Tonnerre Malware

Tonnerre Malware è il payload della fase finale utilizzato nelle rinnovate attività di quello che si ritiene essere un gruppo ATP (Advanced Persistent Threat) sostenuto dall'Iran noto come Infy. Scritto in Delphi, Tonnerre è progettato come un payload separato che espande le funzionalità di un altro strumento malware di Infy chiamato Foudre Malware. Separando la funzionalità desiderata in due diverse minacce, gli hacker potrebbero tentare di ridurre la loro impronta sul sistema compromesso.

Tuttavia, l'eseguibile di Tonnerre Malware è incredibilmente grande, arrivando a 56 MB. Cerca di camuffarsi da software legittimo. Le versioni precedenti fingono di essere un programma chiamato "SilverSoft Speed" mentre in seguito si presentavano come "Synaptics". Analogamente a Foudre Malware, anche Tonnerre Malware è dotato di una routine che autentica il suo server Command-and-Control (C2, C&C). Tonnerre utilizza inoltre una doppia struttura di comunicazione C2.

Innanzitutto, la minaccia utilizza DGA per trovare il proprio server C2, quindi lo verifica tramite una firma RSA. La comunicazione con questo server avviene tramite HTTP e viene utilizzata per archiviare metadati generali sulla vittima infetta, raccogliere file che corrispondono a estensioni predefinite, ottenere aggiornamenti e ottenere l'indirizzo del C2 secondario. La struttura C2 aggiuntiva viene utilizzata per esfiltrare i dati raccolti e per ricevere un elenco di comandi che possono essere eseguiti sul dispositivo compromesso. La comunicazione con questo server viene sfruttata tramite FTP.

Tonnerre Malware contiene 5 moduli Delphi, ciascuno programmato con funzionalità diverse. Uno è responsabile del processo di installazione della minaccia e della creazione di un meccanismo di persistenza tramite un'attività pianificata per helper.exe e una chiave "Esegui" del registro. Il prossimo è responsabile della raccolta dei dati selezionati. Cattura documenti da cartelle predefinite come Documenti, Immagini, Download, ecc. Inoltre, può raccogliere dati da condivisioni di rete tramite le funzioni WNetOpenEnumW e WNetEnumResourceW da mpr.dll.

Un modulo Delphi separato gestisce la connessione con il server FTP C2 secondario. Un altro raccoglie i file da supporti rimovibili monitorando i messaggi WM_DEVICECHANGE ed enumerando i dispositivi. L'ultima forma utilizza lo strumento da riga di comando lame per registrare il suono.