Os analistas de Kaspersky Lab encontraram novos vestígios do Miniduke em acção – uma ameaça inicialmente descoberta em 2013 – em campanhas activas dirigidas a governos e outras entidades. Além disso, a nova plataforma do Miniduke – denominada BotGenStudio – pode ser utilizada não só por cibercriminosos seguindo o estilo APT, como também por forças da ordem e criminosos tradicionais.
Embora a campanha do Miniduke ATP tenha acabado, ou pelo menos reduzido a sua intensidade, na sequência do anúncio realizado pela Kaspersky Lab com o seu parceiro CrySyS Lab no ano passado, no início de 2014 foram detectados novos ataques de grande intensidade. Agora, a Kaspersky Lab analisa as diferentes formas de actuar que os atacantes continuam a utilizar e as ferramentas a que recorrem.
O novo backdoor do Miniduke
Depois de aparecer pela primeira vez em 2013, o Miniduke começou a usar outro backdoor personalizado, capaz de roubar vários tipos de informação. O malware simula aplicações populares concebidas para serem executadas em segundo plano, incluindo informação de ficheiro, ícones e inclusive o tamanho do ficheiro.
Os novos backdoor principais do Miniduke (também conhecido como TinyBaron ou CosmicDuke) são compilados usando um framework personalizável chamado BotGenStudio, que conta com flexibilidade para activar ou desactivar componentes. Os seus componentes dividem-se em três grupos:
1. Persistência – O Miniduke / CosmicDuke é capaz de se iniciar através do programador de tarefas do Windows (Windows Task Scheduler), um serviço binário personalizado que gera um novo processo estabelecido na chave do registo ou que se inicia quando o utilizador deixa o computador e activa o protector de ecr
2. Reconhecimento – O malware é capaz de roubar uma grande variedade de informação, incluindo os ficheiros, baseando-se em extensões de nome e palavras-chave, como * exe.;. * NDB.; * mp3.; * avi.; * rar.; * docx.; * url.; . * xlsx; * pptx.; * PSW *; * pase *; * login *; * administrador *; * vpn; * jpg.; * TXT.; * lnk.; * dll.; *. tmp., etc.
Este backdoor tem muitas outras funções que incluem: Keylogger, roubo de passwords do Skype, roubo de informações de rede, capturas de ecrã a cada 5 minutos, roubo de contactos do Microsoft Outlook, roubo de credenciais de acesso ao Google Chrome, entre muitas outras.
3. Extracção – O malware utiliza vários métodos para extrair informação, incluindo o upload de dados por FTP e a utilização de três variantes dos mecanismos de comunicação HTTP. A extracção de dados armazenados é, aliás, uma das características mais interessantes do Miniduke. Enquanto se está a fazer o upload de um ficheiro para um servidor C&C, este divide-se em fragmentos de reduzida dimensão (à volta de 3Kb) que são comprimidos, cifrados e colocados num contentor que é depois guardado no servidor. Se este ficheiro for demasiado grande, pode ser colocado em diferentes contentores guardados de forma independente. Com todas estas capas de garantia adicional de processamento, são raros os investigadores capazes de chegar aos dados originais.
Principais conclusões
Duplo propósito do servidor C&C: Durante a análise, os especialistas da Kaspersky Lab conseguiram obter uma cópia de um dos servidores C&C do CosmicDuke. Segundo parece, não foi usado apenas para a comunicação entre os indivíduos por detrás do CosmicDuke e os equipamentos infectados, como também para outras operações executadas pelos membros do grupo, como a intromissão noutros servidores de Internet com o objectivo de recolher toda a informação que possa facilitar o ataque a potenciais alvos. Para isso, o C&C foi equipado com uma ampla gama de ferramentas de piratagem que procuram vulnerabilidades em websites utilizando diferentes motores.
Vítimas: Curiosamente, enquanto os antigos implantes do Miniduke tinham como alvos principais a entidades governamentais, o novo CosmicDuke tem uma tipologia de vítimas diferente.
Kaspersky Lab analisou tanto os servidores CosmicDuke actuais como os antigos do Miniduke. Destes últimos foi possível extrair uma lista das vítimas e dos sus respectivos países, pelo que os especialistas descobriram que os utilizadores dos servidores antigos do Miniduke estavam a apontar a alvos na Alemanha, Austrália, Bélgica, Espanha, Estados Unidos, França, Holanda, Hungria e Ucrânia. Vítimas de pelo menos três destes países eram entidades governamentais.
Um dos servidores CosmicDuke analisados tinha uma longa lista de vítimas (139 endereços IP únicos) desde Abril de 2012. Quanto à distribuição geográfica (o top 10 dos países afectados), as vítimas pertencem à Geórgia, Rússia, EUA, Reino Unido, Cazaquistão, Índia, Bielorrússia, Chipre, Ucrânia e Lituânia. Os atacantes também estavam interessados em expandir as suas operações e foram, assim, detectados endereços IP de servidores da República do Azerbaijão, Grécia e Ucrânia.
Plataforma comercial: Asvítimas mais invulgares descobertas eram pessoas que pareciam estar envolvidas no tráfico e venda de substâncias controladas e ilegais, como os esteróides e hormonas. Estas vítimas foram apenas encontradas na Rússia.
“É um pouco inesperado. Normalmente, quando ouvimos falar de APT, tendemos a pensar que são campanhas de espionagem a países. Mas encontramos duas explicações para isto. Uma possibilidade é que o BotGenStudio, a plataforma de malware utilizada no Miniduke, também esteja disponível como uma função de espionagem legal, similar a outras, tais como RCS da HackingTeam, amplamente utilizada pela polícia. Outra possibilidade é que simplesmente esteja disponível no mercado negro e tenha sido comprado e usado por vários concorrentes do negócio farmacêutico para se espiarem uns aos outros”, afirmou Vitaly Kamluk, analista da equipa GREAT da Kaspersky Lab
Reconhecimento e Artefactos: Embora os atacantes usem o inglês, mostrando que possuem conhecimentos deste idioma, há alguns indicadores que levam os especialistas a acreditar que esta não é a sua língua materna.
Os peritos da Kaspersky Lab também foram capazes de indicar a actividade dos atacantes segundo o calendário semanal. Ao que parece, os atacantes seguem a semana de trabalho de segunda a sexta-feira, sem que isto os impeça de trabalhar por vezes aos fins-de-semana. Quanto ao horário, os atacantes mostram actividade entre as seis da manhã e as sete da tarde (segundo o horário GMT). No entanto, as suas horas de maior actividade são entre as 6 da manhã e as 4 da tarde.
Detecção: Os produtos da Kaspersky Lab detectaram o backdoor do CosmicDuke como Backdoor.Win32.CosmicDuke.gen e Backdoor.Win32.Generic.
Comentários