Tonnerre Malware
Tonnerre Malware ist die Nutzlast im Endstadium, die für die erneuten Aktivitäten einer von Iran unterstützten ATP-Gruppe (Advanced Persistent Threat) verwendet wird, die als Infy bekannt ist. Tonnerre wurde in Delphi geschrieben und ist als separate Nutzlast konzipiert, die die Funktionalität eines anderen Infy-Malware-Tools namens Foudre Malware erweitert. Durch die Aufteilung der gewünschten Funktionalität in zwei verschiedene Bedrohungen versuchen die Hacker möglicherweise, ihren Platzbedarf auf dem gefährdeten System zu verringern.
Die ausführbare Datei der Tonnerre Malware ist jedoch mit 56 MB unglaublich groß. Es versucht sich als legitime Software zu tarnen. Frühere Versionen geben vor, ein Programm namens "SilverSoft Speed" zu sein, während sie sich später als "Synaptics" präsentierten. Ähnlich wie die Foudre-Malware ist auch die Tonnerre-Malware mit einer Routine ausgestattet, die ihren Command-and-Control-Server (C2, C & C) authentifiziert. Darüber hinaus verwendet Tonnerre eine duale C2-Kommunikationsstruktur.
Zuerst verwendet die Bedrohung DGA, um ihren C2-Server zu finden, und überprüft ihn dann durch eine RSA-Signatur. Die Kommunikation mit diesem Server erfolgt über HTTP und dient zum Speichern allgemeiner Metadaten über das infizierte Opfer, zum Sammeln von Dateien, die mit vordefinierten Erweiterungen übereinstimmen, zum Abrufen von Updates und zum Abrufen der Adresse des sekundären C2. Die zusätzliche C2-Struktur wird zum Exfiltrieren gesammelter Daten sowie zum Empfangen einer Liste von Befehlen verwendet, die auf dem gefährdeten Gerät ausgeführt werden können. Die Kommunikation mit diesem Server erfolgt über FTP.
Die Tonnerre Malware enthält 5 Delphi-Formulare, die jeweils mit unterschiedlichen Funktionen programmiert sind. Einer ist für den Installationsprozess der Bedrohung und die Einrichtung eines Persistenzmechanismus durch eine geplante Aufgabe für helper.exe und einen Registrierungsschlüssel "Ausführen" verantwortlich. Der nächste ist für die Erfassung ausgewählter Daten verantwortlich. Es erfasst Dokumente aus vordefinierten Ordnern wie Dokumenten, Bildern, Downloads usw. Darüber hinaus können Daten von Netzwerkfreigaben über die Funktionen WNetOpenEnumW und WNetEnumResourceW von mpr.dll erfasst werden.
Ein separates Delphi-Formular behandelt die Verbindung mit dem sekundären FTP-C2-Server. Ein anderer sammelt Dateien von Wechselmedien, indem er WM_DEVICECHANGE-Nachrichten verfolgt und die Geräte auflistet. Das letzte Formular verwendet das lahme Befehlszeilentool, um Ton aufzunehmen.
