Mientras la investigación continúa con la puerta trasera (backdoor) plantada dentro de CCleaner, dos miembros del equipo de inteligencia de amenazas de la empresa matriz Avast dijeron hoy que las versiones de escritorio y de la nube del popular software contenían diferentes cargas útiles.

La revelación se hizo durante una charla en el Virus Bulletin 2017 durante la cual Jakub Kroustek y Jiri Bracek compartieron detalles técnicos sobre el ataque, principalmente sobre la infraestructura de mando y control utilizada para la comunicación, así como cierta perspicacia sobre los objetivos e insinuaron que puede haber otras etapas de este ataque que aún no han sido descubiertas.

Kroustek y Bracek dijeron que es probable que haya más de las tres etapas de este ataque que se han discutido hasta ahora; cada etapa hasta la fecha ha sido un descargador que ha tomado la siguiente fase de la operación. Las direcciones IP que contienen estas etapas están ocultas, ya sea cifradas con algoritmos criptográficos personalizados o ocultas en sitios de phishing o páginas Github o WordPress creadas expresamente que son escaneadas por el malware para reunir pistas sobre las direcciones IP que contienen la siguiente etapa.

Más pruebas parecen indicar que se trata de un ataque dirigido con sólo 40 instalaciones de la carga útil de la segunda etapa reportada a Avast por más de 2,27 millones de clientes que recibieron una versión comprometida del software de mantenimiento de PC.

«Esto sugiere que fue muy dirigido y utilizado sólo contra un grupo específico de usuarios «, dijo Bracek.

Los investigadores compartieron una lista de dominios del malware que sugiere que si una máquina comprometida de uno de esos dominios conectados recibía la carga útil de la segunda etapa. Esos dominios incluyen Samsung, Microsoft, Sony, Akamai y otros que indican que el espionaje podría ser el objetivo de este ataque.

Mientras tanto, parece que los atacantes detrás de esta campaña fueron bastante ágiles en actualizar su código a medida que la campaña avanzaba. Por ejemplo, la versión 5.33 de CCleaner y CCleaner Cloud 1.7.0 contenían diferentes cargas útiles.

«Hubo ligeras pero importantes modificaciones «, dijo Kroustek. La carga útil en CCleaner 5.33 contiene la condición de que, si el usuario no es un administrador, el código shellcode sale. Eso fue eliminado en la versión cloud y CCleaner contactó a las IPs para la segunda etapa de todas formas «.

Kroustek y Bracek dijeron que la investigación con las fuerzas del orden continúa, y no todas las conclusiones pudieron ser compartidas. Los investigadores recapitularon el ataque, que comenzó con el compromiso de un servidor propiedad de Piriform, el desarrollador original de CCleaner que fue adquirido por Avast en Julio.

Según una línea de tiempo compartida por los investigadores, Piriform fue violada en Abril y los atacantes obtuvieron acceso para construir servidores dentro de la organización. Un certificado digital auto-firmado utilizado para firmar la primera etapa del ataque fue creado el 4 de Julio, dos semanas antes de la adquisición de Avast. El 2 de Agosto, se lanzó la primera versión de CCleaner que contenía una carga útil maliciosa, seguida el 11 de Agosto por la primera versión maliciosa de CCleaner Cloud.

Por alguna razón desconocida o no revelada, versiones de CCleaner sin una carga útil maliciosa fueron construidas a partir del 25 de Agosto, 18 días antes de que Avast fuera notificado por Morphisec de que CCleaner podría estar comprometido. El 15 de Septiembre, la infraestructura de mando y control de la primera etapa fue desmantelada junto con las fuerzas del orden, y tres días después, la violación fue revelada públicamente.

Los investigadores dijeron que la primera etapa del ataque fue auto-firmada por los atacantes con un certificado Piriforme. La carga útil se encontró sólo en las versiones de 32 bits del producto y era probable que se hubiera inyectado durante el proceso de compilación. Los atacantes tenían la intención de dificultar la vida de los analistas, incluyendo muchas características anti-depuración en su código, así como criptogramas personalizados en todo momento. La carga útil, mientras tanto, era un descargador al que se le ordenó tomar la segunda etapa del ataque. También envió algunos datos del sistema desde los clientes, el más valioso de los cuales es el nombre de la computadora y el dominio en el que se ejecuta el PC, junto con una lista de procesos en ejecución. El contacto se hizo a través de una dirección IP fija en el código; también había un algoritmo de generación de dominio presente, pero que fue socavado por el equipo de investigación de Cisco Talos, que también descubrió y reveló la violación simultánea a Morphisec.

Avast no atribuye definitivamente la fuente del compromiso, pero admitió que hay similitudes de código entre el ataque CCleaner y el código perteneciente a APT17, también conocido como Axiom o Deputy Dog. APT 17 se cree que está ligado al gobierno chino y ha estado implicado en los ataques de Aurora.

Costin Raiu de Kaspersky Lab compartió tweets poco después de la divulgación de CCleaner indicando que había código compartido entre los dos. A continuación la traducción de los tweets:

El malware inyectado en #CCleaner ha compartido código con varias herramientas usadas por uno de los grupos APT bajo la sombrilla de #Axiom APT.

 

— Costin Raiu (@craiu) September 19, 2017

 

 

Código compartido entre el cargador #CCleaner Cbkrdr y una puerta trasera #Aurora/#APT17 Missl backdoor. Encontrados sólo en unas pocas muestras relacionadas con Axiom. pic.twitter.com/3rQdmtaPQD

 

— Costin Raiu (@craiu) September 19, 2017

 

Kroustek dijo que se encontró un pequeño búfer en el ataque de CCleaner que es similar al encontrado en una puerta trasera del APT17.

«Hay algunas similitudes significativas entre los códigos», dijo. Además, agrego que: «No digo que sea el mismo código, pero digo que los dos binarios son cada vez más parecidos».

Los registros de actividad de mando y control también parecen alinearse con el día de trabajo en China (UTC+8). La primera etapa de la base de datos de carga útil también reveló 1,6 millones de direcciones MAC únicas y 5,6 millones de registros generales. Sin embargo, sólo había 45 registros que indicaban ataques de segunda etapa, y éstos se enviaron a 40 equipos únicos, dijeron.

Bracek dijo que esto demuestra el riesgo de las aplicaciones firmadas con listas blancas como CCleaner, en particular si se trata de un ataque a la cadena de suministro.

«Una infraestructura de construcción segura debe ser una prioridad absoluta», dijo.

Fuente: threat post