Infy-Malware „Foudre“ zurück

Malware-Kampagne „Prince of Persia“ kehrt zurück

Malware-Kampagne „Prince of Persia“ kehrt zurück

Comeback von Infy-Malware als „Foudre“

Unit 42, die Anti-Malware-Abteilung von Palo Alto Networks, hat eine Evolution der Infy-Malware, die den Namen „Foudre“ (Französisch für „Blitz“) entdeckt. Die dahintersteckenden Kriminellen scheinen vom zwischenzeitlichen Lahmlegen ihrer Command and Control (C2)-Infrastruktur gelernt zu haben. So verfügt Foudre über neue Anti-Takeover-Techniken, um zu vermeiden, dass die Malware effizient gestoppt werden kann.

Diese neue Version von Infy verwendet den Begriff „Foudre“ in Zusammenhang mit seiner Keylogging-Funktion. Die Logik und Struktur von Foudre ist der ursprünglichen Infy-Malware sehr ähnlich. Der Großteil des Codes entspricht der ursprünglichen Delphi-Programmierung, mit einer zusätzlichen Kryptobibliothek und einem neuen De-Obfuscation-Algorithmus.

Information Stealer

Foudre ist, wie sein Vorgänger Infy, ein „Information Stealer“. Mit dem integrierten Keylogger erfasst die Malware Inhalte aus der Zwischenablage in einem Zehn-Sekunden-Zyklus. Foudre sammelt zudem Systeminformationen einschließlich Prozessliste, installierten Antivirenprogrammen, Cookies und anderen Browserdaten. Die Malware prüft, ob Internetkonnektivität vorhanden ist – durch das Abfragen einer „HTTP 200“-Antwort nach einer Verbindung zu google.com. Sie kann nach Updates suchen und diese selbst herunterladen.

Diese „verbesserte“ Infy-Malware bestimmt den C2-Domain-Namen mittels eines Domain-Generierungs-Algorithmus (DGA), der dann bestätigt, dass die C2-Domain authentisch ist. Der C2 gibt eine Signaturdatei zurück, die die Malware entschlüsselt und mit einer lokal gespeicherten Validierungsdatei vergleicht. Sobald die Gültigkeit des C2 bestätigt ist, werden gestohlene Daten mit einem einfachen HTTP-POST exfiltriert.

Infektionsvektor

Der anfängliche Infektionsvektor ist eine klassische Speer-Phishing-E-Mail, einschließlich einer selbstausführenden Anlage. Wenn diese Option aktiviert ist, installiert diese ausführbare Datei einen ebenfalls ausführbaren Loader, eine Malware-DLL sowie eine Decoy-Readme-Datei, was sehr typisch ist für Infy.

Unklare Funktion von eingebetteten Textauszügen zu Beate Zschäpe

Wenig Klarheit gibt es aktuell über einen einbetteten Textauszug, der sich auf die NSU-Verdächtige Beate Zschäpe bezieht. So findet man im Code der Foudre-Malware den folgenden Satz: "Sie soll Auskunft über Zschäpes Verhalten in der Untersuchungshaft geben – daran dürften auch die Opferanwälte Interesse haben." Weitere Embedded-Text-Schnipsel auf Deutsch, Niederländisch und Englisch wurden in anderen Infy-Samples gefunden, wobei unklar ist, was die Funktion dieses eingebetteten Textes ist.

Klar hingegen ist, dass die Akteure von dem durch Palo Alto Networks initiierten Takedown der früheren C2-Infrastruktur gelernt haben. So haben sie in die aktuelle Version zwei neue C2-Mechanismen implementiert, um die feindliche C2-Übernahme zu vermeiden.

Schlussfolgerung

In ihrem Blog haben die Forscher von Palo Alto Netzworks festgestellt, dass diese Kampagne seit mindestens einem Jahrzehnt aktiv war. Nun ist Infy zurückgekehrt, mit der grundsätzlich gleichen Malware, die auf die gleichen Opfer abzielt.

Es handelt sich dabei offensichtlich um gezielte E-Spionage vom Iran aus, die gegen Regierungen und Unternehmen aus mehreren Ländern sowie die eigenen Bürger gerichtet ist. Die Angriffsziele liegen zu rund zwei Dritteln im Iran, gefolgt von den USA und dem Irak mit großen Anteilen, und zu jeweils kleineren Anteilen Großbritannien, Schweden, Seychellen, Deutschland, Kanada und Aserbeidschan.

Die Akteure haben verstanden, dass sie eine robustere C2-Infrastruktur benötigen, um eine Infiltration und einen Takedown zu verhindern. Ein DGA (wie zuvor erwähnt) fügt eine gewisse Widerstandsfähigkeit hinzu, macht „die Festung aber nicht uneinnehmbar“. Allerdings ist die digitale Signierung ein effektiver C2-Verteidiungsmechanismus. Ohne Zugriff auf die privaten Schlüssel ist es nicht möglich, einen C2 zu übernehmen, auch wenn eine DGA-Domain von einem Forscher registriert wird. Es ist möglich, dass die privaten Schlüssel lokal auf dem C2-Server vorgehalten werden, aber ohne Zugang zum C2 kann diese potenzielle Schwachstelle in der gegnerischen Infrastruktur nicht bestätigt werden. „Prince of Persia“ bleibt daher vorläufig ein hartnäckiger Gegner.