Tonnerre malware
Tonnerre Malware er sluttrinnets nyttelast, der bruges i de fornyede aktiviteter for det, der menes at være en iransk-støttet ATP-gruppe (Advanced Persistent Threat), kendt som Infy. Skrevet i Delphi er Tonnerre designet som en separat nyttelast, der udvider funktionaliteten af et andet Infy-malware-værktøj ved navn Foudre Malware. Ved at adskille den ønskede funktionalitet i to forskellige trusler kan hackere forsøge at reducere deres fodaftryk til det kompromitterede system.
Imidlertid er Tonnerre Malwares eksekverbare utrolig stor og kommer til 56 MB. Det forsøger at skjule sig som legitim software. Tidligere versioner foregiver at være et program kaldet 'SilverSoft Speed', mens de senere præsenterede sig selv som 'Synaptics.' På samme måde som Foudre Malware er Tonnerre Malware også udstyret med en rutine, der godkender sin Command-and-Control (C2, C&C) server. Desuden anvender Tonnerre en dobbelt C2-kommunikationsstruktur.
Først bruger truslen DGA til at finde sin C2-server og verificerer den derefter gennem en RSA-signatur. Kommunikation med denne server udføres via HTTP og bruges til at gemme generelle metadata om det inficerede offer, indsamle filer, der matcher foruddefinerede udvidelser, få opdateringer og opnå adressen på den sekundære C2. Den ekstra C2-struktur bruges til exfiltrering af indsamlede data samt modtagelse af en liste over kommandoer, der kan udføres på den kompromitterede enhed. Kommunikationen med denne server udnyttes via FTP.
Tonnerre Malware indeholder 5 Delphi-formularer, der hver er programmeret med forskellige funktioner. Den ene er ansvarlig for installationsprocessen for truslen og etableringen af en persistensmekanisme gennem en planlagt opgave for helper.exe og en "Run" -nøgle i registreringsdatabasen. Den næste er ansvarlig for indsamling af udvalgte data. Det fanger dokumenter fra foruddefinerede mapper som f.eks. Dokumenter, billeder, downloads osv. Derudover kan den høste data fra netværksandele via WNetOpenEnumW og WNetEnumResourceW-funktionerne fra mpr.dll.
En separat Delphi-formular håndterer forbindelsen med den sekundære FTP C2-server. En anden indsamler filer fra flytbare medier ved at spore WM_DEVICECHANGE-meddelelser og tælle enhederne. Den sidste formular bruger det lamme kommandolinjeværktøj til at optage lyd.
