Tonnerre Malware
Tonnerre Malware is de payload in het eindstadium die wordt gebruikt in de vernieuwde activiteiten van wat wordt beschouwd als een door Iran gesteunde ATP-groep (Advanced Persistent Threat) die bekend staat als Infy. Tonnerre, geschreven in Delphi, is ontworpen als een aparte payload die de functionaliteit van een andere Infy-malwaretool, de Foudre Malware, uitbreidt. Door de gewenste functionaliteit op te splitsen in twee verschillende bedreigingen, proberen de hackers mogelijk hun voetafdruk op het gecompromitteerde systeem te verkleinen.
Het uitvoerbare bestand van de Tonnerre Malware is echter ongelooflijk groot, namelijk 56 MB. Het probeert zichzelf te vermommen als legitieme software. Eerdere versies doen zich voor als een programma met de naam 'SilverSoft Speed', terwijl ze zich later presenteerden als 'Synaptics'. Net als de Foudre Malware, is de Tonnerre Malware ook uitgerust met een routine die zijn Command-and-Control-server (C2, C&C) verifieert. Bovendien maakt Tonnerre gebruik van een dubbele C2-communicatiestructuur.
Ten eerste gebruikt de dreiging DGA om zijn C2-server te vinden en verifieert deze vervolgens via een RSA-handtekening. De communicatie met deze server verloopt via HTTP en wordt gebruikt voor het opslaan van algemene metadata over het geïnfecteerde slachtoffer, het verzamelen van bestanden die overeenkomen met vooraf gedefinieerde extensies, het ophalen van updates en het verkrijgen van het adres van de secundaire C2. De aanvullende C2-structuur wordt gebruikt voor het exfiltreren van verzamelde gegevens en voor het ontvangen van een lijst met opdrachten die kunnen worden uitgevoerd op het gecompromitteerde apparaat. De communicatie met deze server verloopt via FTP.
De Tonnerre Malware bevat 5 Delphi-formulieren, elk geprogrammeerd met verschillende functionaliteiten. De ene is verantwoordelijk voor het installatieproces van de dreiging en het opzetten van een persistentiemechanisme via een geplande taak voor helper.exe en een 'Run'-registersleutel. De volgende is verantwoordelijk voor het verzamelen van geselecteerde gegevens. Het vangt documenten op uit vooraf gedefinieerde mappen zoals Documenten, Afbeeldingen, Downloads, enz. Bovendien kan het gegevens verzamelen van netwerkshares via WNetOpenEnumW en WNetEnumResourceW-functies van mpr.dll.
Een apart Delphi-formulier zorgt voor de verbinding met de secundaire FTP C2-server. Een andere verzamelt bestanden van verwijderbare media door WM_DEVICECHANGE-berichten te volgen en de apparaten op te sommen. Het laatste formulier maakt gebruik van het lame opdrachtregelprogramma om geluid op te nemen.
