El APT Spring Dragon

Analicemos un par de interesantes técnicas de distribución de un APT que se ha mantenido activo durante los últimos años: Spring Dragon. Un documento publicado hoy por nuestros colegas de Palo Alto Networks presenta algunos datos sobre este grupo malicioso bajo el título de “The Lotus Blossom Operation“ (La Operación Flor de Loto), cuyo nombre posiblemente se debe a que “Lotus” aparece en la cadena de depuración presente en gran parte de la base de código de la puerta trasera “Elise” desde al menos 2012: “d:lstudioprojectslotus…”.

Las habilidades del grupo van más allá de los exploits CVE-2012-0158, ampliamente discutidos en los últimos años. Este grupo es conocido por haber utilizado exploits spearfish día cero, infecciones web estratégicas, y abrevaderos que conducen a falsos sitios de actualización de Flash Player. Las herramientas spearfish del grupo incluyen exploits para Adobe, Adobe Flash Player, y los conocidos exploits CVE-2012-0158 para Word, incluyendo los generados por el famoso paquete “Tran Duy Linh”. Si bien los ataques vigentes del APT Spring Dragon remontan nuestra atención a Vietnam, al parecer en los últimos años se lanzó una combinación sostenida de exploits contra subcontratistas de defensa en todo el mundo y contra organizaciones gubernamentales en Vietnam, Taiwán, Filipinas y otros. Veamos a un par de ejemplos sobre su capacidad de intrusión, que no se ha mencionado hasta ahora.

No se ha mencionado a las organizaciones localizadas en Myanmar (Birmania) atacadas por Spring Drago. Pero las técnicas de infiltración de Spring Dragon utilizadas en dicho país no se limitaban al spearfish CVE-2012-0158, sino que también infectaban sitios. En uno de los casos, remplazaron fuentes especializadas en los instaladores necesarios para producir la fuente Myanmar. Ofrecemos aquí una imagen del sitio web “Planet Myanmar” de fines de 2012, que distribuía este paquete. Todos los enlaces zip eran desviados a un archivo zip instalador infectado. El nombre de descarga era “Zawgyi_Keyboard_L.zip”, que descargaba un archivo “setup.exe” que contenía varias puertas traseras, incluyendo “wincex.dll” de Elise (a42c966e26f3577534d03248551232f3, detectado como Backdoor.Win32.Agent.delp). Se combina en un paquete beacon con la petición típica GET de la puerta trasera Elise “GET /%x/page_%02d%02d%02d%02d.html”, como se menciona en el documento Lotus Blossom (Flor de Loto).

Más tarde, en noviembre de 2014, otro APT atacó este mismo sitio para enviar exploits maliciosos VBS (CVE-2014-6332) cargados con la variante Lurid. En junio de 2012, el mismo grupo también suministró un exploit malicioso para PDF (CVE-2010-2883), con el nombre de “Zawgyi Unicode Keyboard.pdf” desde este sitio. Previamente, habían lanzado ataques spearfish con el mismo exploit para PDF que después se alojaba en el sitio web con diferentes nombres de archivo. En noviembre de 2011, usaron nombres de archivo apropiados, como “台灣安保協會「亞太區域安全與台海和平」國際研討會邀 請 函_20110907.pdf” (“Invitación al Seminario Internacional de la Asociación de Seguridad de Taiwán: Seguridad y Paz en la Región Asia-Pacífico en el Estrecho de Taiwán”), “china-central_asia.pdf”, “hydroelectric sector.pdf”, para los blancos de sus ataques spearfish con este exploit, además de varias propuestas gubernamentales relacionadas. En este caso, dos APTs se solaparon de forma inesperada.

Observamos otra interesante técnica utilizada contra blancos gubernamentales: una campaña que conducía engañosamente a los destinatarios hacia un sitio fraudulento del instalador de Flash.

El instalador de Flash estaba combinado con la conocida puerta trasera Elise 210.175.53.24 y su habitual petición “GET /14111121/page_321111234.html HTTP/1.0″.

hxxp://www.bkav2010.net/support/flashplayer/downloads.html → redirigido a
hxxp://96.47.234.246/support/flashplayer/install_flashplayer.exe (Trojan-Dropper.Win32.Agent.ilbq)

A diferencia de este actor particular que solía usar con éxito sus exploits CVE-2012-0158 casi desgastados, Spring Dragon también utiliza actividades intrusivas más involucradas y creativas.