer a que muchas personas que tienen sus cuentas de redes sociales vinculadas a su vida personal, en lugar de direcciones de correo electrnico de trabajo.
Figura 1: Ejemplo de correo electrnico que ilustra cmo Emily ataca a un empleado.
Detalles - Email Adjunto # 1
El archivo resume.rar contena tres documentos: una versin maliciosa de la aplicacin TTCalc de cdigo abierto (una calculadora matemtica de grandes nmeros), una copia de texto benigna del archivo TTCalcreadme y un PDF benigno de la hoja de vida de Emily. Este era una copia casi idntica de un curriculum vitae disponible en otros lugares en el Internet. Los detalles de los archivos se encuentran lneas abajo.
El mt.dat es el archivo ejecutable de malware actual, detectado como Backdoor.APT.CookieCutter. Las variantes de esta familia secreta son tambin conocidas como "Pirpi" en la industria de la seguridad. En este caso, el malware ha sido configurado para utilizar los siguientes servidores remotos para el mando y control:
swe[.]karasoyemlak[.]com inform[.]bedircati[.]com (Nota: Este dominio tambin fue utilizado durante la Operacin Clandestine Fox) 122.49.215.108
@echo off cmd.exe /C start rundll32.exe "C:\Documents and Settings\admin\Application Data\mt.dat" UpdvaMt
Detalles - Email Adjunto # 2
A travs de investigaciones adicionales, se obtuvo otro archivo adjunto de correo electrnico con extensinRAR, enviado por los mismos atacantes a un empleado de otra empresa. Si bien hay una gran cantidad de similitudes, como la hoja de vida falsa y la inclusin de TTCalc, hay una diferencia importante: la entrega de un malware secreto completamente diferente. El nombre del archivo adjunto en esta ocasin fue "mi curriculum vitae y projects.rar", pero esta vez no fue protegido con la contrasea "TTCalc".
Nombre de archivo MD5 hash my resume and projects.rar ab621059de2d1c92c3e7514e4b51751a SETUP.exe 510b77a4b075f09202209f989582dbea my resume.pdf d1b1abfcc2d547e1ea1a4bb82294b9a3
SETUP.exe es un RAR auto-extrable, que cuando abre la ventana de WinRAR al ejecutarse pide al usuario la ubicacin para extraer los archivos. Los escribe en una carpeta TTCalc y trata de lanzar ttcalcBAK.exe (el instalador de malware), pero como el camino es incorrecto produce un mensaje de error. Todos los dems archivos son benignos y en relacin con la aplicacin legtima TTCalc.
El archivo ttcalcBAK.exe es tambin un Rar autoextrable que instala y ejecuta chrome_frame_helper, que es un Backdoor.APT.Kaba (akaPlugX / Sogu) que usa un ejecutable legtimo Chrome para cargar DLL malicioso mediante carga lateral. Aunque esta puerta trasera es utilizada por varios grupos de amenazas y es vista con bastante frecuencia en estos das, esta es la primera vez que se ha observado este grupo amenaza y, en particular, el uso de esta familia de malware. El malware ha sido configurado para comunicarse con el dominio de mando y control www [.] Walterclean [.] Com (72.52.83.195 en el momento del descubrimiento), utilizando slo el protocolo TCP binario. Los detalles de los archivos se encuentran abajo, seguidos de la configuracin de malware.
Nombre de archivo MD5 hash chrome_frame_helper.dll 98eb249e4ddc4897b8be6fe838051af7 chrome_frame_helper.dll.hlp 1b57a7fad852b1d686c72e96f7837b44 chrome_frame_helper.exe ffb84b8561e49a8db60e0001f630831f
El dominio walterclean[.]com comparte los detalles del resgitro securitywap[.]com:
Los siguientes dominios fueron registrados para QQ360LEE@126.COM
Domain: walterclean[.]com Create Date: 2014-03-26 00:00:00 Registro: ENOM, INC.
Dominio: walterclean[.]com Fecha de creacin: 2014-03-26 00:00:00 Registro: ENOM, INC.
Dominio: securitywap[.]com Fecha de creacin: 2014-03-26 00:00:00 Registro: ENOM, INC.
Dominio: securitywap[.]com Fecha de creacin: 2014-03-26 00:00:00 Registro: ENOM, INC.
Conclusin
En resumen, hemos basado nuestra atribucin de estos ataques al mismo responsable de la amenaza de la operacin Clandestine Fox, basados en los siguientes vnculos:
El malware de primera etapa (mt.dat) es una versin ligeramente modificada del malware Backdoor.APT.CookieCutter instalado durante la Operacin Clandestine Fox.
En base a nuestra informacin, Backdoor.APT.CookieCutter se ha utilizado exclusivamente por este grupo amenaza particular.
Por ltimo, el dominio de comando y control inform [.] bedircati [.] com visto en esta actividad tambin fue utilizado durante Clandestine Fox
Otra evolucin en este grupo amenaza es que han diversificado su uso de la herramienta con el uso del malware Kaba / PlugX / Sogu, algo nunca antes visto.
Como hemos sealado en otras publicaciones, los actores de amenaza APT aprovechan todos los vectores posibles para tratar de hacer un hueco en las organizaciones a las que se dirigen. Las redes sociales se utilizan cada vez ms, tanto por razones personales como de negocios, y son un potencial vector de amenazas ms, que tanto los usuarios finales como los defensores de la red tienen que tener en cuenta. Por desgracia, es muy comn que los usuarios bajen la guardia cuando utilizan las redes sociales o correo electrnico personal, ya que no siempre tratan a estos servicios con el mismo nivel de riesgo como su correo electrnico del trabajo. A medida que ms compaas permiten a sus empleados trabajar a distancia, o incluso acceder a redes y / o recursos de la compaa utilizando sus computadoras personales, estos ataques dirigidos a sus direcciones de correo electrnico personales plantean un riesgo significativo para la empresa.
Agradecimientos
El autor desea agradecer a los siguientes colegas por sus contribuciones a este informe: Josh Dennis, Mike Oppenheim, Ned Moran y Joshua Homan.