Arriva il malware Cloud Atlas, erede di Ottobre Rosso
Si chiama Cloud Atlas la nuova minaccia malware. Scoperta dagli esperti di Kaspersky, si tratterebbe di un'evoluzione del virus Red October del 2012.
del 16/12/14 - di Alessandro Elia
Red October (Ottobre Rosso) è una APT, o minaccia persistente avanzata, di cui parlammo su Migliori Antivirus già due anni fa. Una campagna di cyber spionaggio di massimo livello che puntava nel 2012 a spiare politici e dirigenti di tutto il mondo. Ebbene adesso il pericoloso malware è tornato all'attacco.
Un ritorno che spaventa
Questo malware prende il nome dalla data di apparizione, nel mese di ottobre di due anni fa, qui potrete vedere alcuni dettagli sulla minaccia.
Il problema è che finora Red October si considerava come una minaccia debellata, considerando che la sua infrastuttura di rete e i server di controllo (C&C) furono disattivati. Le persone che si nascondevano dietro Ottobre Rosse però ora ritornano con nuove armi, come affermano gli esperti di Kaspersky nel recente studio che presentiamo oggi.
Cloud Atlas
Durante il mese di agosto, alcuni utenti di Kaspersky ricevettero attacchi riconosciuti come varianti del CVE-2012-0158 che include una nuova serie di istruzioni pericolose. Dopo una analisi iniziale, i tecnici di Kaspersky riconobbero diversi elementi comuni alle minacce APT.
Nomi dei file usati nell'attacco:
FT – Ukraine Russia’s new art of war.doc
Катастрофа малайзийского лайнера.doc
Diplomatic Car for Sale.doc
МВКСИ.docOrganigrama Governo Russo.doc
Фото.docИнформационное письмо.doc
Форма заявки (25-26.09.14).doc
Информационное письмо.doc
Письмо_Руководителям.doc
Прилож.docCar for sale.doc
Af-Pak and Central Asia’s security issues.doc
Uno dei nomi usati ricordava molto Red October che usava lo spera phishing con il documento chiamato “Diplomatic Car for sale.doc“. Stavolta vediamo un cambio di comportamento dato che Microsoft Office non permette più di creare una backdoor mediante Windows PE ma uno script Visual Basic da eseguire in un secondo momento.
Codice della nuova minaccia virus
Tale script scarica due file sul disco (un caricatore e un file con un cotnenuto payload). Il caricatore è polimorfico, cambia ogni volta e il messaggio infettato viene sempre protetto da una chiave unica e impossibile da decifrare senza possedere le DLL.
Analisi di uno dei file
Tra i differenti documenti individuati come spear phishing, siosserva che ognuno lancia il download di file propri. Per esempio il file “qPd0aKJu.vbs” con hash MD5: E211C2BAD9A83A6A4247EC3959E2A730 scarica questi:
> Payload criptato: DECF56296C50BD3AE10A49747573A346 – bicorporate
> Caricatore: D171DB37EF28F42740644F4028BCF727 – ctfmonrn.dll
L'oggetto di Visual Basic allo stesso modo genera una entrata nel registro di Windows:
>HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
assegnando la chiave “bookstore” nel valore “regsvr32 %path%\ctfmonrn.dll /s”, che rende la minaccia persistente ad ogni riavvio del sistema.
Alcune librerie DLL trovate:
f4e15c1c2c95c651423dbb4cbe6c8fd5 – bicorporate.dll
649ff144aea6796679f8f9a1e9f51479 – fundamentive.dll
40e70f7f5d9cb1a669f8d8f306113485 – papersaving.dll
58db8f33a9cdd321d9525d1e68c06456 – previliges.dll
f5476728deb53fe2fa98e6a33577a9da – steinheimman.dll
Alcuni dei file infettati presentano i seguenti nomi:
steinheimman
papersaving
previliges
fundamentive
bicorporate
miditiming
damnatorily
munnopsis
arzner
redtailed
roodgoose
acholias
salefians
wartworts
frequencyuse
nonmagyar
shebir
getgoing
Questy payload includono un blocco di configurazione (criptato) che contiente gli estremi del server di C&C (Command and Control Center, è il 'quartier generale' da dove il malware comunica i progressi al suo creatore):
Le caratteristiche del C&C
Qui troviamo configurazioni come la URL usata per la connessione, nome utente, password e 2 cartelle nel server che sono quelle usate dal malware per consultare moduli e con tutte le informazioni della vittima.
Comunicazione tra malware e C&C
Cloud Atlas utilizza un meccanismo di comunicazione abbastanza insolito. Tutti gli elementi del malware parlano mediante HTTPS usando un WebDav con el server cloudme.com (fornitore di servizi cloud). CloudMe appartiene a CloudMe AB, un'azienda con sede in Svezia.
NOTA: Non esiste una relazione diretta tra il malware e CloudMe. Ciò che succede è che l'attaccante sfrutta account di CloudMe che dopo utilizza come centri C&C.
CloudMe
Ogni pezzo del malware comunica con un account diverso all'interno del servizio. Vediamo uno degli account di CloudMe:
Account di CloudMe
Ed i dati di controllo relativi:
I dati contenuti in CloudMe
I file vengono salvati nelle cartelle con nomi aleatori e includono varie cose, come informazioni sul PC, processi attivi e account utente. I dati vengono compressi tramite LZMA e si criptano mediante protocollo AES. Ciò nonostante esiste qualcosa che permette un successivo recupero: le password private vengono salvate nel corpo di ogni file.
A questo punto si osserva una certa similitudine con le minacce ItaDuke che si collegavano ad un fornitore cloud chiamato mydrive.ch.
Red October e Cloud Atlas si somigliano
Esistono altre prove circostanziali che mostrano similitudini di questo malware con Red October. L'obiettivo principale è la Russia, poi il Kazakistan, seguendo la rete KSN. Inoltre, alcuni dei documenti dispear phishing sono quasi identici, nelle due minacce, come si vede nell'immagine:
Cloud Atlas e Red October
Red October e Cloud Atlas sono costruiti in modo molto simile e usano quasi gli stessi componenti:
1- VisualBasic 2010 (con compilatore 30319)
2- Stesso codice sorgente
3- Compressione tramite LZMA
L'ultimo aspetto che definitivamente avvicina le tue minacce è questo: alcuni utenti infettati dal Red OCtober adesso hanno ricevuto direttamente la seconda ondata del Cloud Atlas.
Y lo más revelador: algunos de los usuarios que fueron infectados mediante Octubre Rojo ahora han sido alcanzados por Cloud Atlas.
Infezioni per paese
Ecco i paesi maggiormente colpiti da questa seconda minaccia:
Russia 15 attacchi, Kazakistan 14, Bielorussia 4, India 2, Repubblica Ceca 2
Comunicazione Web
Responsabile account:
Alessandro Elia (Redattore)
Contatti e maggiori informazioni
Vedi altre pubblicazioni di questo utente
Responsabile account:
Alessandro Elia (Redattore)
Contatti e maggiori informazioniVedi altre pubblicazioni di questo utente