Los investigadores de ESET analizaron las últimas modificaciones sobre las herramientas APT32 y APT-C-00 usadas por el grupo conocido como OceanLotus, orientado al desarrollo de APTs (Advanced Persistent Threat).

El prolífico proveedor de malware, OceanLotus, tiene la mira puesta en altos perfiles corporativos y gubernamentales del sudeste asiático, particularmente Vietnam, Filipinas, Laos y Camboya. Este grupo, que dice ser vietnamita, aparentemente cuenta con buenos recursos y es conocido por integrar sus diseños personalizados con viejas técnicas que durante mucho tiempo fueron exitosas.

Sus objetivos se centran en ciberespionaje, reconocimiento y robo de propiedad intelectual. Uno de los últimos backdoors de OceanLotus se trata de una completa herramienta maliciosa que ofrece a quien la opere la posibilidad de acceder de manera remota a un dispositivo vulnerado. Está compuesto por una suite de funcionalidades que incluye varias herramientas para archivos, registros y manipulación de procesos, así como también la carga de componentes adicionales.

Para introducir el backdoor en una máquina en particular, el grupo utiliza un ataque compuesto por dos etapas: primero un dropper se hace de un lugar dentro del sistema para luego, en una segunda etapa, establecer el backdoor. Para llevar a cabo este proceso, es necesario implementar un estrategia de engaño como la que veremos a continuación.

La estrategia para introducir el backdoor

El ataque generalmente comienza con un intento por captar la atención de la víctima ─probablemente a través de un correo spearpishing para que ejecute el dropper malicioso que va adjuntado. Para incrementar las posibilidades de que el destinatario desprevenido finalmente pinche en el archivo, se enmascara el ejecutable para darle la apariencia de una hoja de cálculo o documento similar. Por lo tanto, cuando la víctima pincha en el adjunto, el dropper abre un documento protegido por una contraseña que pretende ser una distracción para captar la atención de la víctima mientras el dropper se dirige a cumplir su malintencionada misión. Vale la pena destacar que no son necesarios los exploits.

Los atacantes utilizan un número de documentos como señuelo. Para aumentar sus posibilidades de transmitir autenticidad, el nombre que lleva cada uno de estos documentos (generalmente en inglés) es diseñado cuidadosamente. ESET detecta estos archivos como:  Win32/TrojanDropper.Agent.RUI.

Por otra parte, OceanLotus también es conocido por utilizar ataques “watering hole”, una metodología que consiste en comprometer un sitio que la víctima usualmente visite. En este escenario, la víctima es engañada para que descargue y ejecute de dicha página un instalador o actualización falsa de un programa popular. Cualquiera sea el método elegido para comprometer el dispositivo, finalmente se despliega el mismo backdoor.

La técnica “watering hole” probablemente ha sido utilizada para propagar un dropper llamado RobototFontUpdate.exe, que se hace pasar por una actualización de la fuente Roboto Slab.

Lo que se esconde debajo

OceanLotus

Figura 1: flujo de activación del Dropper

 

Los componentes del “dropper” son ejecutados en un determinado número de pasos; donde cada uno involucra una fuerte dosis de código inteligible diseñado para proteger el malware de la detección. Por otro lado, también se incluye cierto volumen de código basura con el objetivo de confundir a los investigadores y a los programas de seguridad.

Si se ejecuta con privilegios de administrador, el dropper crea un servicio de Windows que establece la persistencia en el sistema (con lo cual el malware resiste el reseteo). De lo contrario, el mismo objetivo se logra mediante la manipulación del registro del sistema operativo.

Adicionalmente, el paquete libera una aplicación cuyo único propósito es eliminar el documento señuelo, una vez que completa la misión.

OceanLotus

Figura 2. Flujo de ejecución del Backdoor

Es importante destacar que dos archivos más son liberados y entran en juego en esta fase ─un ejecutable con la firma digital de un importante desarrollador de software y una DLL (Dynamic Link library) maliciosa nombrada luego de ser usado por el ejecutable legítimo.

Estos archivos utilizan una metodología conocida como “DLL side-loading’”, que consiste en adoptar la función legítima de carga de librería implantando una DLL maliciosa dentro de la misma carpeta que el ejecutable firmado. Esta es una manera de mantenerse debajo del radar, ya que una aplicación confiable con una firma válida es menos propensa a despertar sospecha.

En campañas que utilizan estas nuevas herramientas de OceanLotus, hemos visto desplegados, entre otros, ejecutables firmados genuinamente RasTlsc.exe de Symantec y mcoemcpy.exe de McAfee. Cuando se ejecutan, estos programas llaman, respectivamente, el archivo malicioso rastls.dll (detectado por ESET como Win32/Salgorea.BD) y McUtil.dll (detectado como Win32/Korplug.MK).

OceanLotus

Figura 3: Firma digital de rastlc.exe de Symantec

Una vez que se abre la puerta trasera 

Una vez descifrado y antes de recibir una instrucción, el backdoor envía información del sistema infectado, como la versión del sistema operativo, entre otros.

Por otra parte, una determinada cantidad de dominios y direcciones IP son utilizadas para el Comando & Control (C&C). Y si bien toda la comunicación con el servidor C&C es cifrada, puede descifrarse fácilmente, siempre que se obtenga la llave de cifrado.

Nuestra profunda inmersión sobre la última campaña que circula de OceanLotus, muestra que el grupo no está escatimando en esfuerzos y combina código legítimo y herramientas públicas con sus propias creaciones maliciosas. El grupo claramente está realizando grandes esfuerzos en su objetivo de evadir la detección de su malware y también de los investigadores.

Un análisis detallado del tema puedes leerlo en el whitepaper (en inglés) OceanLotus: Old techniques, new backdoor.