10-летие угрозы APT-класса NetTraveler отмечено новой версией

Мы уже писали про NetTraveler ЗДЕСЬ и ЗДЕСЬ.

Ранее в этом году мы наблюдали рост числа атак против уйгурских и тибетских активистов с применением обновленной версии бэкдора NetTraveler.

Вот пример адресной фишинговой рассылки, нацеленной на уйгурских активистов, которая проводилась в марте 2014 года.

NetTraveler_1

К письму прикреплено два вложения: JPG-файл, не имеющий вредоносного функционала, и DOC-файл Microsoft Word размером 373 КБ.

Имя файла «Sabiq sot xadimi gulnar abletning qeyin-Qistaqta olgenliki ashkarilanmaqta.doc»
MD5 b2385963d3afece16bd7478b4cf290ce
Размер 381 667 байт

DOC-файл на самом деле представляет собой контейнер «веб-страница в одном файле» (Single File Web Page), также известный как «файл веб-архива» (Web archive file). На компьютере, на котором он создан, судя по всему, использовался Microsoft Office – Simplified Chinese.

Этот файл содержит эксплойт к уязвимости CVE-2012-0158, детектируемый продуктами «Лаборатории Касперского» как Exploit.MSWord.CVE-2012-0158.db.

При запуске на компьютере с уязвимой версией Microsoft Office он устанавливает главный модуль под именем net.exe (детектируемый продуктами «Лаборатории Касперского» как Trojan-Dropper.Win32.Agent.lifr), который, в свою очередь, устанавливает еще несколько файлов. Главный командный модуль помещается в файл %SystemRoot%\system32\Windowsupdataney.dll (детектируемый продуктами «Лаборатории Касперского» как Trojan-Spy.Win32.TravNet.qfr).

Имя файла WINDOWSUPDATANEY.DLL
MD5 c13c79ad874215cfec8d318468e3d116
Размер 37 888 байт

Он регистрируется в системе как служба (под именем Windowsupdata) с помощью пакетного файла DOT.BAT (детектируемого продуктами «Лаборатории Касперского» как Trojan.BAT.Tiny.b):

Чтобы предотвратить многократный запуск вредоносной программы, она фиксирует свое присутствие в системе с помощью мьютекса SD_2013 Is Running!. В число других известных мьютексов, используемых предыдущими вариантами вредоносной программы и ее текущей версией, входят:

  • Boat-12 Is Running!
  • DocHunter2012 Is Running!
  • Hunter-2012 Is Running!
  • NT-2012 Is Running!
  • NetTravler Is Running!
  • NetTravler2012 Is Running!
  • SH-2011 Is Running!
  • ShengHai Is Running!
  • SD2013 is Running!

Конфигурационный файл вредоносной программы записывается в папку SYSTEM (а не в SYSTEM32). Его формат несколько отличается от формата, используемого «старыми» образцами NetTraveler:

NetTraveler_2

Для сравнения покажем, как выглядит файл конфигурации NetTraveler одной из предыдущих версий:

NetTraveler_3

Очевидно, что создатели NetTraveler постарались скрыть конфигурацию вредоносной программы. К счастью, примененный для этого шифр относительно легко взломать.

Алгоритм расшифровки имеет следующий вид:

for (i=0;i<string_size;i++)
decrypted[i]=encrypted[i] — (i + 0xa);

Будучи расшифрованным, новый конфигурационный файл выглядит так:

NetTraveler_4

На скриншоте выше легко найти адрес командного сервера – «uyghurinfo[.]com».

Мы обнаружили несколько образцов вредоносной программы, в которых применена эта новая схема шифрования. Список всех командных серверов, идентифицированных таким образом, приведен в следующей таблице:

Командный сервер IP Местонахождение IP-адреса Регистратор
ssdcru.com 103.30.7.77 Hong Kong, Albert Heng, Trillion Company SHANGHAI MEICHENG TECHNOLOGY
uygurinfo.com 216.83.32.29 United States, Los Angeles, Integen Inc TODAYNIC.COM INC.
samedone.com 122.10.17.130 Hong Kong, Kowloon, Hongkong Dingfengxinhui Bgp Datacenter SHANGHAI MEICHENG TECHNOLOGY
gobackto.net 103.1.42.1 Hong Kong, Sun Network (hong Kong) Limited SHANGHAI MEICHENG TECHNOLOGY
worksware.net N/A N/A SHANGHAI MEICHENG TECHNOLOGY
jojomic.com was 202.146.219.14 Hong Kong, Sun Network (hong Kong) Limited SHANGHAI MEICHENG TECHNOLOGY
angellost.net was 103.17.117.201 hong kong hung tai international holdings SHANGHAI MEICHENG TECHNOLOGY
husden.com was 103.30.7.76 hong kong hung tai international holdings SHANGHAI MEICHENG TECHNOLOGY

Мы рекомендуем заблокировать все перечисленные хосты в настройках сетевого экрана.

Заключение

В этом году исполняется 10 лет с того времени, как начала свою деятельность группа злоумышленников, создавшая NetTraveler. Самые ранние обнаруженные нами версии этой программы датируются 2005 годом, однако есть сведения, указывающие на то, что разработка велась начиная с 2004 года.

NetTraveler_5

В течение 10 лет программа NetTraveler применялась для атак на представителей различных кругов, преимущественно дипломатических, правительственных и военных.

NetTraveler_6

Распределение жертв NetTraveler по сферам деятельности

Последнее время деятельность группы, связанная с кибершпионажем, нацелена прежде всего на космические исследования, нанотехнологии, производство энергии, ядерную энергетику, лазеры, медицину и связь.

Атаки на уйгурских и тибетских активистов – неизменная составляющая деятельности группы. Можно ожидать, что в этом плане все останется по-прежнему, скажем в течение ближайших 10 лет.

Публикации на схожие темы

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *