Sinkholing der DGA-Infrastruktur von Volatile Cedar

Opfer über den Libanon verstreut

Derzeit gibt es einige Aufregung um die Aktivität der APT-Gruppe Volatile Cedar im Mittleren Osten, eine Bande, die nicht nur maßgeschneiderte Fernwartungstools bereitstellt, sondern auch USB-Verbreitungskomponenten, wie Check Point [pdf] berichtete. Wenn Sie Interesse an weiteren Details über diese APT haben, so empfehlen wir Ihnen, zunächst den Bericht des Unternehmens zu lesen.

Eine interessante Funktion der von dieser Gruppe verwendeten Backdoors ist ihre Fähigkeit, sich zunächst mit einer Auswahl an statischen Update-C2-Servern zu verbinden, die dann zu anderen C2 umleiten. Wenn sie sich nicht mit ihren hart kodierten statischen C2 verbinden können, fallen sie zurück in einen DGA (Domain Generation Algorithmus) und navigieren durch andere Domains, um sich mit ihnen zu verbinden.

Statistik:

Dieser Aspekt der Angriffe dieses Bedrohungsakteurs schien uns besonders interessant, so dass wir einen Teil der dynamisch generierten Steuerungsinfrastruktur auf einen Sinkhole-Server umleiteten. Die Opferstatistik ergab dann ein recht überraschendes Bild. Fast alle Opfer befinden sich im Libanon.

Opfer, die sich im DGA c2 anmelden

Offensichtlich kommunizieren die meisten der Opfer, die wir beobachten, von IPs, die von ISPs im Libanon gehostet werden. Und die meisten der übrigen Verbindungen scheinen mit der Untersuchung und Erforschung der Kampagnen zusammenzuhängen. Fast alle Backdoors, die mit den Sinkhole-Domains kommunizieren, sind die Hauptbackdoor, "Explosion". Doch auf einigen der Opfersysteme im Libanon, die mit unserem Sinkhole kommunizieren, läuft die sehr seltene Backdoor "Micro", die von unseren Kollegen von Checkpoint in ihrem Bericht beschrieben wird: "Micro ist eine sehr seltene Explosive-Version. Man kann sie am besten als eine absolut andere Version des Trojaners beschreiben, mit Ähnlichkeiten zu dem Rest der Explosive-"Familie" (wie z.B. in der Konfigurations- und Code-Basis). Wir glauben, dass Micro tatsächlich ein alter Vorfahre von Explosive ist, aus dem alle anderen Versionen entwickelt wurden. Wie in anderen Versionen auch, ist diese Version abhängig von einer selbst entwickelten DLL mit der Bezeichnung "wnhelp.dll." Sie melden sich bei edortntexplore[.]info mit der URI "/micro/data/index.php?micro=4" über Port 443 an.

Während Volatile Cedar sich sicherlich nicht durch ein hohes Maß an technologischen Fertigkeiten auszeichnet, scheint es doch, als sei die Gruppe bei der Verbreitung ihrer Malware ähnlich effektiv wie die MadiAPT, über die wir Mitte des Jahres 2012 berichteten. Da die Gruppe anscheinend kein Spear-Phishing einsetzt, sollten IT-Administratoren auf ihre eigenen, öffentlich zugreifbaren Angriffsflächen achten, wie z.B. Webapplikationen, ftp-Server, ssh-Server, etc., und sicherstellen, dass sie nicht gegenüber SQLi, SSI-Attacken und anderer offensiver serverseitiger Aktivität angreifbar sind.

Kaspersky-Detektionen und MD5s:

Trojan.Win32.Explosion.a
981234d969a4c5e6edea50df009efedd

Trojan.Win32.Explosion.b
7031426fb851e93965a72902842b7c2c

Trojan.Win32.Explosion.c
6f11a67803e1299a22c77c8e24072b82

Trojan.Win32.Explosion.d
eb7042ad32f41c0e577b5b504c7558ea

Trojan.Win32.Explosion.e
61b11b9e6baae4f764722a808119ed0c

Trojan.Win32.Explosion.f
c7ac6193245b76cc8cebc2835ee13532
184320a057e455555e3be22e67663722

Trojan.Win32.Explosion.g
5d437eb2a22ec8f37139788f2087d45d

Trojan.Win32.Explosion.i
7dbc46559efafe8ec8446b836129598c

Trojan.Win32.Explosion.j
c898aed0ab4173cc3ac7d4849d06e7fa

Trojan.Win32.Explosion.k
9a5a99def615966ea05e3067057d6b37

Trojan.Win32.Explosion.l
1dcac3178a1b85d5179ce75eace04d10

Trojan.Win32.Explosion.m
22872f40f5aad3354bbf641fe90f2fd6

Trojan.Win32.Explosion.n
2b9106e8df3aa98c3654a4e0733d83e7

Trojan.Win32.Explosion.o
08c988d6cebdd55f3b123f2d9d5507a6

Trojan.Win32.Explosion.p
1d4b0fc476b7d20f1ef590bcaa78dc5d

Trojan.Win32.Explosion.q
c9a4317f1002fefcc7a250c3d76d4b01

Trojan.Win32.Explosion.r
4f8b989bc424a39649805b5b93318295

Trojan.Win32.Explosion.s
3f35c97e9e87472030b84ae1bc932ffc

Trojan.Win32.Explosion.t
7cd87c4976f1b34a0b060a23faddbd19

Trojan.Win32.Explosion.u
ea53e618432ca0c823fafc06dc60b726

Trojan.Win32.Explosion.v
034e4c62965f8d5dd5d5a2ce34a53ba9

Trojan.Win32.Explosion.w
5ca3ac2949022e5c77335f7e228db1d8

Trojan.Win32.Explosion.x
ab3d0c748ced69557f78b7071879e50a

Trojan.Win32.Explosion.y
5b505d0286378efcca4df38ed4a26c90

Trojan.Win32.Explosion.z
e6f874b7629b11a2f5ed3cc2c123f8b6

Trojan.Win32.Explosion.aa
306d243745ba53d09353b3b722d471b8

Trojan.Win32.Explosion.ab
740c47c663f5205365ae9fb08adfb127

Trojan.Win32.Explosion.ac
c19e91a91a2fa55e869c42a70da9a506

Trojan.Win32.Explosion.ad
edaca6fb1896a120237b2ce13f6bc3e6

Trojan.Win32.Explosion.ae
d2074d6273f41c34e8ba370aa9af46ad

Trojan.Win32.Explosion.af
66e2adf710261e925db588b5fac98ad8
29eca6286a01c0b684f7d5f0bfe0c0e6
2783cee3aac144175fef308fc768ea63
f58f03121eed899290ed70f4d19af307

Trojan.Win32.Agent.adsct
826b772c81f41505f96fc18e666b1acd

Trojan-Dropper.Win32.Dycler.vhp
44b5a3af895f31e22f6bc4eb66bd3eb7

??
96b1221ba725f1aaeaaa63f63cf04092

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.