Octubre Rojo ataca de nuevo

0

red october

Octubre Rojo (Red October) es una APT o amenaza persistente avanzada que comentamos hace ya unos 2 años. Una campaña de ciber-espionaje al más alto nivel, dirigida a espiar a políticos y dirigentes de todo el mundo. Ahora ha vuelto a la carga con nuevos engaños.

El regreso de la APT Octubre Rojo

Se bautizó como Octubre Rojo debido a su fecha de aparición, allá por Octubre de 2012. Podéis ver nuestro análisis inicial en esta entrada.

El caso es que Octubre Rojo quedó finalmente desmantelado, ya que su infraestructura de red y servidores de control (C&C) fueron desactivados. Hablamos, sin embargo, de grupos muy organizados y que, tras pasar ciertos meses a la sombra, siempre vuelven con nuevas armas. Kaspersky ha llevado a cabo un completo análisis de los nuevos coletazos de Octubre Rojo y os vamos a contar las conclusiones importantes del estudio.

Cloud Atlas

El pasado mes de Agosto, algunos usuarios de Kaspersky recibieron ataques con una variación del conocido CVE-2012-0158 y un nuevo juego de instrucciones maliciosas. Tras un análisis inicial, los técnicos de Kaspersky se fijaron en varias señas de identidad que no son muy comunes en las APT.

Nombres de archivos usados en la campaña:

  • FT – Ukraine Russia’s new art of war.doc
  • Катастрофа малайзийского лайнера.doc
  • Diplomatic Car for Sale.doc
  • МВКСИ.doc
  • Organigrama Gobierno Rusia.doc
  • Фото.doc
  • Информационное письмо.doc
  • Форма заявки (25-26.09.14).doc
  • Информационное письмо.doc
  • Письмо_Руководителям.doc
  • Прилож.doc
  • Car for sale.doc
  • Af-Pak and Central Asia’s security issues.doc

Uno de los nombres usados recordaba mucho a Octubre Rojo, que empleaba el spear-phishing con el documento llamado “Diplomatic Car for sale.doc“. Aquí se observa un cambio de comportamiento, pues Microsoft Office no permitirá la creación de una puerta trasera mediante Windows PE, sino que se creará un script Visual Basic que después será ejecutado.

Script utilizado por el sucesor de Octubre Rojo

Este script descarga dos archivos en el disco -un cargador y un fichero con el contenido o payload-. El cargador parece mutar en cada operación (polimórfico). La carga maliciosa siempre está cifrada con una clave única, por lo que es imposible descifrarla sin tener las DLL.

Análisis de uno de los archivos

Entre los diferentes documentos enfocados como spear-phishing, se observa que cada uno descarga sus propios archivos. Por ejemplo, el fichero “qPd0aKJu.vbs” con hash MD5: E211C2BAD9A83A6A4247EC3959E2A730 descarga los siguientes:

Carga cifrada: DECF56296C50BD3AE10A49747573A346 – bicorporate

Cargador: D171DB37EF28F42740644F4028BCF727 – ctfmonrn.dll

El objeto de Visual Basic también genera una entrada en el registro de Windows:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ asginando la clave “bookstore” en el valor “regsvr32 %path%\ctfmonrn.dll /s”, lo que convierte a la amenaza en persistente en cada inicio de sistema.

Algunas librerías (DLL) encontradas:

f4e15c1c2c95c651423dbb4cbe6c8fd5 – bicorporate.dll
649ff144aea6796679f8f9a1e9f51479 – fundamentive.dll
40e70f7f5d9cb1a669f8d8f306113485 – papersaving.dll
58db8f33a9cdd321d9525d1e68c06456 – previliges.dll
f5476728deb53fe2fa98e6a33577a9da – steinheimman.dll

Algunos de los archivos maliciosos tienen los siguientes nombres:

  • steinheimman
  • papersaving
  • previliges
  • fundamentive
  • bicorporate
  • miditiming
  • damnatorily
  • munnopsis
  • arzner
  • redtailed
  • roodgoose
  • acholias
  • salefians
  • wartworts
  • frequencyuse
  • nonmagyar
  • shebir
  • getgoing

Estos payload incluyen un bloque de configuración (cifrado) que contiene las referencias al servidor de Comando y Control:

Comunicación entre Cloud Atlas y su C&C

Comunicación entre Cloud Atlas y su C&C

Aquí encontramos configuraciones como la URL usada en la conexión, nombre de usuario, contraseña y 2 carpetas en el servidor, que son los que el malware utiliza para consultar sus módulos y a donde se remite la información extraída de la víctima.

¿Cómo se comunica con el C&C?

Cloud Atlas emplea un mecanismo de comunicación algo inusual. Todas las muestras del malware se comunican mediante HTTPS y un denominado WebDav con el servidor cloudme.com (proveedor de servicios cloud). CloudMe, según su creador, pertenece a CloudMe AB, una empresa ubicada en Suecia.

NOTA: No hay ningún dato que apunte a que el malware tiene relación directa con CloudMe. Lo que ocurre es que el atacante consigue cuentas de CloudMe que después emplea como centros C&C.

Servicio Cloud Me

Cada pieza de malware se comunica con una cuenta diferente dentro del servicio. Veamos una de las cuentas de CloudMe:

Cuenta de CloudMe

Y los datos contenidos en la misma:

CloudMe

Los archivos son almacenados en carpetas con nombres aleatorios y contienen varias cosas, como información del equipo, procesos en ejecución y cuenta de usuario. Se comprimen los datos con LZMA y se cifran mediante algoritmo AES. Existe, no obstante, algo que posibilita su posterior recuperación: las claves privadas son almacenadas en el cuerpo de cada archivo.

En este punto se observa cierta similitud con la amenaza ItaDuke, que también se conectaba con un proveedor cloud llamado mydrive.ch.

Similitudes entre Octubre Rojo y Cloud Atlas

Existen otras pruebas circunstanciales que apuntan a la misma autoría de este malware respecto de Octubre Rojo. El objetivo principal es Rusia, seguido de kazajstán, de acuerdo a la red KSN. Además, algunos de los documentos tipo spear-phishing entre ambas amenazas son casi idénticos, como podemos ver en la imagen.

Cloud Atlas y Octubre Rojo

Cloud Atlas y Octubre Rojo

Octubre Rojo y Cloud Atlas están construídos de forma muy similar y usando casi los mismos componentes:

  1. VisualBasic 2010 (ambos usan compilador 30319)
  2. Código fuente idéntico
  3. Compresión mediante LZMA

Y lo más revelador: algunos de los usuarios que fueron infectados mediante Octubre Rojo ahora han sido alcanzados por Cloud Atlas.

Infecciones por país

Infecciones de Cloud Atlas por país

Infecciones de Cloud Atlas por país

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR