Que los atacantes que llevan a cabo APTs (Amenazas avanzadas persistentes, su sigla es en inglés) se valgan de grandes eventos como "anzuelo" para comprometer a sus objetivos, no es ninguna novedad. Que ONGs tibetanas sean atacadas con APTs tampoco es algo nuevo. Pero, con la venidera Cumbre del G20 que se desarrollará en Brisbane, Australia, esperábamos que aparecieran amenazas que utilizaran el tópico del G20 y que apuntaran a ONGs tibetanas. Una muestra que recibimos de Win32/Farfli (también conocido como gh0st RAT) terminó de confirmar nuestras sospechas.

Gh0st es un Troyano de Acceso Remoto (RAT por sus siglas en inglés) listo-para-usar bastante utilizado por los cibercriminales para llevar adelante numerosas campañas dirigidas de operaciones de crimeware. En la muestra que analizamos, habían muy poca detecciones entre nuestros usuarios: tan solo dos en China. Luego de un rápido análisis dinámico, vimos que la "palabra mágica" utilizada en las comunicaciones de red era "LURK0", en lugar del famoso "Gh0st". Esta palabra ya ha sido usada contra grupos tibetanos en el pasado.

LURK0_Tibet
Investigando un poco más, fuimos capaces de recuperar en VirusTotal un correo electrónico que propagaba esta amenaza.
email_G20_Summit
Este es un típico caso de phishing. El cibercriminal intenta atraer al usuario a que abra el archivo adjunto infectado, usando como excusa un evento organizado por el Consejo Tibetano de Australia. De hecho, el texto del correo electrónico fue tomado directamente del sitio web de dicha organización. Este correo supuestamente fue enviado a la Administración Tibetana de Europa Central.

Luego del análisis, el documento de Word titulado "A_Solution_for_Tibet.doc” explota CVE-2012-0158, un viejo exploit que todavía es utilizado por actores maliciosos con el objetivo de comprometer sistemas alrededor del mundo. Si el documento es abierto, intentará instalar Gh0st RAT en la siguiente carpeta (en caso que sea un sistema WinXP): Documents and Settings/Administrator/Application Data/Micbt.

Una vez instalado, el Troyano de Acceso Remoto intentará conectarse con los siguientes dominios:

imbss.in
vicp.cc

Un dato interesante es que el segundo dominio ya había sido utilizado en ataques dirigidos.

Mientras que no tenemos suficiente información para saber a quién atribuírselo, este ataque tiene diversos elementos que son vistos normalmente en ataques dirigidos. Como estos estos ataques son bastante comunes hoy en día, es importante conocer algunos consejos. Es importante evitar abrir adjuntos de correos electrónicos enviados por remitentes desconocidos, y además tener actualizadas las aplicaciones y el sistema operativo.

Los miembros de ONG con una agenda política han sido objetivo de ataques en el pasado y seguramente sigan sufriendo este tipo de embates en el futuro. Este tipo de actores definitivamente deben ser cautos al recibir este tipo de correos, especialmente cuando se tratan de tópicos populares o noticias destacadas.

Información del ataque:

Correo electrónico

Remitente: Tibet Press <tibet.press@aol.com>
Asunto: Join us at a rally for Tibet during the G20 Summit (Sumate a nosotros en el evento por el Tíbet durante el G20 Summit)

Documento de Word

Nombre: A_Solution_for_Tibet.doc
SHA1: b16900da71052b4acf4afb8b1b230d500c99460a
Remitente: Tibet Press <tibet.press@aol.com>

Win32/Farfli

instalado en Documents and Settings/Administrator/Application Data/Micbt en sistemas WinXP
Nombre del archivo: RasTls.exe
SHA1: 4ead7c11f81b101555b27a14e00ecdf7baa7d42f
Dominios contactados:
imbss.in
vicp.cc