Foudre Malware

Il Foudre Malware è uno strumento minaccioso scritto in Delphi. Il Foudre Malware fa parte dell'arsenale di quello che si crede essere un attore APT (Advanced Persistent Threat) sostenuto dall'Iran chiamato Infy. Le prove suggeriscono che questo gruppo di hacker è attivo almeno dal 2007. I criminali informatici hanno svolto operazioni attive per anni fino a quando un tentativo di rimozione da parte dei ricercatori di infosec li ha costretti alla dormienza.

Ora è stata scoperta una nuova campagna di attacco attribuita a Infy. L'operazione è in corso da diversi anni e impiega nuovi strumenti malware e tecniche. Sembra che gli hacker di Infy stiano cercando di mantenere un basso profilo con le loro attività. Il gruppo di entità preso di mira sembra coerente con le loro precedenti iniziative con la notevole esclusione di eventuali vittime iraniane.

Una delle nuove armi impiegate dagli hacker è il Foudre Malware. Il Foudre Malware funge da carico utile intermedio incaricato di inviare la minaccia malware finale ai sistemi compromessi. Il Foudre Malware infetta i suoi obiettivi nascondendosi all'interno di documenti progettati per attirare le vittime ad aprirli. I documenti minacciosi sono solitamente scritti interamente in persiano, con due campioni osservati che parlano del governatore della città di Dorud nella provincia di Lorestan, in Iran, o che fingono di essere stati inviati dall'ISAAR, la Foundation of Martyrs and Veterans Affairs sponsorizzata dal governo iraniano. L'agenzia ISAAR fornisce prestiti ai veterani disabili del paese e alle loro famiglie.

Quando la vittima apre il documento di richiamo, attiva una macro minacciosa che rilascia un archivio autoestraente nella directory temporanea del computer come fwupdate.temp. Va notato che la macro viene eseguita quando la vittima chiude il documento. Quando Foudre viene distribuito, tenta di stabilire una connessione con il suo server Command-and-Control (C2, C&C). Foudre autentica il server C2 scaricando un file di firma. Al termine della verifica, il malware verifica la presenza di eventuali aggiornamenti disponibili tentando di scaricare un secondo file di firma. Infine, procede a eliminare il payload della fase finale, una minaccia malware denominata Tonnerre Malware.

Durante il periodo di questa ultima esplosione di attività da parte degli hacker di Infy, i ricercatori di Infosec sono riusciti a osservare più versioni differenti del Foudre Malware in fase di implementazione. Sebbene per la maggior parte queste versioni includano solo modifiche tecniche minori, come nomi di finestre diversi, nomi di funzioni di esportazione e stringhe, le versioni più recenti contengono alcuni miglioramenti chiave.

Il Foudre Malware è stato dotato di un algoritmo di generazione del dominio aggiornato che potrebbe rendere il rilevamento della minaccia un po 'più difficile se i fornitori di sicurezza tentassero di catturarlo utilizzando DGA scoperto in precedenza. Per proteggersi meglio dai tentativi di rimozione, Infy ora include nei suoi strumenti malware una routine di verifica C2 RSA.