Administración Central Tibetana recibe ataque Watering Hole

9145
¡Virus en el Café! La Administración Central Tibetana (CTA, por sus siglas en inglés), un sitio que pertenece al gobierno del Dalai Lama en el exilio, ha sido comprometido y está redirigiendo a los visitantes que hablan chino a un exploit de Java que descarga una puerta trasera (backdoor) con una APT (Herramienta Avanzada de Empaquetado). Este es un ataque dirigido ya que un iframe adjunto e integrado redirige a los visitantes a un exploit de Java que tiene una puerta trasera con la carga explosiva. Los usuarios de habla Inglés y tibetano no son susceptibles al ataque ya que las versiones de la página web en estos idiomas no tienen este iframe integrado como la versión china. Una de las cosas que el exploit de Java hace es desactivar las revisiones de regulaciones de Java y después ejecuta el método Payload.main.




9148El ataque en sí está cuidadosamente dirigido, ya que un iframe anexado e integrado redirige a los visitantes de “xizang-zhiye(dot)org” (que es la versión en chino del sitio) a un exploit de Java que tiene una puerta trasera con la carga explosiva. Las versiones en inglés y tibetano del sitio web no tienen este iframe integrado como la versión china (por favor, todavía no lo visiten). Por ahora, parece que los pocos sistemas atacados con este código están ubicados en China y los Estados Unidos, aunque es posible que haya más. El exploit de Java que se utiliza es el 212kb “YPVo.jar”(edd8b301eeb083e9fdf0ae3a9bdb3cd6) que archiva, descarga y ejecuta la puerta trasera. El archivo es un ejecutable win32 de 397 kb, “aMCBlHPl.exe” (a6d7edc77e745a91b1fc6be985994c6a), que fue detectado como “Trojan.Win32.Swisyn.cyxf”. Las puertas traseras que se detectan con el veredicto Swisyn suelen ser parte de compiladores en cadena (toolchains) relacionados con APT , y este no parece ser la excepción.

9146El exploit de Java ataca la vieja vulnerabilidad CVE-2012-4681, lo que nos sorprende un poco, pero la usó el responsable de distribuir el CVE-2012-4681 original de día cero, Gondzz.class y Gondvv.class en agosto del año pasado. Puedes ver el código exploit 4681 en la imagen de arriba, así como códigos que configuran SecurityManager a cero para desactivar las revisiones de regulaciones de Java y después ejecutar el método Payload.main. El método Payload.main tiene capacidades interesantes y simples que hacen que el atacante pueda descargar la carga explosiva sobre https y decodificarla con AES usando las bibliotecas criptográficas integradas de AES, pero en este caso el paquete no está configurado para usar el código. En vez de eso, un par de líneas en su archivo de configuración hacen que el exploit descargue y ejecute el recurso ejecutable win32 del archivo jar. La mayoría de los antivirus detectan la puerta trasera en sí misma como variantes de programas ladrones de contraseñas de juegos, pero esta teoría es incorrecta. Su centro de comando y control se ubica en news.worldlinking.com (59.188.239.46).

9166Este atacante ha estado operando este tipo de ataques “de regadera” (watering hole) por un par de años como mínimo, además de campañas estándar de ataques dirigidos contra varios blancos, entre los que están los grupos tibetanos. Nuestra comunidad de la Kaspersky Security Network descubrió que las conexiones entre los incidentes pueden rastrearse hasta finales de 2011. También reveló que los exploits de Java relacionados con Apple de este servidor atacan la vulnerabilidad CVE-2013-2423, que es más reciente.

Acerca del autor

Hugo Londoño

Diseño experiencias digitales · Escribo Tecnología @ConCafe · Retrato marcas, comer y vivir Caracas · Fotografía comercial // Con-Café Link Studio ☕

Ver todos los artículos