Investigadores de Kaspersky Lab han descubierto que los viejos implantes estilo Miniduke de 2013 todavía existen y están siendo utilizados en campañas activas que se dirigen hacia gobiernos y otras entidades. Además, la nueva plataforma de Miniduke – BotGenStudio – puede ser utilizada no sólo por atacantes estilo APT, sino por las fuerzas del orden como también delincuentes tradicionales.
Aunque el año pasado, a raíz del anuncio realizado por Kaspersky Lab junto a su socio CrySyS Lab, el actor detrás del APT Miniduke suspendió su campaña, o al menos disminuyó su intensidad, a principios del 2014 se reanudaron los ataques una vez más y a toda fuerza. Esta vez los expertos de Kaspersky Lab han notado cambios en la forma en que actúan los atacantes y las herramientas que utilizan.
Después de la revelación del 2013, el actor detrás de Miniduke comenzó a usar otro backdoor personalizado, capaz de robar varios tipos de información. El malware imita a populares aplicaciones que están diseñadas a ejecutarse en segundo plano, incluyendo información de archivo, iconos e incluso el tamaño del archivo.
Características únicas
El “nuevo” backdoor principal de Miniduke (también conocido como TinyBaron o CosmicDuke) es compilado con un marco personalizable llamado BotGenStudio, que cuenta con la flexibilidad para habilitar o deshabilitar componentes cuando se construye el bot. El malware es capaz de robar una gran variedad de información. El backdoor también tiene muchas otras funciones que incluyen: keylogger (registro de teclados), recopilación de información general de la red, captaciones de pantalla, captaciones del clipboard; Microsoft Outlook, robo de la libreta de direcciones de Windows; robo de contraseñas para Skype, Google Chrome, Google Talk, Opera, TheBat!, Firefox, Thunderbird; recopilación de secretos de almacenamiento protegido, exportador de Certificado / llaves privadas, etc.
El malware implementa varios conectores de red para la exfiltración de datos, incluyendo la carga de datos a través de FTP y tres diferentes variantes de los mecanismos de comunicación HTTP. El almacenamiento de datos exfiltrados es otra característica interesante de MiniDuke. Cuando un archivo es subido al servidor C & C se divide en fragmentos pequeños (~ 3 KB), los cuales son comprimidos, cifrados y colocados en un contenedor para ser cargados al servidor. Si el archivo es lo suficientemente grande, puede ser colocado en varios recipientes diferentes que se cargan de forma independiente. Todas estas capas de procesamiento adicionales garantizan que muy pocos investigadores sean capaces de llegar a los datos originales.
A cada víctima de MiniDuke se le asigna un identificador único que permite el envío de cambios específicos a una víctima individual. Para su auto-protección, el malware utiliza un cargador personalizado y ofuscado que consume recursos de la CPU antes de pasar a la ejecución de acciones adicionales (Payload). Al realizar esto, evitan que las soluciones antimalware analicen el implante y detecten funcionalidad maliciosa a través de un emulador. También complica el análisis del malware.
C & Cs- doble propósito. Durante el análisis, los expertos de Kaspersky Lab pudieron obtener una copia de uno de los servidores de comando y control (C & C) de CosmicDuke. Parece que este no sólo fue utilizado para la comunicación entre los actores detrás de CosmicDuke y los PCs infectados, pero también para otras operaciones ejecutadas por los miembros del grupo como el hackeo de otros servidores en Internet con el objetivo de recopilar toda información que pueda conducir a posibles blancos. Para lograr esto, el C & C fue equipado con una gama de herramientas de hacking a disposición del público para la búsqueda de vulnerabilidades en sitios web utilizando diferentes motores para comprometerlos.
Víctimas. Curiosamente, mientras que los implantes viejos estilo Miniduke se utilizaban para principalmente atacar a entidades gubernamentales, los nuevos implantes estilo CosmicDuke tienen una tipología diferente de las víctimas. Además de gobiernos, también hay organizaciones diplomáticas, del sector de energía, operadores de telecomunicaciones, contratistas militares y personas involucradas en el tráfico y venta de sustancias ilegales y controladas.
Los expertos de Kaspersky Lab han analizado los servidores de tanto CosmicDuke como del estilo antiguo Miniduke. De estos últimos, los expertos de Kaspersky Lab han podido extraer una lista de víctimas y de sus respectivos países, por lo que los expertos han descubierto que los usuarios de los servidores de estilo antiguo de Miniduke estaban interesados ??en blancos ubicados en Australia, Bélgica, Francia, Alemania, Hungría, Países Bajos, España, Ucrania, y los Estados Unidos. Las víctimas en al menos tres de estos países pertenecen a la categoría de “gobierno”.
Uno de los servidores CosmicDuke analizados tenía una larga lista de víctimas (139 IPs únicas) a partir de abril de 2012. En cuanto a la distribución geográfica y los 10 países principales, las víctimas pertenecen a Georgia, Rusia, EE.UU., Gran Bretaña, Kazajstán, India, Bielorrusia, Chipre, Ucrania, y Lituania. Los atacantes también estuvieron ligeramente interesados en expandir sus operaciones y exploraron rangos de IP y los servidores de la República de Azerbaiyán, Grecia y Ucrania.
Plataforma comercial. Las víctimas más inusuales descubiertas eran personas que parecían estar involucradas en el tráfico y reventa de sustancias controladas e ilegales, como los esteroides y hormonas. Estas víctimas se han observado sólo en Rusia.
“Es un poco inesperado. Normalmente, cuando oímos hablar de APTs, tendemos a pensar que son campañas de ciberespionaje respaldadas por un estado-nación. Pero vemos dos explicaciones para esto. Una posibilidad es que la plataforma de malware BotGenStudio utilizada en Miniduke también está disponible como una denominada herramienta de “spyware legal”, similar a otras, tales como RCS de HackingTeam, ampliamente utilizada por la policía. Otra posibilidad es que simplemente está disponible en el mercado negro y es comprada por varios jugadores del negocio farmacéutico para espiar a sus rivales”, comentó Vitaly Kamluk, Investigador Principal de Seguridad del Equipo Global de Investigación y Análisis de Kaspersky Lab.
Detección. Los productos de Kaspersky Lab detectan a CosmicDuke backdoor como Backdoor.Win32.CosmicDuke.gen y Backdoor.Win32.Generic.
Para obtener más información, visite el blog de ??Kaspersky Lab en Securelist.com
