Der Run auf CVE-2013-3906 – heiße Ware

Vor zwei Tagen berichtete FireEye, dass das jüngste Exploit zu CVE-2013-3906 nun auch von neuen Programmen eingesetzt wird, die nicht mit der ursprünglichen Malware übereinstimmen. Die neuen infizierten Dokumente haben einiges mit früher detektierten Exploits gemeinsam, aber sie haben eine andere Payload. In diesem Fall werden die Exploits benutzt, um laut FireEye Taidoor- und PlugX-Backdoors zu transportieren.

Wir bei Kaspersky Lab haben zudem eine weitere APT-Gruppe ausgemacht, die gerade damit begonnen hat, schädliche Word-Dokumente unter Ausnutzung von CVE-2013-3906 zu verbreiten. Bei diesem APT-Akteur handelt es sich um die Winnti-Gruppe, die wir bereits detailliert beschrieben haben. Sie verschickten Spear-Phishing-Mails mit einem angehängten Dokument, das das Exploit enthielt. Wie gewöhnlich versuchen die Winnti-Gangster diese Technik zum Transport der Erstmalware einzusetzen, und zwar PlugX.

Wir bekamen Wind von einer Attacke auf ein Spiel-Unternehmen, das ständigen Angriffen der Winnti-Gruppe ausgesetzt ist. Das Word-Dokument mit dem Exploit zeigt dasselbe TIFF “Bild” – 7dd89c99ed7cec0ebc4afa8cd010f1f1 – das die Ausnutzung der Sicherheitslücke auslöst wie in den Hangover-Attacken. Ist die Ausnutzung erfolgreich, so wird der PlugX-Backdoor von einer entfernten URL heruntergeladen:
hxxp://211.78.90.113/music/cover/as/update.exe.

Gemäß dem PE-Header wurde dieses PlugX-Sample am 4. November 2013 kompiliert. Die interne funktionale PlugX DLL, die während der Malware-Ausführung im Speicher dechiffriert und bereitgestellt wird, ist ein bisschen älter – sie datiert auf den 30. Oktober 2013. Was die Branches betrifft, so unterscheidet sich die Version von PlugX, die heruntergeladen wird, leicht von dem konventionellen PlugX, doch es ist derselbe Typ wie der von FireEye entdeckte, wenn die Malware CnC HTTP POST-Pakete mit auffallenden zusätzlichen Headern sendet:

FireEye sample Winnti-s variant
POST /<random [0-9A-F]{24}> HTTP/1.1
Accept: */*
FZLK1: 0
FZLK2: 0
FZLK3: 61456
FZLK4: 1
POST /<random [0-9A-F]{24}> HTTP/1.1
Accept: */*
HHV1: 0
HHV2: 0
HHV3: 61456
HHV4: 1

Winnti’s PlugX verbindet sich mit einem neuen, vorher unbekannte C2, av4.microsoftsp3.com. Diese Domain verweist auf die IP-Adresse 163.43.32.4. Andere mit Winnti in Zusammenhang stehende Domains haben – beginnend mit 3. Oktober 2013 – hierauf gewiesen:

ad.msnupdate.bz ap.msnupdate.bz
book.playncs.com data.msftncsl.com ns3.oprea.biz

Wieder einmal werden wir Zeuge einer schnellen Ausnutzug einer erst kürzlich entdeckten Sicherheitslücke durch verschiedene APT-Akteure. Aufgrund des hohen Konkurrenzdrucks haben wir schon häufiger erlebt, wie schnell neue Exploits verschiedenen Exploit-Packs hinzugefügt werden, wenn Cyberkriminelle ins Spiel kommen. Bisher weiß man noch nicht genau, wie die neuen APT-Akteure in den Besitz von CVE-2013-3906 gekommen sind – vermutlich haben sie denselben “Builder” erhalten wie die Hangover-Angreifer oder einfach einige Samples der schädlichen Word-Dokumente erworben und sie ihren Bedürfnissen angepasst. Wie auch immer, wir können den Schluss ziehen, dass APT-Akteure ebenso wie Cyberkriminelle unter Konkurrenzdruck sich nicht auf ihren Lorbeeren ausruhen, sondern danach streben werden, sich ständig weiterzuentwickeln, ihre alltäglichen Prozesse zu perfektionieren und immer enger zusammenzuarbeiten, um so zu einer immer gefährlicheren Bedrohung zu verschmelzen.

Entdeckte Samples

Exploit.MSOffice.CVE-2013-3906.a
MS Word-Dokument: Questionnaire.docx, 63ffbe83dccc954f6a9ee4a2a6a93058

Backdoor.Win32.Gulpix.tu
PlugX-Backdoor: update.exe, 4dd49174d6bc559105383bdf8bf0e234

Backdoor.Win32.Gulpix.tt
PlugX interne Bibliothek: 6982f0125b4f28a0add2038edc5f038a 

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.