Foudre malware

Foudre malware Beschrijving

De Foudre Malware is een bedreigend hulpmiddel dat in Delphi is geschreven. De Foudre Malware maakt deel uit van het arsenaal van wat wordt beschouwd als een door Iran gesteunde APT-acteur (Advanced Persistent Threat) genaamd Infy. Er zijn aanwijzingen dat deze groep hackers in ieder geval sinds 2007 actief is. De cybercriminelen voerden jarenlang actieve operaties uit totdat een takedown-poging door infosec-onderzoekers hen in een rustperiode dwong.

Nu is een nieuwe aanvalscampagne onthuld die aan Infy wordt toegeschreven. De operatie is al enkele jaren aan de gang en maakt gebruik van nieuwe malwaretools en technieken. Het lijkt erop dat de Infy-hackers proberen laag te blijven met hun activiteiten. De doelgroep van entiteiten lijkt consistent met hun eerdere ondernemingen, met de opmerkelijke uitsluiting van alle Iraanse slachtoffers.

Een van de nieuwe wapens die de hackers gebruiken, is de Foudre Malware. De Foudre Malware fungeert als een payload in de middenfase die is belast met het afleveren van de laatste malwarebedreiging op de gecompromitteerde systemen. De Foudre Malware infecteert zijn doelwitten door zich te verstoppen in documenten die bedoeld zijn om slachtoffers ertoe te verleiden ze te openen. De dreigende documenten zijn meestal volledig in het Perzisch geschreven, met twee waargenomen voorbeelden die spreken over de gouverneur van de stad Dorud in de provincie Lorestan, Iran, of doen alsof ze zijn verzonden door de ISAAR, de door de Iraanse regering gesponsorde Stichting van Martelaren en Veteranenzaken. Het ISAAR-agentschap verstrekt leningen aan gehandicapte veteranen in het land en hun families.

Wanneer het slachtoffer het lokdocument opent, activeert het een bedreigende macro die een zelfuitpakkend archief naar de tijdelijke map van de computer laat vallen als fwupdate.temp. Opgemerkt moet worden dat de macro wordt uitgevoerd wanneer het slachtoffer het document sluit. Wanneer Foudre wordt ingezet, probeert het een verbinding tot stand te brengen met zijn Command-and-Control (C2, C&C) server. Foudre verifieert de C2-server door een handtekeningbestand te downloaden. Na succesvolle verificatie controleert de malware op beschikbare updates door te proberen een tweede handtekeningbestand te downloaden. Ten slotte gaat het verder met het laten vallen van de eindfase-payload - een malwarebedreiging genaamd de Tonnerre Malware.

Tijdens deze laatste uitbarsting van activiteit van de Infy-hackers, zijn infosec-onderzoekers erin geslaagd om meerdere verschillende versies van de Foudre Malware die worden ingezet te observeren. Hoewel deze versies voor het grootste deel alleen kleine technische wijzigingen bevatten, zoals verschillende vensternamen, exportfunctienamen en tekenreeksen, bevatten de nieuwere releases enkele belangrijke verbeteringen.

De Foudre Malware is uitgerust met een bijgewerkt algoritme voor het genereren van domeinen dat het opsporen van de dreiging een beetje moeilijker zou kunnen maken als de beveiligingsleveranciers deze proberen te vangen met behulp van eerder ontdekte DGA. Om zichzelf beter te beschermen tegen verwijderingspogingen, heeft Infy nu in zijn malwaretools een C2 RSA-verificatieroutine.