Foudre Malware

Foudre Malware er et truende værktøj skrevet i Delphi. Foudre Malware er en del af arsenal af hvad der menes at være en iransk-støttet APT (Advanced Persistent Threat) skuespiller ved navn Infy. Bevis tyder på, at denne gruppe hackere har været aktive siden mindst 2007. Cyberkriminelle udførte aktive operationer i årevis, indtil et forsøg på at fjerne dem fra infosec-forskere tvang dem til at gå i dvale.

Nu er en ny angrebskampagne, der tilskrives Infy, blevet afdækket. Operationen har pågået i flere år og anvender nye malware-værktøjer samt teknikker. Det ser ud til, at Infy-hackerne prøver at holde en lav profil med deres aktiviteter. Den målrettede gruppe af enheder synes at være i overensstemmelse med deres tidligere satsninger med bemærkelsesværdig udelukkelse af iranske ofre.

Et af de nye våben, der er brugt af hackerne, er Foudre Malware. Foudre Malware fungerer som en midterste nyttelast, der har til opgave at levere den endelige malware-trussel på de kompromitterede systemer. Foudre Malware inficerer sine mål ved at gemme sig i dokumenter, der er designet til at lokke ofre til at åbne dem. De truende dokumenter er normalt skrevet på persisk helt, med to observerede prøver, der taler enten om guvernøren i Dorud-byen i Lorestan-provinsen, Iran, eller foregiver at blive sendt af ISAAR, den iranske regeringsstøttede Foundation of Martyrs and Veterans Affairs. ISAAR-agenturet yder lån til landets handicappede veteraner og deres familier.

Når offeret åbner lokket, udløser det en truende makro, der slipper et selvudpakkende arkiv til temp-biblioteket på computeren som fwupdate.temp. Det skal bemærkes, at makroen udføres, når offeret lukker dokumentet. Når Foudre bliver implementeret, forsøger det at etablere en forbindelse med sin Command-and-Control (C2, C&C) server. Foudre godkender C2-serveren ved at downloade en signaturfil. Efter vellykket verifikation kontrollerer malware for tilgængelige opdateringer ved at prøve at downloade en anden signaturfil. Endelig fortsætter det med at droppe sluttrinnets nyttelast - en malware-trussel ved navn Tonnerre Malware.

I løbet af denne seneste udbrud af aktivitet fra Infy-hackerne har infosec-forskere formået at observere flere forskellige versioner af Foudre Malware, der bliver implementeret. Mens disse versioner for det meste kun inkluderer mindre tekniske ændringer, såsom forskellige vinduesnavne, eksportfunktionsnavne og strenge, indeholder de nyere udgivelser nogle vigtige forbedringer.

Foudre Malware er udstyret med en opdateret algoritme til generering af domæner, der kan gøre detektering af truslen lidt sværere, hvis sikkerhedsleverandørerne prøver at fange den ved hjælp af tidligere opdaget DGA. For bedre at beskytte sig mod fjernelsesforsøg inkluderer Infy nu en C2 RSA-verifikationsrutine i sine malware-værktøjer.