Авторы
Мы уже писали про NetTraveler ЗДЕСЬ и ЗДЕСЬ.
Ранее в этом году мы наблюдали рост числа атак против уйгурских и тибетских активистов с применением обновленной версии бэкдора NetTraveler.
Вот пример адресной фишинговой рассылки, нацеленной на уйгурских активистов, которая проводилась в марте 2014 года.
К письму прикреплено два вложения: JPG-файл, не имеющий вредоносного функционала, и DOC-файл Microsoft Word размером 373 КБ.
| Имя файла | «Sabiq sot xadimi gulnar abletning qeyin-Qistaqta olgenliki ashkarilanmaqta.doc» |
| MD5 | b2385963d3afece16bd7478b4cf290ce |
| Размер | 381 667 байт |
DOC-файл на самом деле представляет собой контейнер «веб-страница в одном файле» (Single File Web Page), также известный как «файл веб-архива» (Web archive file). На компьютере, на котором он создан, судя по всему, использовался Microsoft Office – Simplified Chinese.
Этот файл содержит эксплойт к уязвимости CVE-2012-0158, детектируемый продуктами «Лаборатории Касперского» как Exploit.MSWord.CVE-2012-0158.db.
При запуске на компьютере с уязвимой версией Microsoft Office он устанавливает главный модуль под именем net.exe (детектируемый продуктами «Лаборатории Касперского» как Trojan-Dropper.Win32.Agent.lifr), который, в свою очередь, устанавливает еще несколько файлов. Главный командный модуль помещается в файл %SystemRoot%\system32\Windowsupdataney.dll (детектируемый продуктами «Лаборатории Касперского» как Trojan-Spy.Win32.TravNet.qfr).
| Имя файла | WINDOWSUPDATANEY.DLL |
| MD5 | c13c79ad874215cfec8d318468e3d116 |
| Размер | 37 888 байт |
Он регистрируется в системе как служба (под именем Windowsupdata) с помощью пакетного файла DOT.BAT (детектируемого продуктами «Лаборатории Касперского» как Trojan.BAT.Tiny.b):
|
1 2 3 4 5 6 7 8 |
@echo off @reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost" /v Windowsupdata /t REG_MULTI_SZ /d Windowsupdata /f @reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windowsupdata" /v ImagePath /t REG_EXPAND_SZ /d %SystemRoot%\System32\svchost.exe -k Windowsupdata /f @reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windowsupdata" /v DisplayName /t REG_SZ /d Windowsupdata /f @reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windowsupdata" /v ObjectName /t REG_SZ /d LocalSystem /f @reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windowsupdata" /v ErrorControl /t REG_DWORD /d 1 /f @reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windowsupdata" /v Start /t REG_DWORD /d 2 /f @reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windowsupdata\Parameters" /v ServiceDll /t REG_EXPAND_SZ /d %SystemRoot%\system32\Windowsupdataney.dll /f |
Чтобы предотвратить многократный запуск вредоносной программы, она фиксирует свое присутствие в системе с помощью мьютекса SD_2013 Is Running!. В число других известных мьютексов, используемых предыдущими вариантами вредоносной программы и ее текущей версией, входят:
- Boat-12 Is Running!
- DocHunter2012 Is Running!
- Hunter-2012 Is Running!
- NT-2012 Is Running!
- NetTravler Is Running!
- NetTravler2012 Is Running!
- SH-2011 Is Running!
- ShengHai Is Running!
- SD2013 is Running!
Конфигурационный файл вредоносной программы записывается в папку SYSTEM (а не в SYSTEM32). Его формат несколько отличается от формата, используемого «старыми» образцами NetTraveler:
Для сравнения покажем, как выглядит файл конфигурации NetTraveler одной из предыдущих версий:
Очевидно, что создатели NetTraveler постарались скрыть конфигурацию вредоносной программы. К счастью, примененный для этого шифр относительно легко взломать.
Алгоритм расшифровки имеет следующий вид:
for (i=0;i<string_size;i++)
decrypted[i]=encrypted[i] — (i + 0xa);
Будучи расшифрованным, новый конфигурационный файл выглядит так:
На скриншоте выше легко найти адрес командного сервера – «uyghurinfo[.]com».
Мы обнаружили несколько образцов вредоносной программы, в которых применена эта новая схема шифрования. Список всех командных серверов, идентифицированных таким образом, приведен в следующей таблице:
| Командный сервер | IP | Местонахождение IP-адреса | Регистратор |
| ssdcru.com | 103.30.7.77 | Hong Kong, Albert Heng, Trillion Company | SHANGHAI MEICHENG TECHNOLOGY |
| uygurinfo.com | 216.83.32.29 | United States, Los Angeles, Integen Inc | TODAYNIC.COM INC. |
| samedone.com | 122.10.17.130 | Hong Kong, Kowloon, Hongkong Dingfengxinhui Bgp Datacenter | SHANGHAI MEICHENG TECHNOLOGY |
| gobackto.net | 103.1.42.1 | Hong Kong, Sun Network (hong Kong) Limited | SHANGHAI MEICHENG TECHNOLOGY |
| worksware.net | N/A | N/A | SHANGHAI MEICHENG TECHNOLOGY |
| jojomic.com | was 202.146.219.14 | Hong Kong, Sun Network (hong Kong) Limited | SHANGHAI MEICHENG TECHNOLOGY |
| angellost.net | was 103.17.117.201 | hong kong hung tai international holdings | SHANGHAI MEICHENG TECHNOLOGY |
| husden.com | was 103.30.7.76 | hong kong hung tai international holdings | SHANGHAI MEICHENG TECHNOLOGY |
Мы рекомендуем заблокировать все перечисленные хосты в настройках сетевого экрана.
Заключение
В этом году исполняется 10 лет с того времени, как начала свою деятельность группа злоумышленников, создавшая NetTraveler. Самые ранние обнаруженные нами версии этой программы датируются 2005 годом, однако есть сведения, указывающие на то, что разработка велась начиная с 2004 года.
В течение 10 лет программа NetTraveler применялась для атак на представителей различных кругов, преимущественно дипломатических, правительственных и военных.
Распределение жертв NetTraveler по сферам деятельности
Последнее время деятельность группы, связанная с кибершпионажем, нацелена прежде всего на космические исследования, нанотехнологии, производство энергии, ядерную энергетику, лазеры, медицину и связь.
Атаки на уйгурских и тибетских активистов – неизменная составляющая деятельности группы. Можно ожидать, что в этом плане все останется по-прежнему, скажем в течение ближайших 10 лет.
Авторы
От тех же авторов
В той же категории
10-летие угрозы APT-класса NetTraveler отмечено новой версией