L’Arbor Security Engineering Response Team (ASERT) ha pubblicato la documentazione frutto della ricerca sul malware Etumbot
Etumbot è una backdoor utilizzata per attacchi mirati almeno dal marzo 2011. Alcuni indicatori suggeriscono che Etumbot abbia a che fare con il gruppo Numbered Panda (noto anche come IXEHSE, DynCalc e APT12). Anche se precedenti ricerche hanno studiato del malware correlato, poco è stato pubblicamente discusso circa le capacità di Etumbot.
Taluni elementi suggeriscono che il dropper di Etumbot venga diffuso mediante tecniche di spearphishing e che sia contenuto all’interno di un file compattato proposto in maniera tale da interessare la potenziale vittima. Gli attaccanti utilizzano la tecnica Unicode Right to Left Override e icone di documento per mascherare appunto come documento l’eseguibile pericoloso. Una volta lanciato il dropper viene attivata la backdoor e aperta la visualizzazione di un file che serve a distrarre la vittima. L’ASERT ha analizzato diversi campioni di Etumbot che per distrarre la vittima ricorrono a documenti inerenti vari argomenti di interesse per il pubblico taiwanese e giapponese, e ha osservato recenti sviluppi che indicano come le campagne di attacco siano tuttora in corso.
Una volta installata, la backdoor si collega al proprio server C&C (Comando e Controllo) ricevendone una chiave di cifratura. La tecnica crittografica RC4, insieme con transazioni HTTP studiate per confondersi con il normale traffico di rete, viene utilizzata per le comunicazioni della backdoor. Le funzionalità di base di Etumbot permettono di eseguire comandi oltre che di caricare e scaricare file.
Gli attaccanti cercano di mascherare il malware sfruttando una tecnica nota come “byte string” o “string stacking”. Grazie all’impiego dei tool ASERT, queste stringhe vengono ripristinate in modo intellegibile e quindi evidenziate agli occhi dei ricercatori.
Una timeline contenente i documenti usati per distrarre le vittime e gli indicatori di backdoor e dropper comprensivi di hash MD5, informazioni sul server di Comando e Controllo, ed elementi del file system e del processo sono disponibili qui.
È stato osservato il ricorso al connection bouncer HTran, a indicare che i server C&C selezionati sono semplicemente siti compromessi impiegati per inoltrare il traffico altrove.
