Los analistas de Kaspersky Lab han hallado que nuevos implantes de Miniduke, descubierto en 2013, están siendo utilizados en campañas activas dirigidas a gobiernos y otras entidades. Además, la nueva plataforma de Miniduke, BotGenStudio, puede ser utilizada no solo por ciberdelincuentes siguiendo el estilo APT, sino también por fuerzas del orden y delincuentes tradicionales.

Aunque la campaña de Miniduke ATP se paró, o al menos redujo su intensidad, a raíz del anuncio realizado por Kaspersky Lab con su socio, CrySyS Lab, el año pasado, a comienzos de 2014 reanudaron los ataques con mucha intensidad. Esta vez, Kaspersky Lab ha detectado las diferentes formas de actuar que emplean los atacantes y las herramientas que utilizan.

El nuevo backdoor de Miniduke

Tras aparecer en 2013, Miniduke comenzó a usar otro backdoor personalizado, capaz de robar varios tipos de información. El malware simula aplicaciones populares diseñadas para ejecutarse en segundo plano, incluyendo información de archivo, iconos e incluso el tamaño del archivo.

Los nuevos backdoor principales de Miniduke (también conocido como TinyBaron o CosmicDuke) son capaces de extenderse en un marco personalizable llamado BotGenStudio, que cuenta con flexibilidad para habilitar o deshabilitar componentes. Sus componentes se dividen en tres grupos:

1. Persistencia - Miniduke / CosmicDuke es capaz de iniciarse a través del Programador de tareas de Windows, un servicio binario personalizado que genera un nuevo proceso establecido en la clave del registro o se inicia cuando el usuario se ha ido y se activa el protector de pantalla.

 

2. Reconocimiento - El malware es capaz de robar gran variedad de información, incluyendo los archivos, basándose en extensiones de nombre y palabras clave, como * exe.;. * NDB.; * mp3.; * avi.; * rar.; * docx.; * url.; . * xlsx; * pptx.; * PSW *; * pase *; * login *; * administrador *; * vpn; * jpg.; * TXT.; * lnk.; * dll.; *. tmp., etc

 

Este backdoor tiene muchas otras funciones que incluyen: keylogger, capturadores de información de la red o de pantalla, del portapapeles, robo de la libreta de direcciones de Outlook, robo de contraseñas de Skype, Google Chrome, Google Talk, Opera, TheBat!, Firefox, Thunderbird, recopilación de datos protegidos de almacenamiento, exportador de certificados y claves privadas...  

 

3. Filtraciones-. El malware implanta varios conectores de red para filtrar datos, incluyendo la subida de elementos a través de FTP y tres tipos diferentes de los protocolos de comunicación HTTP.

La filtración de datos almacenados es otra de las características interesantes de Miniduke. Mientras se está subiendo un archivo a un servidor C&C, este se divide en trocitos pequeños (de unos 3Kb) que son comprimidos, cifrados y ubicados en un contenedor que será subido al servidor. Si este archivo es lo suficientemente grande, puede ser colocado en diferentes contenedores que se incorporan de forma independiente. Con todas estas capas de garantía adicional de procesamiento, son muy pocos los investigadores capaces de llegar a los datos originales.

Características únicas

A cada víctima de Miniduke se le asigna una identificación única que permite controlar concretamente las subidas de cada uno de forma individualizada.

Para autoprotegerse, utiliza un cargador ofuscado personalizado que consume grandes recursos de la CPU antes de pasar a la ejecución de la carga útil. Una vez hecho, evita las soluciones antimalware, analizando el implante y detectando la funcionalidad maliciosa a través de un simulador. Esto complica el análisis del malware.

Principales conclusiones

Doble propósito del servidor  C&C: Durante el análisis, los expertos de Kaspersky Lab han podido obtener una copia de uno de los servidores C&C de CosmicDuke. Según parece, no se usó sólo para la comunicación entre los actores detrás de CosmicDuke y los equipos infectados, sino también para otras operaciones ejecutadas por los miembros del grupo, como la intromisión en otros servidores de Internet con el objetivo de recopilar toda la información que pueda dar lugar a posibles objetivos. Para ello, el C&C fue equipado con una amplia gama de herramientas de pirateo que buscan vulnerabilidades en sitios web utilizando diferentes motores para comprometerlos.

Víctimas: Curiosamente, mientras que los antiguos implantes de Miniduke tenían como objetivos principales a entidades gubernamentales, los nuevos implantes CosmicDuke tienen una tipología diferente de víctimas.

Kaspersky Lab ha analizado tanto servidores CosmicDuke actuales como antiguos Miniduke. De estos últimos se ha podido extraer una lista de las víctimas y de sus respectivos países, por lo que los expertos han descubierto que los usuarios de los servidores antiguos de Miniduke estaban interesados ​​en objetivos de Australia, Bélgica, Francia, Alemania, Hungría, Países Bajos, España, Ucrania o Estados Unidos. Víctimas de al menos tres de estos países eran entidades gubernamentales.

Uno de los servidores CosmicDuke analizados tenían una larga lista de víctimas (139 direcciones IP únicas) desde abril de 2012. En cuanto a la distribución geográfica (el top 10 de países), las víctimas pertenecen a Georgia, Rusia, EE.UU., Gran Bretaña, Kazajstán, India, Bielorrusia, Chipre, Ucrania, Lituania. Los atacantes también estaban interesados en expandir sus operaciones y se encontraron direcciones IP de servidores de la República de Azerbaiyán, Grecia y Ucrania.

Plataforma comercial: Las víctimas más inusuales descubiertas eran personas que parecían estar involucrados en el tráfico y venta de sustancias controladas e ilegales, como los esteroides y hormonas. Estas víctimas se han hallado sólo en Rusia.

"Es un poco inesperado. Normalmente, cuando oímos hablar de APT, tendemos a pensar que son campañas de espionaje cibernético a naciones. Pero vemos dos explicaciones para esto. Una posibilidad es que BotGenStudio, la plataforma de malware utilizado en Miniduke, también esté disponible como una función de espionaje legal, similar a otras, tales como RCS de HackingTeam, ampliamente utilizado por la policía. Otra posibilidad es que simplemente esté disponible en el mercado negro y lo hayan comprado y usado varios competidores del  negocio farmacéutico para espiarse entre ellos", comentó Vitaly Kamluk, analista del GREAT de Kaspersky Lab.

Reconocimiento y Artefactos: Aunque los atacantes usan el inglés, mostrando que poseen conocimientos de este idioma, hay algunos indicadores - como cadenas en un bloque de memoria anexa a la componente de malware- que hacen creer a los expertos que esta no es su lengua materna.

Los expertos de Kaspersky Lab también fueron capaces de indicar la actividad de los atacantes según el calendario semanal. Al parecer, los atacantes siguen la semana de trabajo de lunes a viernes, sin que esto les impida trabajar los fines de semana en ocasiones. En cuanto al horario, los atacantes muestran actividad entre las seis de la mañana y las siete de la tarde (según el horario GMT).Sin embargo, sus horas de mayor actividad son entre las 6 a.m. y las 4 p.m.

Detección: Los productos de Kaspersky Lab han detectado el backdoor de CosmicDuke como Backdoor.Win32.CosmicDuke.gen y Backdoor.Win32.Generic.